上周拉斯维加斯的黑色帽子和Defcon会议的可怕谈判,关于喧嚣汽车的那些是最可怕的。

如果汽车制造商对安全性粗心粗心,因为作为智能电子产品的其他制造商,我们就会出现一些麻烦。Charlie Miller,Twitter,Twitter的安全研究员,Chris Valasek是一个安全的研究员,即Ioactive,在黑帽子上说话。最重要的是,Defcon会议的一群安全专家呼吁汽车制造商建造具有实际安全措施的汽车。

黑客汽车的风险可能似乎远程,但随着汽车制造商包的无线网络和其他计算系统进入最新型号,风险是有形的,因为米勒和VALASEK在他们对各种模型的评估中显示出来。他们评估了24种不同车辆的“攻击表面”。没有通过的汽车包括无限Q50和Jeep Cherokee。这对预计将很快发布汽车的网络安全评级。

“我们发现当你对东西增加很多复杂性时,往往有错误,”Valasek说。“人们需要做建筑评论并看看不同的汽车。看这个的人越多,越多越好。“

在他们的演示结束时,Miller和Valasek展示了他们如何将自己的图片成功地将自己的照片注入米勒所拥有的吉普车的屏幕上。考虑到他们可怕的主题,他们显然有太多的乐趣。米勒是黑帽的老兵。他在过去谈论了黑客攻击Mac OS,第二人生和iPhone的谈判。他的会谈总是愚蠢,但他作为安全研究员的技能受到高度尊重。

以上:Twitter的Ioactive和Charlie Miller Chris Valasek

图像

与此同时,一群被称为我是骑兵写了一封德国汽车制造商的信。它们希望对汽车内的数字工具进行强制性测试,这是一个负责任的披露程序,以便研究人员可以在没有法律风险的情况下安全地披露漏洞,每种模型中的一个黑匣子来记录事件和安全软件更新。

所有的研究人员都表示旧设计的致命错误是汽车设计师在同一内部网络上放置不同的电子系统。例如,如果有人被攻击到汽车的Wi-Fi系统中,他们不应该能够进入控制汽车方向盘的电子产品。这应该是一个单独的网络,这些网络与汽车的信息娱乐或导航系统等其他系统没有链接。

我是骑兵的信说:“当我们依靠公共安全和人类的技术时,它命令最大的关注和勤奋。我们的汽车命令这种护理水平。每天,我们每天都委托我们的生活和那些我们喜欢我们的汽车的生活。我们的外联努力的目标是促进安全研究人员和汽车行业之间的更多团队合作。我们的综合专业知识是必要的,以确保计算机技术引入的安全问题是与其他类汽车安全问题相同的勤奋。“

特斯拉有很多安全性,它还具有漏洞披露系统。大多数汽车制造商似乎对黑客毫无准备,因为它们尚未用于解决电子系统的想法。例如,轮胎压力监测系统是可拍的。但与它相关的风险很小。随着汽车制造商增加了更多的计算能力和通信到他们的汽车,他们成为更大的目标。

Miller和Valasek表示,他们无法远程破解任何汽车,但他们认为这是可能的。(他们没有预算在很多车上试验)。他们展示了一种可以插入车辆的入侵检测系统,以防止外部干扰。当一个网络攻击发生时,汽车关闭网络功能。

“我们在汽车中调查了系统,看看我们是否可以控制转向或刹车等东西,”米勒说。

Valasek和Miller已获得美国政府国防高级研究项目(DARPA)的资金,以获得以前的相关研究。DARPA还资助自动驾驶汽车研究。2011年,华盛顿大学和加州大学圣地亚哥的研究人员可以通过插入其CD播放器中的磁盘,机械师使用的诊断设备或蜂窝连接来破解轿车。

其他研究人员指出,高端汽车有大量的计算机来控制制动器,加速度,巡航控制和自停车。攻击者必须找到一种方法来利用系统,然后使用该漏洞向电子控制单元发送命令。这些缺陷是一个问题,因为它很难修补汽车。

可能的弱点包括蓝牙和蜂窝连接,Wi-Fi,车载应用程序和桌面样功能。这些弱点远远访问了车辆。一个解决方案可能是在具有安全检查的网络中安装网关。这可以帮助围绕着彼此的各种网络。

“从我们的角度来看,这些是目标,”Valasek说。“蓝牙可能是[目前]之后最大的攻击表面。这是一个可行的攻击表面。“

然而,将蜂窝和Wi-Fi添加到汽车上,更像是“攻击可能性的圣杯,”Valasek说。“这是最多的。”

“这意味着,在未来,汽车将有互联网访问和应用程序,”米勒说。“一旦您向汽车添加Web浏览器,就结束了。我已经写了Web浏览器漏洞,很多人都知道如何这样做。“