6月24日,比亚迪汽车官方微博确认了汽车云服务控制劫持漏洞的存在,并表示已经对服务器系统进行了升级。6月18日,由103.9主办的首届北京露营大会上,来自HackPWN安全极客狂欢节组委会的安全专家现场曾演示了利用该安全漏洞开启汽车车门、发动汽车、开启后备箱等。
来自补天平台上的漏洞信息显示,该安全漏洞存在于比亚迪云服务系统中,会影响到比亚迪混合动力汽车秦、思锐、S7和最新的唐等多款搭载比亚迪的汽车。黑客可以在不经过车主授权的情况下,控制车辆启动,打开车门,甚至可以在没有钥匙的情况下开启后备箱。
比亚迪的云服务是为部分比亚迪汽车提供的互联网+服务功能,通过手机和汽车联动平台,实现远程控制,比如开空调、上锁、解锁;导航及定位,比如GPS定位、历史行车轨迹查询等;整车体检,如胎压、发动机、ESP功能;汽车上网和电话通讯等功能。
比亚迪云服务系统并非首个被报存在安全漏洞的汽车智能系统,早在去年特斯拉汽车就曾被发现应用软件存在漏洞,黑客可以利用该漏洞开启车门、天窗并控制汽车灯光。而在去年的黑帽大会上,也有两名黑客用一套1000美元的设备成功取得了汽车的“控制权”。
最近国内安全团队360UnicornTeam研究发现了一种可以使用低成本的民用设备就可发起GPS欺骗的攻击手段,仅需几百元的设备和经过特殊构造的生成算法及部分开源代码,即可通过GPS欺诈来劫持汽车的方法,由于GPS已经成为很多人汽车驾驶依赖的工具之一,一旦被黑客劫持,将带来难以想像的安全问题,在8月份的DEFCON23上的主题演讲中,360UnicornTeam也将公开此课题的研究细节。
汽车智能化是当下最热门的概念之一,在给汽车爱好者们带来无尽想象和便利的同时,因安全漏洞引发的汽车安全问题也同样让人担忧。没有钥匙就能将车开走?远程就能开锁?甚至在驾驶员毫不知情的情况下,汽车的控制权就已经被黑客接管,其潜在的安全威胁巨大。
在6月18日北京露营大会上的黑客破解汽车秀的现场,HackPWN组委会的安全专家利用发现并提交的智能汽车的安全漏洞,在没有钥匙的情况下,成功利用电脑和手机先后实现了多款汽车的远程开锁、鸣笛、闪灯、开启天窗等操纵,一辆汽车破解从开始操作到成功破解,只花了不到2分钟的时间。
安全专家刘健皓称,“破解一辆智能汽车,可以入手的模块很多,网络层、浏览器应用、移动应用、无线射频等都可以入手,这也意味着智能汽车的安全将面临巨大的挑战。一方面,对于用户来说,要提高安全意识,加强防护意识;另一方面,对于互联网安全厂商和广大白帽子来说,要加强对智能汽车的漏洞的挖掘和研究。”
即将在8月份举行的HackPWN安全极客狂欢节,面向所有白帽黑客开放,邀请有志于“破解”的白帽黑客共同挖掘市场上智能汽车、车联网和智能汽车服务平台的安全漏洞,以此推动业界共同关注并参与汽车智能化的安全防护。
