據外媒報道，Daan Keuper與Thijs Alkemade兩位研究人員在發表的新網絡安全論文中提到CAN總線（CAN Bus）被黑客攻破的原因。值得一提的是，他們發現大眾及奧迪車型存在安全漏洞，車載信息娛樂系統與車載網絡易遭黑客攻破。

兩位研究人員在報告中寫道：“我們可遠程侵入車載信息系統，并借助該系統向CAN總線發送任意的信息。”

Computest認為，這屬于軟件漏洞，或許在升級固件后，就能在一定程度上緩解（mitigated）該問題。然而，該操作卻無法通過遠程升級來完成，務必要交由一家業內領先的官方經銷商來完成具體的升級操作。對于整個車隊而言，若想要在經銷商處一次性完成固件升級，似乎有點難度。

該報告指出，若黑客獲得CAN總線的訪問權限，他（她）將能夠借此控制該車輛，或許還能冒充前置雷達，謊稱附近存在碰撞事故，向制動系統發出指令，要求執行緊急停車操作或接管制動系統。若某個部件與CAN總線實現了網絡連通，黑客只需要想辦法獲得訪問該部件的權限，就能侵入車輛，且無需實際進出車輛（physical access）。

對黑客們而言，供其選擇的遠程攻擊界面（remote attack surface）實在太多了。有些攻擊方式確實需要黑客們非常接近該車輛（如破解免鑰系統），有些攻擊方式則可實現遠程入侵，黑客們可在全球任意位置發起入侵攻擊。部分攻擊需要用戶交互（user interaction），而有些攻擊則針對任意用戶，許多乘客甚至都不清楚發生了什么。

研究人員著眼于互聯汽車及車載蜂窩網絡或無線網絡連接，他們還發現蜂窩式網絡連接與車載控制器局域網路間的層級最少。

據大眾透露：“公司自2016年第22個生產周（production week 22）以來，對旗下大眾Golf GTE與奧迪A3的車載信息娛樂系統進行了軟件升級，已經封閉了兩款車型的開放式接口（open interface）。”

如今，大眾Golf正在運行MIB2軟件，而大眾Golf GTE則在運行由哈曼制造的MIB軟件。

據Karamba Security公司的聯合創始人兼首席科研人員Assaf Harel透露：“在該示例中，研究人員可對車載信息娛樂系統發起內存溢出攻擊（in-memory overflow attack），旨在探索遠程代碼執行漏洞（remote-code-execution vulnerability）。在當今的車車在系統中，這類安全漏洞實在太多了，黑客們早晚會查找到這類安全漏洞的。”

他還說道：“針對這類攻擊方式，唯一的防范措施就是恢復出廠設置，從而封閉電控單元（ECU）。由于還存在太多未知的安全漏洞，ECU強化層（hardening layer）會將任何與出廠設置不符的未授權偏差（unauthorized deviation）視為惡意軟件（malware），旨在防范已知與未知的黑客攻擊，即零日漏洞（zero-day vulnerabilities）。”

返回第一電動網首頁 >