freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

大众、福特畅销车深陷漏洞危机,你的爱车真的安全吗?
2020-04-17 18:12:19


安全是所有0前面的1。

【快讯】安全的世界里似乎一刻都不消停。近日,英国消费杂志《Which?》联合网络安全公司发布通告称:大众Polo SEL TSI手动1.0L的汽车计算机系统中,负责牵引力控制的模块存在安全漏洞,黑客可借此获取车辆信息娱乐系统中存储的电话号码、地址以及导航历史记录等敏感信息;此外,研究人员还可使用最基本的电脑工具,拦截并修改福特福克斯纯钛自动1.0L汽车中的轮胎压力监控系统(TPMS)中传感器所发出的消息,以误导驾驶员做出错误行驶判断。前有奔驰、宝马、丰田等厂商屡遭黑客甚至国家级APT组织的攻击,而今,福特大众厂商也面临漏洞危机挑战。尤其在大数据、云、5G进一步发展当下,未来汽车领域也将越发智能化、互联网化,而与之同来网络安全问题也将变得更加凸显,更加不容忽视。

 


大众福特汽车陷重大安全漏洞危机

面临生命安全与数据泄露双风险



近日,英国消费杂志《Which?》联合网络安全公司Context Information Security发布通告称:大众、福特两大汽车行业巨头计算机系统存在大量安全漏洞,可导致车辆监控、预警系统发出错误信息,误导驾驶员行驶判断,并泄露****娱乐系统中的相关敏感信息。 

 

报告显示,大众Polo SELTSI手动1.0L的汽车计算机系统中,负责车辆湿滑路面行驶时牵引力控制的模块存在安全漏洞,黑客可借此获取车辆信息娱乐系统中存储的电话号码、地址以及导航历史记录等敏感信息
image.png
此外,研究人员还发现,只要抬起汽车前部的大众徽章就能进入前雷达模块,黑客可通过这一动作进一步篡改车辆碰撞预警系统。 

 

而福特汽车的安全漏洞似乎更严重一些。研究人员发现,他们使用基本的亚马逊的“廉价笔记本电脑和售价25英镑的小工具”,就能拦截篡改福特福克斯车型上由轮胎压力监控系统(TPMS)发送的消息,比如,在轮胎没有充气时错误地报告轮胎已经正确充气,以此干扰驾驶员做出正确的行驶判断。

image.png

在更进一步的分析中,福特计算机系统的代码中还被发现了一些包括wifi详细信息和一个似乎是福特生产线计算机系统的密码,扫描过后,确认该网络属于是福特位于密歇根州底特律的装配厂。同样的,福特汽车中也存在应用程序随时共享车辆敏感信息的现象。 

 

安全研究人员所测试的这两款车型在世界范围内的购买率十分之高,一旦这些漏洞被黑客组织用于投入实战进行攻击,后果不堪设想。


对此,《Which?》杂志的编辑丽莎·巴伯(LisaBarber)表示
现在,大多数汽车都包含功能强大的计算机系统,但是对这些系统的监管缺乏明显意义,这意味着它们可能会受到黑客的广泛攻击,从而使驾驶员的安全和个人数据面临风险。

然而,这份担忧并非首次,汽车厂商遭遇网络攻击早有先例,巨头汽车厂商纷纷在列……


汽车巨头深陷被攻击漩涡

未来汽车工业安全引人担忧


今年,2月28日,在RSA 2020“SecurityStrategy & Architecture”(安全策略与架构)会议上,360Sky-Go团队披露,去年在梅赛德斯-奔驰联网汽车的安全研究项目中,发现多达19个安全漏洞。通过结合硬件和软件漏洞形成的攻击链,可以实现对中国境内百万辆梅赛德斯-奔驰联网汽车实现非接触式远程控制。以至于在去年12月,奔驰就与360达成合作,共同促进行业联网汽车信息安全能力。


image.png
奔驰汽车算是万幸,在危机爆发前及时被安全厂商发现预警并采取了有效防护。然而,下面的宝马、丰田却没那么幸运了,更为糟糕的是,它们遭遇的是国家级黑客的攻击。


2019年,德国慕尼黑宝马汽车公司的计算机网络遭遇越南国家级APT组织“海莲花”的渗透攻击,致使其内部多台计算机被远程监视和控制,迫不得已下,该公司在6月份将有关计算机进行了脱网。(智库在《国家级黑客组织“海莲花”攻陷宝马,汽车工业成APT新目标》有过详细报道,读者可点击标题链接进一步阅读)
image.png
无独有偶,去年2月丰田汽车也被“海莲花”黑客组织攻击,旗下多家子公司受到影响,包括:丰田东京销售控股有限公司、东京丰田汽车公司、丰田东京卡罗拉在内的多家子公司皆受牵连,近310万丰田用户的敏感信息被置于黑客的服务器内。

 

image.png

 

然而,不止于宝马丰田等巨头汽车厂商遭遇国家级黑客攻击,伴随5G、大数据、AI技术广泛应用,汽车向着智能化、网联化、电动化和共享化发展,未来整个汽车工业安全都引发我们深重的担忧。


因为,在未来,智能驾驶系统、信息娱乐系统、底盘控制系统和动力控制系统都将与互联网联接,并通过网络进行数据传输和软件升级,这都为黑客组织提供了绝佳的“狩猎”机会:从安全极为重要的汽车系统,到对后端服务器的数据中心黑客行动,再到共享汽车领域的身份盗窃,甚至还有隐私问题。


黑客可以从任意环节下手,进行牟取更高的价值与利益。尤其当国家级黑客组织将汽车工业厂商纳入攻击版图后,锁定关键目标,窃取敏感数据、机密情报,甚至更进一步的恐怖袭击,这似乎都有可能。 


以至于当被问及5G之下哪个行业将最先出现网络安全隐患?安全巨头厂商的董事长兼CEO周鸿祎先生直接回答:“车联网”,并在去年全国“两会”上,强调“网

络安全应成为智能汽车标配”。

智库时评

从汽车厂商自身曝出漏洞,到被国家级黑客组织攻击,这无疑再次给汽车行业敲响了警钟。数字化新基建的到来,把网络安全列为智能汽车标配愈发迫在眉睫。而对此,智库认为:

1.智能车辆乃是未来数字化城市的基础载体,需完善配套的智能汽车安全管理体系,加强安全法规及技术的研发力度。

2.建立车企乃至供应链的安全机制,确保车辆出厂前达到既定安全标准,出厂后可做到安全动态监控及实时防御。

3.建立安全测试及靶场体系,通过攻防博弈来从实战角度提升系统安全与稳定。

关注“国际安全智库”公共号

了解更多国内外网络空间安全资讯

智库尾图.gif

# 漏洞 # 攻击 # 福特 # 大众
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者