汽车攻击离你很近:一分钟变成汽车黑客


发布人:admin分类:网络安全浏览量:21发布时间:2017-12-12


虽然今夜我无法预测巴西历史性的大比分惨败德国,但2年前我对移动安全的预言至少对了一半:

手机病毒的发展轨迹沿袭着PC时代病毒脚本:且加壳且变异;PC时代10年的历程在手机上3年内加速完成。

今年我慢慢体会到了应该还有半句话:移动产品的销售模式和PC市场是不同的,面对的应该是mobile emerging markets。这就是为什么一些安全厂商把传统PC产品思路稍加修改放到手机中去销售觉得非常别扭而且效果也不好。手机只是一个威胁传输的平台,移动威胁会跟随使用者进入到新的领域,由此扩散到这个领域,形成一个新兴市场。所以,手机不是威胁爆发的目的地,而是一个载体。移动安全产品应该要进入到这些新兴市场。 事实上,BYOD也是符合这一规律的:员工带着手机设备进入到公司工作,IT部分必须为这种新的工作设备和手段进行安全防护。此外,车联网和可穿戴设备就是新兴市场的代表。

汽车攻击的研究早在2010年由美国的两所大学做了尝试性的研究,去年下半年到今年的黑客大会,DEFCON, SYSCAN陆续有研究人员重现和改进了攻击方法,包括自己做硬件设备查到OBD2口上。但是依然觉得技术门槛对一般人较高,汽车试验比较昂贵,离我们生活很远。 就在我们研究小组车车联网安全研究进行中,腾讯突然出了路宝盒子,虽然只是一个试水产品,但是显示出国内的车联网入口争夺比预想地来的更早。所以我们小组加班加点,做出来首家车联网安全硬件的演示产品,计划在7月份的syscan360上发布出来。这款硬件产品将能帮助目前车联网诊断盒子,租车公司,汽车电子钥匙和车主有效的阻止对汽车劫持的恶意攻击发生。

虽然还有不少地方需要改进和完善,但和之前DEFCON,黑客大会,SYSCAN 会议研究比较,我们有下面几点不同:

  1. 使得攻击汽车门槛变得很低,草根化: 开发和验证了第一款对汽车进行攻击的安卓应用,无需额外定制硬件电路,只要在网上购买几十人民币现成的诊断设备,利用他们的安全漏洞,配合这款简单的手机应用就可以对汽车进行攻击!这将证明对汽车攻击时多么的简单,而且攻击者不需要对汽车有多深的理解,1分钟你就成为汽车黑客。


2.  相关厂商产品安全漏洞:找到好几家商业厂商销售的汽车盒子,可以破解,在他们的产品上直接进行攻击。安全隐患不解决,车联网社交平台无从谈起。我们会通知他们。

3. 车外攻击:攻击者无需在车里,在车外就可以通过手机WIFI甚至3G/4G,让被攻击者的汽车在驾驶途中熄火,遥控打开其后备箱进行偷盗,模拟电子钥匙打开车门车窗(租车公司痛点)等动作。

4. 更注重防范:总结了对汽车攻击的方法,做出了演示的硬件产品,可以有效的防止这些攻击。

不担心安全人员和其他技术人员在新领域的专研能力,汽车逆向的技术应该在短时间内会被掌握。汽车攻击技术会比手机病毒发展还要迅速。相反,由于汽车制造商的产品周期,3-4年不会提供本质的安全解决方案,所以,猫还没有生出来,小老鼠称大王。需要有安全的防护,相关的aftermarket 空间很大。


其实,汽车攻击无非就那几个动作,但就是这些小动作会造成汽车甚至车主生命上的损失。

更多细节信息将在SYSCAN360结束后公布。


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21230343(PV) 页面执行时间:126.563(MS)
  • xml
  • 网站地图