據(jù)美國(guó)彭博社8月14日?qǐng)?bào)道�����,一項(xiàng)專家研究顯示�,數(shù)千輛大眾汽車(chē)防盜鎖加密系統(tǒng)存在安全風(fēng)險(xiǎn)��。而大眾汽車(chē)公司兩年前就已經(jīng)知悉此事。
兩年多以前�,歐洲3名計(jì)算機(jī)科學(xué)家發(fā)現(xiàn),涉及奧迪��、菲亞特�����、本田���、起亞����、大眾和沃爾沃6品牌的126款汽車(chē)�,由于使用了瑞士EM
Microelectronic制造的芯片(這些芯片存在漏洞),很容易被黑客攻擊���。不過(guò)�,由于大眾采取的法律措施�����,這一發(fā)現(xiàn)此前一直處于保密狀態(tài)。直到目前�,通過(guò)一項(xiàng)法律和解協(xié)議,這些文件才被公布����。
對(duì)此,大眾汽車(chē)集團(tuán)(中國(guó))(以下簡(jiǎn)稱大眾集團(tuán))公關(guān)傳播部向記者確認(rèn)了芯片存在漏洞的事實(shí)����,“根據(jù)相關(guān)研究成果顯示,就一些老款車(chē)型(配備的是相關(guān)報(bào)道中所提及的防盜監(jiān)控系統(tǒng))而言����,盜竊分子至少需要一套配套的車(chē)鑰匙及兩次以上成功啟動(dòng)的記錄才可獲得相關(guān)破譯信息?;谏鲜鍪聦?shí),被提及車(chē)型的防盜性能總體上是安全的”�。
此外,大眾集團(tuán)強(qiáng)調(diào)�����,大眾汽車(chē)現(xiàn)有產(chǎn)品的防盜監(jiān)控系統(tǒng)的安全等級(jí)則更優(yōu)���。對(duì)于是否涉及中國(guó)市場(chǎng)以及如何處理相關(guān)車(chē)輛,大眾集團(tuán)并未提及。
與汽車(chē)智能鑰匙有關(guān)
報(bào)道稱����,這一漏洞與當(dāng)前汽車(chē)采用的智能鑰匙有關(guān)。以往�����,竊賊需要手動(dòng)點(diǎn)火才能發(fā)動(dòng)汽車(chē)���。而目前�����,汽車(chē)鑰匙和點(diǎn)火開(kāi)關(guān)中使用了計(jì)算機(jī)芯片���。只有這兩個(gè)芯片相互接近并發(fā)出正確的代碼后,汽車(chē)才能發(fā)動(dòng)����。
這一技術(shù)使得竊賊無(wú)法盜走汽車(chē)。即使他們能復(fù)制實(shí)體鑰匙�����,但如果沒(méi)有芯片,汽車(chē)也無(wú)法發(fā)動(dòng)���。
然而信息安全研究人員發(fā)現(xiàn)���,這些芯片由于使用了過(guò)時(shí)的加密技術(shù),存在漏洞����。如果有人監(jiān)聽(tīng)芯片的通信過(guò)程,只需兩次�����,那么就可以通過(guò)計(jì)算機(jī)去識(shí)別其中的模式����,隨后復(fù)制鑰匙和芯片。因此���,代駕司機(jī)將有可能竊取汽車(chē)��,而用戶在租賃汽車(chē)并歸還后也有可能進(jìn)行盜竊���。
其實(shí)���,上述信息安全研究人員于2012年就已經(jīng)發(fā)現(xiàn)了這些漏洞��,并且告知了汽車(chē)廠商���,同時(shí)�,給EMMicroelectronic公司9個(gè)月時(shí)間去修復(fù)問(wèn)題����,隨后會(huì)把這一漏洞公之于眾。
