过去,当安全研究人员发现劫持车辆互联网连接系统的方法时,他们的概念验证演示往往表明,幸运的是,黑客入侵汽车是很困难的。像2010年黑客远程控制雪佛兰Impala或2015年入侵吉普车这样的攻击,需要多年的开发工作和巧妙的技巧:逆向工程汽车远程信息处理装置中的晦涩代码,通过无线电连接播放的音频音调向这些系统传递恶意软件,甚至将带有恶意音乐文件的光盘放入汽车的CD驱动器。
今年夏天,一小群黑客展示了一种黑客入侵和追踪数百万辆车的技术,这种技术相当容易——就像在网站上发现一个简单的漏洞一样容易。
今天,一群独立安全研究人员透露,他们在起亚汽车运营的网络门户中发现了一个漏洞,让研究人员可以将大多数现代起亚车辆的互联网连接功能的控制权从车主的智能手机重新分配给黑客自己的手机或电脑——这涉及数十种车型,代表了数百万辆在路上行驶的汽车。通过利用这个漏洞并构建自己的定制应用程序向目标车辆发送命令,他们能够扫描几乎任何互联网连接的起亚车辆的车牌,并在几秒钟内获得追踪该车位置、解锁车辆、鸣笛或随意启动点火的能力。
研究人员在6月份向起亚报告了这个问题后,起亚似乎已经修复了其网络门户中的漏洞,尽管当时它告诉WIRED,仍在调查该组的发现,并且此后没有回复WIRED的电子邮件。但研究人员表示,起亚的补丁远不是汽车行业基于网络的安全问题的终结。事实上,他们用来入侵起亚车辆的网络漏洞是他们向这家现代汽车旗下公司报告的第二个此类漏洞;去年他们发现了一种类似的劫持起亚数字系统的技术。而这些漏洞只是他们在过去两年中发现的一系列类似的基于网络的漏洞中的两个,这些漏洞影响了讴歌、捷尼赛思、本田、现代、英菲尼迪、丰田等公司销售的汽车。
"我们越深入研究这个问题,就越明显地发现车辆的网络安全非常薄弱,"Neiko "specters" Rivera说,他是发现最新起亚漏洞的研究人员之一,也参与了去年1月披露的之前一系列基于网络的汽车安全问题的研究。
"这些单独的问题一再出现,"汽车黑客组织的另一名成员Sam Curry说,他是Web3公司Yuga Labs的安全工程师,但表示这项研究是独立进行的。"两年来,为解决这个问题已经做了很多好的工作,但它仍然感觉很糟糕。"
读取车牌,黑入汽车
在向起亚报告最新安全漏洞之前,研究小组在一些起亚车辆上测试了他们的基于网络的技术——租来的车、朋友的车,甚至经销商停车场的车——发现在每种情况下都有效。他们还向WIRED展示了这项技术,在科罗拉多州丹佛的一个停车场上,对一位刚刚介绍给他们几分钟的安全研究人员的2020款起亚Soul进行了演示,如上面的视频所示。
该小组基于网络的起亚黑客技术并不能让黑客访问转向或刹车等驾驶系统,也不能克服所谓的防盗器,即使点火启动,防盗器也能防止汽车被开走。然而,它可能与汽车窃贼流行的防盗器破解技术结合使用,或用于偷窃没有防盗器的低端汽车——包括一些起亚车型。
即使在不允许直接偷车的情况下,这个网络漏洞也可能为偷窃汽车内容、骚扰司机和乘客以及其他隐私和安全问题创造重大机会。
Curry说:"如果有人在交通中超车,你可以扫描他们的车牌,然后随时知道他们在哪里,并闯入他们的车。如果我们没有向起亚报告这一点,任何能够查询某人车牌的人基本上都可以跟踪他们。"对于配备360度摄像头的起亚车辆,黑客也可以访问该摄像头。Curry说,除了允许劫持汽车本身的互联功能外,网络门户漏洞还允许黑客查询起亚客户的广泛个人信息——姓名、电子邮件地址、电话号码、家庭地址,在某些情况下甚至包括过去的行驶路线——这是一个潜在的大规模数据泄露。
该组发现的起亚黑客技术通过利用起亚客户和经销商网络门户后端的一个相对简单的漏洞来实现,该门户用于设置和管理对其互联汽车功能的访问。当研究人员直接向该网站的API(允许用户与其底层数据交互的接口)发送命令时,他们说他们发现没有任何东西阻止他们访问起亚经销商的特权,比如将车辆功能的控制权分配或重新分配给他们创建的任何客户账户。Rivera说:"这真的很简单。他们没有检查用户是否是经销商。这是一个很大的问题。"
起亚的网络门户允许根据车辆识别号(VIN)查找汽车。但黑客发现,他们可以在获得车牌号后,使用PlateToVin.com网站快速找到车辆的VIN。
更广泛地说,Rivera补充道,使用该系统的任何经销商似乎被授予了令人震惊的控制权,可以决定哪些车辆的功能与任何特定账户相关联。Rivera说:"经销商拥有太多权力,甚至对那些未经过他们店面的车辆也是如此。"
