近日,三名安全研究人員利用汽車第三方軟件的零日漏洞成功攻擊一輛奧迪TT汽車並關閉汽車的安全氣囊係統。汽車信息係統的安全直接影響汽車安全。
這項研究由CrySyS Labs 的Andrs Szijj 和Levente Buttyn 以及布達佩斯技術與經濟學院的Zsolt Szalay 聯合進行,利用了眾多汽車品牌使用的第三方安全軟件中的一個漏洞,該漏洞與Charlie Miller Remote 相關,與劫持Jeep,這次三名安全研究人員需要使用一台PC通過USB端口連接到奧迪TT,才能劫持汽車並關閉汽車的安全氣囊。
由於大量基於計算機的智能化、網絡化功能應用到汽車上,汽車的大部分功能都是由電子設備和軟件控製的。甚至汽車轉向、刹車和油門的控製也涉及到軟件和電子係統。毫無疑問,這些自動控製係統在帶來更好的駕駛體驗的同時,也增加了被黑客攻擊的風險。
不僅新車容易受到黑客的攻擊,而且舊車也越來越多地將智能設備插入車輛診斷端口並連接到智能手機。一旦智能手機連接到汽車網絡,汽車的基本安全和駕駛員的個人信息就會受到損害。受此影響,汽車行業麵臨著PC、互聯網領域日益嚴峻的信息安全形勢。黑客攻擊、安全漏洞、汽車破解和劫持經常與汽車相關。
2015年2月,通用汽車OnStar係統暴露安全漏洞,黑客可利用該漏洞遠程控製汽車; 2015年7月,兩名黑客公開演示利用現有軟件漏洞遠程控製一輛移動的切諾基; 10月21日的SysCan360上,360攻防實驗室的劉建豪演示了利用平板電腦無接觸劫持一輛比亞迪汽車,實現轉向、油門、刹車的控製。
頻發的安全漏洞和黑客攻擊表明,汽車信息係統的安全直接影響汽車安全,危害公共安全、人身財產安全。
近日,360創始人兼總裁齊向東透露,360正在聯合多家機構和車企籌備成立中國車聯網安全聯盟。齊向東介紹,聯盟將彙聚全社會的網絡安全能力,廣泛開展跨行業技術交流與合作,推動產業技術創新,共同麵對和解決汽車信息係統安全。
記者了解到,中國車聯網安全聯盟將推動汽車廠商及相關產業鏈在設計、開發、測試等方麵充分考慮信息係統安全,推動建立相應的規範、標準和體係;推動汽車產業與網絡安全產業合作,共同應對和解決不斷變化的信息係統安全問題;吸收並幫助第三方安全研究人員參與汽車信息係統安全問題的研究和解決。