汽車安全研究專家列出最容易駭入的汽車包括克萊斯勒2014年款Jeep Cherokee,凱迪拉克2015年款的Cadillac Escalade,以及Nissan今年款的Infiniti Q50。圖為Infiniti Q50內裝。

圖片來源: 

InfinitiUSA網站

在本周於美國賭城展開的黑帽 (Black Hat)大會上,IOActive的汽車安全研究總監Chris Valasek與Twitter的安全工程師Charlie Miller共同發表了一份遠端汽車攻擊調查報告(A Survey of Remote Automotive Attack Surfaces),他們檢驗了24款汽車,並發現最容易被駭的前三名依序是克萊斯勒2014年款的Jeep Cherokee,凱迪拉克2015年款的Cadillac Escalade,以及Nissan今年款的Infiniti Q50,最不容易被駭的前三名則是克萊斯勒今年款的Dodge Viper,奧迪今年款的Audi A8,以及今年款的Honda Accord。

Valasek表示,汽車安全議題已從邊緣議題而變成主流,駭客透過遠端漏洞將可執行各種惡意行動,從進行竊聽、控制方向盤到讓剎車失靈。該報告從攻擊介面、網路架構,與結合運算、感應器與控制功能的網路物理系統(cyber physical system, CPS)功能等三大層面來檢視汽車被駭的可能性。

現今的汽車每台約含有20~100個名為電子控制單元(Electronic Control Unit,ECU)的電腦元件,每個ECU負責汽車的某些或特定功能,例如專門偵測安全帶是否繫緊、方向盤角度或ABS的各種ECU,有些ECU之間會彼此傳遞數據,有些ECU則會與汽車內部網路或是外部網路通訊,而這些連網ECU不論對製造商、乘客或車輛而言都是最大的安全威脅。

要攻擊這些汽車有三大階段,第一階段是必須先能自遠端存取汽車內部網路,以間接或直接控制ECU,這個階段的攻擊通常無法直接取得汽車重要功能的控制權,但已能竊聽汽車上的通訊;第二階段則是於汽車內部網路注入惡意訊息或程式,這時即可與諸如負責方向盤、剎車,或油門等可能危害駕駛安全的ECU取得聯繫;最後一步則是利用逆向工程理解汽車的指令架構,並進一步變更ECU的行為。

Valasek與Miller在分析24款新型汽車後發現,汽車所使用的ECU數目愈來愈多,而CPS功能、遠端攻擊介面,或是車內所使用的各種網路數量也日益增多。這些汽車採用普及的桌面技術,具備諸如瀏覽器與車內程式的功能,也替駭客帶來熟悉的攻擊介面。

此外,諸如「主動車距控制巡航系統」(Adaptive Cruise Control)等CPS控制器愈來愈普及,這些新科技通常允許電腦自動執行物理動作以改善行車安全,但同時也成為駭客的攻擊目標。

Valasek與Miller指出,有鑑於汽車攻擊必須分階段進行,防禦也應有不同的層次,汽車製造商應該要儘量減少遠端服務以最小化相關的攻擊介面,降低被注入惡意訊息的機會,以及加密汽車的內部通訊,並隔離及加強把關那些可危及行車安全的重要ECU。(編譯/陳曉莉)

熱門新聞

Advertisement