10月22日上午,2015SyScan360国际前瞻信息安全会议上,来自360网络安全攻防实验室资深安全研究员刘健皓现场演示了比亚迪汽车破解,世界汽车安全研究泰斗查理•米勒(Charlie Miller)现场观看这场破解表演后,发布Twitter称赞刘健皓的研究水平。
随着车联网的迅速发展,安全问题越来越受到关注,本届SyScan360上,车联网话题亦是重点。早在去年SyScan360上,刘健皓就曾上演过智能汽车标杆级产品特斯拉的破解演示。
而在8月初的HackPWN安全极客狂欢节上,刘健皓也曾成功攻破过比亚迪汽车,2015SyScan360上,刘健皓更是在两位世界汽车安全研究泰斗查理•米勒(Charlie Miller)和克里斯•瓦拉塞克(Chris Valasek)面前,表演了汽车比亚迪“秦”的遥控启停、加油和转向。将汽车变成了一个可以被轻易摆弄的遥控玩具。
图:演讲开始,刘健皓从特斯拉破解说起……
随着车联网的迅速发展,安全问题越来越受到关注,本届SyScan360上,车联网话题亦是重点。早在去年SyScan360上,刘健皓就曾上演过智能汽车标杆级产品特斯拉的破解演示。
会议当天,刘健皓分别从PC端控制系统漏洞、手机APK漏洞、汽车电子系统漏洞等方面,多角度演示智能汽车比亚迪“秦”的破解,这让不少现场听会的安全圈人士顿时作惊恐状,纷纷表示出对汽车安全的担忧。
图:利用漏洞可攻破比亚迪,并遥控其行驶。
图:比亚迪行驶途中,可让其直接断油停驶。
根据刘健皓录制的演示视频显示,通过比亚迪存在的漏洞,他可以用手机打开车门、启动并开走,还可以开启车内空调,甚至开启或关闭后备箱。此外他还能向比亚迪发送“自杀”指令,控制汽车引擎造成人员伤亡。
刘健皓提醒智能汽车厂商,应通过缩短攻击检测时间窗口,加强代理商、设备供应链安全审计,完善车联网安全防御体系等方式防御汽车攻击,“第一时间发现黑客对汽车的逆向并采取及时的行动,利用防火墙技术进行实时威胁监控发现恶意攻击行为,利用SOTA技术进行安全漏洞修复更新”。
查理•米勒以及克里斯•瓦拉塞克是当今世界公认的汽车黑客泰斗,今年7月份,他们克进行了一项测试,在一辆Jeep自由光行驶过程中,侵入Uconnect车载系统,远程通过软件向该系统发送指令,启动车上的各种功能,包括减速、关闭发动机、制动或让制动失灵,在之后的BlackHat上,两人面向全球黑客奉献了那场经典的相声汽车破解秀。
这直接迫使Jeep母公司决定召回140万辆汽车,并对这些汽车的车载软件进行升级,以避免黑客远程控制发动机、转向系统,以及其他车载系统。
与当年挑战苹果系统安全一样,这次查理•米勒再次留下了一条金句:“人们也许不能理解入侵浏览器是多么危险的事,但是他们很容易理解当黑客控制汽车是多么可怕的事情。”
9月份,查理·米勒和另外一位黑客克里斯·瓦拉塞一起加盟Uber,两人将与公司首席安全官Joe Sullivan以及首席信息安全官John Flynn共同工作,打造Uber的安全和保安项目。
据悉,2015SyScan360由亚洲知名安全组织SyScan主办、360公司承办,被称为国际信息安全领域发展的风向标。会议邀请了来自全球的优秀互联网专家和顶级黑客同台竞技,展示亚洲最为顶尖的安全技术。