当前位置: 充换电网 » 新能源汽车 » 电动车配套设备 » 正文

大众奥迪车载信息娱乐系统存安全漏洞 恢复出厂设置或成唯一途径

日期:2018-05-04    来源:盖世汽车

国际充换电网

2018
05/04
17:57
文章二维码

手机扫码看资讯

关键词: 大众 奥迪 车载信息

  据外媒报道,Daan Keuper与Thijs Alkemade两位研究人员在发表的新网络安全论文中提到CAN总线(CAN Bus)被黑客攻破的原因。值得一提的是,他们发现大众奥迪车型存在安全漏洞,车载信息娱乐系统与车载网络易遭黑客攻破。
 
  两位研究人员在报告中写道:“我们可远程侵入车载信息系统,并借助该系统向CAN总线发送任意的信息。”
 
  Computest认为,这属于软件漏洞,或许在升级固件后,就能在一定程度上缓解(mitigated)该问题。然而,该操作却无法通过远程升级来完成,务必要交由一家业内领先的官方经销商来完成具体的升级操作。对于整个车队而言,若想要在经销商处一次性完成固件升级,似乎有点难度。
 
  该报告指出,若黑客获得CAN总线的访问权限,他(她)将能够借此控制该车辆,或许还能冒充前置雷达,谎称附近存在碰撞事故,向制动系统发出指令,要求执行紧急停车操作或接管制动系统。若某个部件与CAN总线实现了网络连通,黑客只需要想办法获得访问该部件的权限,就能侵入车辆,且无需实际进出车辆(physical access)。
 
  对黑客们而言,供其选择的远程攻击界面(remote attack surface)实在太多了。有些攻击方式确实需要黑客们非常接近该车辆(如破解免钥系统),有些攻击方式则可实现远程入侵,黑客们可在全球任意位置发起入侵攻击。部分攻击需要用户交互(user interaction),而有些攻击则针对任意用户,许多乘客甚至都不清楚发生了什么。
 
  研究人员着眼于互联汽车及车载蜂窝网络或无线网络连接,他们还发现蜂窝式网络连接与车载控制器局域网路间的层级最少。
 
  据大众透露:“公司自2016年第22个生产周(production week 22)以来,对旗下大众Golf GTE与奥迪A3的车载信息娱乐系统进行了软件升级,已经封闭了两款车型的开放式接口(open interface)。”
 
  如今,大众Golf正在运行MIB2软件,而大众Golf GTE则在运行由哈曼制造的MIB软件。
 
  据Karambasecurity公司的联合创始人兼首席科研人员Assaf Harel透露:“在该示例中,研究人员可对车载信息娱乐系统发起内存溢出攻击(in-memory overflow attack),旨在探索远程代码执行漏洞(remote-code-execution vulnerability)。在当今的车车在系统中,这类安全漏洞实在太多了,黑客们早晚会查找到这类安全漏洞的。”
 
  他还说道:“针对这类攻击方式,唯一的防范措施就是恢复出厂设置,从而封闭电控单元(ECU)。由于还存在太多未知的安全漏洞,ECU强化层(hardening layer)会将任何与出厂设置不符的未授权偏差(unauthorized deviation)视为恶意软件(malware),旨在防范已知与未知的黑客攻击,即零日漏洞(zero-day vulnerabilities)。”
返回 国际充换电网 首页

能源资讯一手掌握,关注 "国际能源网" 微信公众号

看资讯 / 读政策 / 找项目 / 推品牌 / 卖产品 / 招投标 / 招代理 / 发文章

扫码关注

0条 [查看全部]   相关评论

国际能源网站群

国际能源网 国际新能源网 国际太阳能光伏网 国际电力网 国际风电网 国际储能网 国际氢能网 国际充换电网 国际节能环保网 国际煤炭网 国际石油网 国际燃气网
×

购买阅读券

×

20张阅读券

20条信息永久阅读权限

19.9

  • ¥40.0
  • 60张阅读券

    60条信息永久阅读权限

    49.9

  • ¥120.0
  • 150张阅读券

    150条信息永久阅读权限

    99.9

  • ¥300.0
  • 350张阅读券

    350条信息永久阅读权限

    199.9

  • ¥700.0
  • 请输入手机号:
  • 注:请仔细核对手机号以便购买成功!

    应付金额:¥19.9

  • 使用微信扫码支付
  • 同意并接受 个人订阅服务协议

    退款类型:

      01.支付成功截图 *

    • 上传截图,有助于商家更好的处理售后问题(请上传jpg格式截图)

      02.付款后文章内容截图 *

    • 上传截图,有助于商家更好的处理售后问题(请上传jpg格式截图)

      03.商户单号 *

      04.问题描述