|
|
黑客:成千上万的车辆被攻击的风险. 灰鸽子使用教程,灰鸽子下载
确保车辆的最佳方法是通过检测攻击他们发生
安全专家最近展示了他可以侵入一辆吉普车和控制最重要的功能说同样可以做得与成千上万的其他车辆今天在路上。
安全专家查理·米勒和克里斯Valasek与《连线》杂志展示如何远程入侵和控制娱乐系统以及更多的一辆2015年吉普切诺基的重要功能。
黑客都是经验丰富的IT安全人员。米勒是前国家安全局黑客和安全研究员Twitter和Valasek IOActive安全研究部主任,一家咨询公司。
随着《连线》杂志的记者在高速公路驾驶车辆,黑客能够操纵它广播和挡风玻璃雨刷,甚至关闭汽车。
车辆发生黑客连线记者安迪·格林伯格开着吉普切诺基Rte。40在圣路易斯。黑客10英里之外。
黑客表示,他们能够使用的细胞连接到吉普车的娱乐系统或主管单位进入其他系统;车辆的单位通常被连接到各种电子控制单元(ecu)坐落在一个现代的汽车。可能有多达200人在汽车ecu。
米勒和Valasek花了大约一年侵入UConnect提供克莱斯勒的主管单位,根据米勒,它需要三个步骤。
获得车辆的主管单位/控制器芯片和固件,灰鸽子远程控制软件,远控。
使用单位负责人的固件妥协车辆的控制器区域网络(可以),这说明所有的整个汽车电子控制单元(ecu)
发现它可以传递可以控制各种车辆功能。“第一步我想将最难的:找到一个远程漏洞和编写一个利用。
事实证明,实际上是相当容易的,所以我已经做了大约三个星期,”米勒说。“第二步我以为会很容易,真的很困难。花了大概三个月。”
可以将消息发送给车辆系统的最后一步只是一种发现哪些消息控制功能,米勒解释道。
乔恩·艾伦,博思艾伦咨询公司的首席分析师说,他不确定是否黑客进入汽车之前启用了攻击。
在防御黑客会议上2013年,米勒和Valasek证明他们能够侵入福特和丰田普锐斯和控制刹车和转向。然而,黑客,要求对车载诊断(OBD-II)计算机的物理访问端口在每个车辆。自1996年以来,OBDⅱ港口标准在美国所有车辆,他们允许访问ECU数据。
“没有不同于把糖倒进一辆车的油箱。所有你需要的是物理访问。Valasec和米勒是好标题,”艾伦说。“他们有物理访问车辆之前砍它。”
米勒表示,克莱斯勒吉普切诺基属于他,但之前访问所需的车辆不是零day-style攻击发生。
“我们可以轻松做了同样的事情在一个脆弱的成千上万的车辆在路上,”米勒说。“我们获得了利用漏洞,在场的头单元(即收音机/导航thingie)通过互联网访问。它不需要任何物理访问或更改车辆。”
攻击,将工作在任何Uconnect提供克莱斯勒汽车的远程信息处理系统从2013年底,2014,和2015年初,包括道奇、Ram和吉普车模型汽车。
物理设备需要执行车辆黑客是相对简单的:米勒和Valasek京瓷Android智能手机作为W-iFi热点连接到一个MacBook笔记本电脑。
克莱斯勒的主管单位与互联网Sprint的蜂窝网络。
汽车制造商经常收集信息通过蜂窝网络,以提醒司机在车辆需要保养或维修。
今天,越来越多的汽车制造商也嵌入wi - fi路由器,让移动互联网连接。
米勒说,他的吉普切诺基wi - fi的选择,但它的细胞功能,允许从任何地方访问。
吉普切诺基Creative Commons印度人寿保险公司。吉普切诺基像查理·米勒和克里斯Valasek能够侵入。
通过手机连接,米勒和Valasek能够获得车辆的GPS坐标,车辆识别号码,,更重要的是,它的IP地址。
米勒说允许攻击的脆弱性是独家UConnect提供克莱斯勒的主管单位,但也有可能相似类型的安全漏洞对其他车辆的远程信息处理系统。
米勒与克莱斯勒和Valasek沟通他们的研究在过去的九个月左右,这让该公司发行软件补丁,以帮助防止未来的攻击。
罗恩·蒙托亚,消费者的建议与Edmunds.com的编辑,说他很惊讶车辆所需的物理访问不是黑客,但他也不认为黑客工具是像看起来那么容易。
“这是一组研究人员已经将他们的生活过去的几年里,这样做,他们有很高的技能水平。他们安全工程师,”蒙托亚说。“我不认为这是吓一跳。它(给)意识到汽车制造商,他们需要认真审视他们的车辆安全。”
创造更安全的汽车,蒙托亚认为制造商最终必须找到一个方法来隔离驱动函数从信息娱乐系统。
艾伦认为,广泛的车辆袭击将来不太可能发生,因为会有小的货币激励,他们会需要大量的工作。
确保车辆无线黑客与防火墙和更少与认识到正在发生的攻击和关闭才能操纵汽车。
米勒表示同意。
“你需要分层的方法,就像你在企业安全,”米勒说。CAN总线是非常简单的。的消息非常可预测的,但是当我开始发送消息导致攻击……,这些消息非常明显。”
汽车制造商可以很容易地升级软件来检测恶意信息和指导至关重要的车辆系统,如刹车或传播,忽视他们,米勒说。
马萨诸塞州民主党参议员爱德华·马基(和理查德•布卢门撒尔(银行业)本周提出立法,要求联邦政府制定标准,以确保汽车安全的司机对车辆网络攻击。
除此之外,你的车的安全性和隐私(间谍汽车)法案要求车辆装备技术,可以检测,实时报告和阻止黑客攻击。
“汽车网络的入侵检测系统。这是我们一直提倡的东西很长一段时间,”米勒说。“是的,克莱斯勒固定这个特定的远程漏洞,但也有其他问题。我们不能建立完美的软件。有人会侵入另一辆车有一天单位。” |
|
加载中...
发表于 2015-7-25 10:42:13
发表于 2015-7-25 10:42:15