然而����,大眾集團(tuán)于2013年對(duì)研究人員和幾所相關(guān)大學(xué)提起了訴訟,阻止他們公開(kāi)發(fā)布這一發(fā)現(xiàn)�。英國(guó)一家法院最初出于汽車(chē)用戶的安全問(wèn)題對(duì)大眾集團(tuán)表示支持,而雙方近期達(dá)成了和解�����,這一信息才得以公開(kāi)�����。
在大眾集團(tuán)給記者回復(fù)的郵件中,并未對(duì)阻止研究者公開(kāi)這一發(fā)現(xiàn)的做法作出回應(yīng)���。
系統(tǒng)漏洞不可避免
多位業(yè)內(nèi)人士向記者指出����,隨著智能汽車(chē)和車(chē)聯(lián)網(wǎng)時(shí)代的到來(lái)�����,傳統(tǒng)汽車(chē)行業(yè)面臨的安全問(wèn)題早已超越了車(chē)部件本身�,汽車(chē)遭受黑客威脅的事件也越來(lái)越多。
除了上述大眾等品牌汽車(chē)智能鑰匙漏洞外�����,近日��,菲亞特克萊斯勒宣布召回140萬(wàn)輛汽車(chē)�,原因是其旗下Jeep自由光車(chē)型車(chē)載系統(tǒng)軟件存在漏洞,可能被黑客利用����。這也是全球首例因黑客風(fēng)險(xiǎn)而召回汽車(chē)的事件。
汽車(chē)行業(yè)分析師張志勇向記者介紹說(shuō):“現(xiàn)在汽車(chē)車(chē)聯(lián)網(wǎng)智能化的發(fā)展趨勢(shì)����,是把汽車(chē)產(chǎn)品從過(guò)去僅僅是一個(gè)交通運(yùn)輸工具逐漸演變成一個(gè)跨界的產(chǎn)品����,即既是一個(gè)交通工具�,同時(shí)又是一個(gè)移動(dòng)終端�����、IT產(chǎn)品����,這其中有很多互聯(lián)網(wǎng)的功能,但只要是IT產(chǎn)品�,就有被黑客侵入的危險(xiǎn),這并不是大眾等品牌面臨的個(gè)案��,而是所有的互聯(lián)網(wǎng)化���、電子化��、智能化產(chǎn)品都面臨的危險(xiǎn)��?����!?
游俠安全網(wǎng)創(chuàng)始人張百川對(duì)此表示贊同�,他說(shuō):“出現(xiàn)漏洞是不可避免的。比如Android系統(tǒng)從手機(jī)上轉(zhuǎn)移到汽車(chē)中��,其實(shí)系統(tǒng)漏洞是一樣的��,只是界面發(fā)生了變化��?!?
獵豹移動(dòng)安全專家李鐵軍也稱,“不管是汽車(chē)還是家電等智能化產(chǎn)品���,從表面上看����,廠商將產(chǎn)品與互聯(lián)網(wǎng)技術(shù)結(jié)合的很好�����,但是從專業(yè)技術(shù)人員來(lái)看����,漏洞是比較嚴(yán)重的����,并且有一些漏洞是比較初級(jí)的”�����。
在張志勇看來(lái)����,不管智能化的技術(shù)�����、車(chē)聯(lián)網(wǎng)的技術(shù)多么復(fù)雜�����,總會(huì)有黑客去破解�����,這是必然的�,這也是未來(lái)新的智能化產(chǎn)品所面臨的共性問(wèn)題,需要全社會(huì)��、全行業(yè)共同解決的問(wèn)題。
“電腦��、手機(jī)系統(tǒng)被黑客侵入���,通常會(huì)導(dǎo)致個(gè)人信息被泄露����、最多也就是財(cái)產(chǎn)損失���,而汽車(chē)產(chǎn)品的系統(tǒng)一旦被侵入�����,用戶面臨的可能就是生命健康問(wèn)題了���。”張志勇說(shuō)���。
大眾公司對(duì)召回未表態(tài)
那么�,大眾汽車(chē)將會(huì)如何處理這些存在軟件漏洞的車(chē)輛�,會(huì)不會(huì)如菲亞特克萊斯勒一樣發(fā)起召回呢?
