车事儿他们发现的汽车安全漏洞,通用花费五年时间去弥补


今年,两名资深白帽黑客展示了入侵克莱斯勒 Jeep 汽车的技术,引起了不小的震动。许多人不知道的是,五年前,一些研究人员曾经做过同样的事情。他们黑掉了通用的汽车,不过,他们没有公开透露汽车型号,也没有公开展示入侵方法。据 Wired 网站的了解,2010年,研究人员向通用和美国国家公路交通安全管理局透露了入侵方法,而通用花费了5年时间才弥补了漏洞。

“除了转向以外,我们基本上完全控制了汽车,” 安全研究人员 Karl Kosher 说,“如果漏洞早日被弥补,那肯定会更好。”

研究人员攻击的是通用雪佛兰 Impala 上的 OnStar 系统。首先,研究人员用计算机拨打汽车上的紧急电话,向 Onstar 系统发送大量的数据,造成缓冲区溢出,然后,他们控制了 Onstar 的数据连接,并最终侵入汽车的 CAN 总线系统。他们可以控制汽车的雨刷、刹车和变速箱。

在了解到这种攻击方法后,通用曾经做出各种努力去弥补漏洞,包括:在以后使用的 Onstar 系统中打上了安全补丁;与运营商 Verizon 合作,阻止 Onstar 系统与未认证的服务器连接等等。但是,这些方法都不能完全阻挡黑客的攻击行为。直到今年,通用对百万辆汽车默默地推送了软件更新。

研究人员认为,这件事情并不能完全归咎于通用,实际上,在面对互联网时,整个汽车行业都缺乏安全上的准备。5年前,汽车商还无力修补汽车软件上的漏洞。“在桌面系统和服务器上,我们对此已经习以为常,但是,汽车行业还没有这个意识。” UCSD 教授、主导了此项研究的 Stefan Savage 说,“当时,整个汽车行业还无法对付这种情况,五年后的今天,统一的反应机制和升级系统也不存在。这是件悲哀的事情。”

今年,两名黑客展示了攻击克莱斯勒 Jeep 的方法。随后,克莱斯勒很快发布了安全补丁,并且对汽车进行了召回。这是否说明,安全人员应该早日发布安全漏洞,迫使汽车厂商快速行动呢。对于这个问题,Stefan Savage 表示说,如果他们发表了入侵的细节,那么,后果是弊大于利的,因为五年前的汽车商还没有准备好。“这对于任何人都是全新的东西:政策制定者、汽车行业、供应商,” 他说,“只是想想如何让他们关注这个问题,都是不容易的事情。”

不过,在过去的五年里,汽车商已经意识到汽车被入侵的可能性了。如今,公开发表入侵汽车的技术,或许是迫使汽车商重视安全问题的一种方法。“现在,如果我发现了一个新的漏洞,我或许会做出不同的选择,” 他说,“对于汽车厂商来说,汽车安全已经是资源和意愿的问题,而非是否了解的问题。”

图片来自 Wired