admin 发表于 2017-3-13 11:22:36

BlackBerry声称QNX汽车软件与CIA安全无关.远程控制软件,灰鸽子

BlackBerry声称QNX汽车软件与CIA安全无关.远程控制软件,灰鸽子专家认为,现在是建立联邦标准的时候,以确保关键车辆系统的独立认证安全

http://images.techhive.com/images/article/2016/06/car_wireless_internet_security_privacy_security_locks-100437820-primary.idge-100597869-primary.idge-1-100665279-primary.idge.jpg

一天后,通过维基解密透露,CIA据称探索黑客车辆计算机控制系统,包括黑莓的QNX操作系统,该公司表示,其软件是安全的。

“我们目前还没有意识到对黑莓产品或服务(包括QNX)的任何攻击或漏洞攻击,但这个消息令人恐惧,现在我们处于半自动驾驶时代,并正在向全自动驾驶汽车发展,黑莓的首席运营官Marty Beard在一篇博客中说。

BlackBerry声称其QNX软件是由超过240个汽车模型代表的6000万辆汽车。该公司的目标是成为连接汽车领域的领先端到端软件平台提供商。

今天,QNX软件不仅可以在车载信息娱乐系统中找到,还可以用于支持车辆远程信息处理,仪表盘和先进驾驶辅助系统(ADAS)。
周三,维基解密发布了超过8,700份文件,声称来自中央情报局网络智能中心。一些文件表明,情报机构考虑利用智能手机,智能电视和车辆计算机系统中的安全漏洞。据称,目的是能够激活设备的麦克风和相机,以能够窥探敌人。

“截至2014年10月,中央情报局还在考虑感染现代汽车和卡车使用的车辆控制系统,”维基解密的帖子说。 “这种控制的目的没有规定,但它允许中情局进行几乎无法察觉的暗杀。

黑莓首席安全官戴维·克莱德迈克(David Kleidemacher)表示,夜间阻止他的是,车辆对于民族国家和恐怖分子来说是一个丰富的机会目标。

“如果你是一个恐怖分子,你试图做很多的伤害,你宁愿劫持飞机飞进双子塔...或者你会想找到一个方法劫持1000万辆汽车一次,因为有一个普通互联网连接?这不会更有吸引力的恐怖分子吗? Kleidemacher说。 “事实上,人们不认为这是一个真正的威胁,是我深深的不安。

然而,QNX不具有与消费者或甚至企业级操作系统相同的漏洞,因为作为对车辆安全至关重要的系统,它被设计为没有根漏洞,根据Kleidemacher。

他说,QNX基于微内核架构,它将诸如网络堆栈,文件系统,软件驱动程序和内存等功能分隔开来。

在使用单片内核架构构建的标准操作系统中,如果攻击者获得root访问权限,则可以自由运行整个系统。这就是为什么这么多的网络攻击最终归结为欺骗操作系统,认为攻击者是一个root用户。

“QNX的当前版本或以前版本没有任何漏洞,”Kleidemacher说,QNX也是唯一符合ISO 26262 - 汽车安全完整性水平可能的汽车软件。

根据维基解密的文件,安全专家说,他们不惊讶中情局一直在研究漏洞,但他们很遗憾,该机构一直囤积他们。

工作人员律师Kit Walsh说:“这些机构应该揭露漏洞,让公司可以解决这些漏洞,并保持美国人的安全。这是一个巨大机构没有遵守这些规则,让人们暴露于漏洞,以便利用它们的例子。与隐私组织电子前沿基金会(EFF)。

密码学和计算机安全专家Bruce Schneier说,需要的是政府监管。

“这是一个巨大的问题,”Schneier说。 “这是直接以物理方式影响世界的事物,会对财产和生命造成伤害。

现代车辆具有60至100个微处理器或电子控制单元(ECU)以及超过1亿行的软件代码。而且,越来越多的车辆通过Wi-Fi连接到互联网,使他们对远程黑客开放。

汽车制造商还在探索将汽车彼此连接的方式以及它们周围的道路基础设施,以使自动化特征(例如自动导航)能够在交通灯改变时检测道路障碍物并减轻车辆读取的路口备份。

Kleidermacher同意,在汽车软件安全方面缺乏监管,需要纠正。

去年,巴拉克·奥巴马总统设立了加强国家网络安全委员会,其任务是与行业专家交谈,以制定加强网络安全的方法。

黑莓是受访的100个组织之一,有关如何支持安全的想法。

Kleidermacher说,面临高风险,关键的无线基础设施(如起搏器等医疗保健设备)的最大缺口是消费者没有证据表明


页: [1]
查看完整版本: BlackBerry声称QNX汽车软件与CIA安全无关.远程控制软件,灰鸽子