早在2015年,Charlie Miller和Chris Valasek這對黑客俠侶就成功黑掉了一臺吉普大切諾基,遙控油門剎車導致車輛失控,并在當年拉斯維加斯的BlackHat黑帽大會上出盡風頭,這也直接導致克萊斯勒召回了140萬臺切諾基升級安全補丁。
但是事情并未完結,Chris同志16年再次黑掉了大切諾基(跟這款車有仇?),并且公開了整個攻擊的所有筆記、文檔和工具包(包括他們自己寫的Pyhton攻擊文件)。而這些資料,即使在今天來看,依然頗具研究價值。
你上你也CAN?
眾所周知CAN(控制器局域網)是汽車的內部通訊網絡,負責在汽車的大腦ECU與各控制器之間的信息傳輸,ECU控制的功能包括ACC適應性巡航控制、電子手剎、泊車輔助、電子轉向輔助等,攻破了CAN,基本就意味著你取得了汽車的物理控制權,而Chris和Charlie,也正是從CAN入手搞定了大切(這個文檔詳細記錄了攻擊前期的研究工作細節)。
雖然Chris和Charlie提供的工具包和指南覆蓋的車型有點老,主要是2010年的福特翼虎和豐田普銳斯,但是去年6月發布的這個文檔包含了汽車CAN總線消息注入方法,這里面覆蓋了2014款吉普大切諾基的攻擊資料。文檔中揭示了一些有趣的事實,例如黑客可以控制汽車的速度,甚至通過反復發送偽造信息來在汽車高速行駛時控制轉向(這才是殺招!)
除了Chris和Charlie放出的汽車攻擊工具包,以下IT經理網還整理了目前網上比較流行的開源汽車黑客工具如下:
CANtactGoodThopter 一個開源開發板,內建了CAN接口EVTV Due 一個CAN嗅探器Caring Caribou 有一個CAN總線嗅探器CAN of Fingers CAN指紋工具Octane 既能嗅探也能注入CAN數據包UDSim 這個嗅探器甚至有圖形用戶界面廠商該咋辦?認真學習倆報告!
汽車,尤其是聯網汽車和智能汽車的信息安全問題絕非菲亞特克萊斯勒一家面對的挑戰,相對滯后的智能汽車的信息安全技術、標準、政策、方法和實踐已經成為消費者、汽車制造商、零部件供應商和政府監管部門關注的話題。大切諾基、特斯拉等車型遭遇的“黑客門”也促使歐洲網絡信息安全局ENISA發布了《智能汽車網絡安全最佳實踐》,以及美國高速公路安全管理局發布了《汽車行業網絡空間安全最佳實踐指南》,建議廠商們在招募黑客打補丁的同時,也從產品研發的源頭把信息安全問題重視起來。
京公網安備 11010502049343號