大眾集團(tuán)在回復(fù)記者的郵件中并未對(duì)此進(jìn)行表態(tài)。
張志勇認(rèn)為,只有當(dāng)產(chǎn)品存在缺陷威脅到消費(fèi)者的健康和人身安全時(shí)�,才適用召回,其他情況可能也會(huì)召回���,但更多是通過(guò)三包的方法來(lái)進(jìn)行解決�。
不過(guò)�,李鐵軍則表示,汽車(chē)不像windows等這些電腦軟件�,直接在線升級(jí)就能修好。對(duì)于汽車(chē)來(lái)講����,一旦發(fā)現(xiàn)系統(tǒng)存在漏洞,很有可能需要集中召回�,由專業(yè)技術(shù)人員對(duì)其系統(tǒng)進(jìn)行修復(fù)�����。
據(jù)了解����,菲亞特克萊斯勒公司召回相關(guān)車(chē)輛后,提供的解決方案有兩種:一����、將車(chē)送至經(jīng)銷商處����,由4S店工作人員負(fù)責(zé)為客戶進(jìn)行系統(tǒng)升級(jí);二�、自行下載軟件更新,將其保存至U盤(pán)��,隨后插入汽車(chē)儀表板處的USB接口�����,在車(chē)機(jī)上執(zhí)行安裝程序即可�����。
在張志勇看來(lái)�����,這些漏洞是無(wú)法徹底修復(fù)的��,“當(dāng)前只能解決所發(fā)現(xiàn)的問(wèn)題�����,修復(fù)之后,還會(huì)有新的漏洞出現(xiàn)�,就如電腦一樣,每隔一段時(shí)間�����,就要進(jìn)行一次系統(tǒng)升級(jí)”���。
“任何一個(gè)公司都是永遠(yuǎn)處在一個(gè)持續(xù)改進(jìn)��、與黑客進(jìn)行破解與反破解的過(guò)程之中�����?����!睆堉居抡f(shuō)。
但是�,張志勇認(rèn)為,雖然系統(tǒng)漏洞無(wú)法避免����,但也不能簡(jiǎn)單說(shuō)智能汽車(chē)沒(méi)有傳統(tǒng)的燃油車(chē)安全�����,當(dāng)然也不會(huì)阻礙汽車(chē)智能化的發(fā)展�。
“智能化的發(fā)展肯定會(huì)持續(xù)進(jìn)行��,這些漏洞只會(huì)警醒我們?cè)趺丛谄?chē)的智能化上做得更好�����。另外�,還一定會(huì)促使相關(guān)部門(mén)或者行業(yè)協(xié)會(huì)來(lái)制定相關(guān)的規(guī)范和標(biāo)準(zhǔn),同時(shí)會(huì)引起司法部門(mén)對(duì)此監(jiān)管的重視�,一旦發(fā)現(xiàn)黑客人群有危險(xiǎn)行為,對(duì)其實(shí)施相應(yīng)的處罰�。”張志勇進(jìn)一步補(bǔ)充說(shuō)����。
“隨著互聯(lián)網(wǎng)對(duì)汽車(chē)介入越來(lái)越深,汽車(chē)將會(huì)更智能����,受攻擊的可能性也會(huì)增大,但同時(shí)在這方面的研究會(huì)逐步增多���、防御水平也會(huì)越來(lái)越高�。”張百川說(shuō)��。
佰佰延伸閱讀:
汽車(chē)智能鑰匙存被盜軟件漏洞 因大眾公司推遲兩年發(fā)布
更多相關(guān)資訊請(qǐng)關(guān)注本安全網(wǎng)��,更多安全知識(shí)盡在安全常識(shí)頻道!
為更好的為公眾說(shuō)明安全知識(shí)的重要性�,本站引用了部分來(lái)源于網(wǎng)絡(luò)的圖片插圖,無(wú)任何商業(yè)性目的�。適用于《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》第六條“為介紹、評(píng)論某一作品或者說(shuō)明某一問(wèn)題�����,在向公眾提供的作品中適當(dāng)引用已經(jīng)發(fā)表的作品”之規(guī)定����。如果權(quán)利人認(rèn)為受到影響,請(qǐng)與我方聯(lián)系����,我方核實(shí)后立即刪除。