十几家汽车制造商的网站,数百万可被黑客入侵的汽车
Curry和Rivera与另外两名研究人员一起开发了他们的黑客技术,他们在6月向WIRED展示后不久就向起亚报告了他们的发现,该公司回应WIRED的询问时表示正在调查他们的发现。一位发言人写道:"我们非常重视这个问题,并珍视与安全研究人员的合作。"
研究人员报告问题后不久,起亚确实对其网络门户API进行了更改,研究人员说这似乎阻止了他们的技术。然后,在8月,起亚告诉研究人员已验证了他们的发现,但仍在努力实施永久性修复。自那以后,起亚没有更新研究人员的信息,也没有回应WIRED的问题。但在给公司修复研究人员报告的安全问题的标准90天窗口期后,黑客决定公开他们的发现——尽管他们没有发布他们的起亚黑客概念验证应用程序,也不打算这样做。
起亚黑客研究小组最初于2022年底开始组建,目的是探索汽车制造商网站和API的漏洞。其中几人当时住在一位朋友的大学校园里,玩弄一家移动滑板车公司的应用程序时,不小心触发了整个校园的所有滑板车鸣笛和闪灯15分钟。在那时,正如Curry后来所写的,该小组"对尝试更多方法让更多东西鸣笛变得非常感兴趣"——包括比滑板车更重要的车辆。不久之后,Curry发现Rivera长期以来一直专注于汽车黑客,并曾在汽车制造商Rivian工作,已经在研究车辆远程信息处理系统中的网络漏洞。
2023年1月,他们公布了初步研究结果,这是一个巨大的网络漏洞集合,影响了起亚、本田、英菲尼迪、日产、讴歌、梅赛德斯-奔驰、现代、捷尼赛思、宝马、劳斯莱斯和法拉利——他们已经向所有这些汽车制造商报告了这些漏洞。他们写道,对于至少半打公司来说,他们发现的网络漏洞至少提供了某种程度的汽车互联功能控制,就像他们最新的起亚黑客攻击一样。他们说,其他漏洞允许未经授权访问数据或公司的内部应用程序。还有一些针对应急车辆的车队管理软件,他们认为甚至可能阻止这些车辆启动——尽管他们没有安全测试这种潜在危险技巧的手段。
Curry说,今年6月,他发现丰田似乎仍然在其网络门户中存在类似的漏洞,结合他在网上找到的泄露的经销商凭证,将允许远程控制丰田和雷克萨斯车辆的功能,如跟踪、解锁、鸣笛和点火。他向丰田报告了这个漏洞,并向WIRED展示了一封确认电子邮件,似乎证明他能够通过网络重新分配自己对目标丰田互联功能的控制权。然而,Curry在向丰田报告之前没有拍摄这种丰田黑客技术的视频,该公司迅速修复了他披露的漏洞,甚至暂时关闭其网络门户以防止被利用。
丰田发言人在6月份向WIRED写道:"由于这项调查,丰田迅速禁用了受损的凭证,并正在加速门户网站的安全增强,以及暂时禁用门户网站,直到增强完成。"
更多智能功能,更多愚蠢的漏洞
汽车制造商网站中允许远程控制车辆的漏洞数量之多,直接源于公司为吸引消费者——特别是年轻消费者——而推出的智能手机功能,加州大学圣地亚哥分校计算机科学教授Stefan Savage说,他的研究团队在2010年首次通过互联网黑客入侵汽车的转向和刹车系统。Savage说:"一旦你将这些用户功能与手机、这个云连接的东西联系起来,你就创造了以前不需要担心的所有这些攻击面。"
不过,他说,即使他也对管理这些功能的所有基于网络的代码的不安全性感到惊讶。他说:"令人有点失望的是,它竟然如此容易被利用。"
Rivera说,他在汽车网络安全工作中亲身观察到,汽车公司往往更关注"嵌入式"设备——汽车等非传统计算环境中的数字组件——而不是网络安全,部分原因是更新这些嵌入式设备可能更加困难,并可能导致召回。Rivera说:"自从我开始以来,很明显汽车行业的嵌入式安全和网络安全之间存在明显的差距。这两件事经常混在一起,但人们只有一方面的经验。"
UCSD的Savage希望起亚黑客研究人员的工作可能有助于转移这种关注点。他说,许多早期影响汽车嵌入式系统的高调黑客实验,如2015年的吉普车接管和Savage的UCSD团队在2010年完成的Impala黑客攻击,说服汽车制造商需要更好地优先考虑嵌入式网络安全。他说,现在汽车公司也需要关注网络安全——即使这意味着需要做出牺牲或改变他们的流程。
"你如何决定'我们不会在六个月内发布这款车,因为我们没有检查网络代码'?这是一个艰难的决定,"他说。"我希望这种事件能让人们更全面地看待这个决定。"(来源)
0条评论