帳號:
密碼:
最新動態
產業快訊
CTIMES / 文章 /
為什麼駭客迫不急待地想進入您的汽車
 

【作者: Christine Young】   2017年08月11日 星期五

瀏覽人次:【9440】


標題總是駭人聽聞:


--駭客遠端摧毀了一輛吉普車—我當時就在裡邊(Wired)


--FBI警告說汽車駭客攻擊是真實存在的風險(Wired)


--GM CEO:汽車駭客攻擊將演變為公共安全問題(MIT Technology Review)


另一種觀點的代表是《科學人》(Scientific American)雜誌:<為什麼說汽車駭客攻擊幾乎是不可能的>。現在,駭客可能並不會很快速、很容易地摧毀您的汽車。但實際上完全可能遠端侵入您的汽車,使得汽車製造商不但必須提前考慮安全問題,而且確保汽車中所有元件的設計安全。


「汽車肯定是不安全的,但這並不重要,因為汽車根本不接入互聯網或外部世界。」在10月27日舉辦的ARM TechCon上,Uber Advanced Technologies Center的高級安全工程師Charlie Miller博士表示。然而,連通性及相關特性正在使汽車變得越來越容易受到攻擊。「最壞的攻擊情況是您能夠發送CAN消息時—也是您作為一名駭客掌握大量控制權的時候。」Miller補充說。


世界上最頂尖駭客之一的Miller參加了會議,在安全的議題上,他站在好人這一邊,目標是預防法律界線另一邊的人造成危害。



圖一
圖一

汽車安全何時開始變得令人擔憂

汽車駭客攻擊曝光於大約2010年,當時美國華盛頓大學(University of Washington)和加州大學聖地牙哥分校(UC San Diego)的研究人員發表了一份研究報告:《現代汽車的實驗室安全分析》。研究者透過向汽車發送消息來控制其?車、雨刷等,重點在於汽車中日益增長的電腦。然而,直到一年之後研究者展示遠端控制汽車,才真正引起人們的注意。在其2011年的研究中,研究者利用了藍牙連接、CD上惡意MP3檔以及安吉星(OnStar)通訊/安全/導航系統中的漏洞。


由於研究者擔心駭客仿效這些行為,所以並未透露任何細節。出於好奇心,Miller與其好友Chris Valasek,Uber高級技術中心的安全主管,開始研究是否可通過類似方式侵入其他汽車。他們進入了一台Toyota Prius和Ford Escape,並且能夠控制其?車、車鎖和雨刷。“目前,我們知道能夠進入至少三款汽車。Miller告訴聖塔克拉拉會議中心的參會者:“一致認為這不是某一輛汽車的問題。這是整個產業範圍的問題。”


仍有一些反對者不認為汽車會受到遠程攻擊。於是,在2015年,這對搭檔現場展示了在Jeep汽車上是有可能的。一周之後,Fiat Chrysler召回了140萬輛汽車。


深入瞭解Jeep駭客攻擊

鑒於其目標是為了增強和實施安全性,Miller和Valasek很樂意分享攻擊Jeep汽車的細節。他們發現無線音響單元是最重要的環節,因為該單元負責處理大多數外部資料。通過對無線音響單元進行深入研究,這對搭檔找到了處理外部資料的方式上的漏洞。令人震驚的是,他們本以為要花費數月的時間來編寫侵入系統的程式;而經過幾周的摸索之後,僅短短5分鐘即完成了這項工作。“讓程式從遠端在這款無線音響單元上運行實際上非常簡單。”Miller表示。


利用漏洞,駭客就能做到遠端控制無線電,或者通過查詢無線音響單元進入GPS系統,進而跟蹤汽車的路徑等。無線音響單元的內部是Sprint網路的無線數據機,支援一台Sprint設備與另一台設備通訊。利用Sprint電話,這對搭檔就能夠找到相同網路上的其他汽車。無線音響單元內部的一片晶片可以被重程式設計—不要求任何檢查或安全認證即可更改韌體。Miller和Valasek利用該漏洞,即可遠端控制汽車的任何元件。


早期設計安全性的案例

1988年,BMW 8系列是第一款採用基於CAN匯流排標準的多工佈線系統的量產汽車。從歷史角度看,沒有必要關注汽車中的防攻擊功能。然而,CAN匯流排的引入和連通性暴露了無數漏洞。



圖二
圖二

當今的汽車必須解決物聯網(IoT)設計中常見的問題:


系統最初僅僅是為內部通訊設計的


所有輸入本質上是可信的


大部分程式碼是很久之前編寫的


系統現在向互聯網開放


好消息是,正如Miller所說:“汽車攻擊實際上很難,僅僅針對Jeep汽車,我就花費了2年之久。”


對於汽車製造商而言,正竭力通過整合更多功能來增強安全性和車內體驗,將無線音響單元從CAN匯流排斷開顯然不是一種好辦法。“我們正在努力搶佔先機,並與汽車製造商進行交流,提前考慮安全事項並在設計中進行實施。”Miller表示:“我們希望製造商關注安全性,並在汽車安全設計方面更加透明。”


安全性方面偷工減料的後果

在《電子設計》(Electronic Design)雜誌最近的一份研究中,51%的工程師認為產品中的安全性「非常重要」,54%的受訪者認為將來產品的安全性「更加重要」。從10月21日網路攻擊造成Netflix、Spotify和Twitter等大面積斷線,到公眾對汽車安全問題越來越擔憂(特別對於自動駕駛汽車),如果不提前在汽車設計中採取安全措施,帶來的後果將無法承受。


(作者Christine Young為Maxim Integrated資深行銷經理)


相關文章
醫療設備高效電源管理之高性能設計
聚焦工業與網通 以生態系統觀點布局市場
選擇不同心跳率偵測技術的工程師指南
實現真正的數位I╱O
想要防範偽冒?為設計選用合適安全驗證方法
相關討論
  相關新聞
» CTIMES X MIC所長洪春暉:剖析2025關鍵趨勢與挑戰
» 強化自主供應鏈 歐盟13億歐元支持義大利先進封裝廠
» 持續推動晶片自造 美商務部撥67.5億美元予三星、德儀及艾克爾
» 意法半導體生物感測創新技術進化下一代穿戴式個人醫療健身裝置
» 迎戰CES 2025新創國家隊成軍 國科會TTA領科研新創赴美


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.18.223.241.235
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: webmaster@ctimes.com.tw