行驶途中突然断油停车、利用手机APK系统漏洞远程遥控汽车……10月22日上午,2015SyScan360国际前瞻信息安全会议上,来自360网络安全攻防实验室资深安全研究员刘健皓现场带来比亚迪智能汽车破解秀频频获得掌声。走在科技潮头的智能汽车在刘建皓手中,仿佛变成了一个可以被轻易摆弄的遥控玩具。
图:演讲开始,刘健皓从特斯拉破解说起……
随着车联网的迅速发展,安全问题越来越受到关注,本届SyScan360上,车联网话题亦是重点。早在去年SyScan360上,刘健皓就曾上演过智能汽车标杆级产品特斯拉的破解演示。
会议当天,刘健皓分别从PC端控制系统漏洞、手机APK漏洞、汽车电子系统漏洞等方面,多角度演示智能汽车比亚迪“秦”的破解,这让不少现场听会的安全圈人士顿时作惊恐状,纷纷表示出对汽车安全的担忧。
图:利用漏洞可攻破比亚迪,并遥控其行驶。
图:比亚迪行驶途中,可让其直接断油停驶。
根据刘健皓录制的演示视频显示,通过比亚迪存在的漏洞,他可以用手机打开车门、启动并开走,还可以开启车内空调,甚至开启或关闭后备箱。此外他还能向比亚迪发送“自杀”指令,控制汽车引擎造成人员伤亡。
刘健皓提醒智能汽车厂商,应通过缩短攻击检测时间窗口,加强代理商、设备供应链安全审计,完善车联网安全防御体系等方式防御汽车攻击,“第一时间发现黑客对汽车的逆向并采取及时的行动,利用防火墙技术进行实时威胁监控发现恶意攻击行为,利用SOTA技术进行安全漏洞修复更新”。
据悉,2015SyScan360由亚洲知名安全组织SyScan主办、360公司承办,被称为国际信息安全领域发展的风向标。会议邀请了来自全球的优秀互联网专家和顶级黑客同台竞技,展示亚洲最为顶尖的安全技术。