來自加州大學聖地牙哥分校的4名研究人員於本周舉行的Usenix安全會議上發表一份安全研究報告,表示他們以文字簡訊就能左右汽車的內部控制功能,包含雨刷或煞車。該研究鎖定的並非汽車內建的車載資訊娛樂系統(In-Vehicle Infotainment, IVI),而是汽車售後改裝市場(Aftermarket)的車載資訊控制單元(Telematics Control Unit,TCU)。
車載資訊控制單元主要是讓外界的系統能與車上的電子控制元件進行互動,以用來提供額外的服務或功能。有些TCU是汽車出廠時就內建的,有些則是車主自行安裝,有些則是由保險公司或車輛管理公司安裝的,此一報告鎖定的即是購自汽車改裝市場上另外安裝的TCU。
自坊間購得的TCU通常是個小盒子的造型,並可嵌入汽車的自我診斷系統OBD-II上,OBD-II除了能夠存取低階的感應器之外,也能存取汽車控制器區域網路(controller area network,CAN)以進行監控。研究指出,雖然大多數改裝市場的TCU設計都只是為了監控,但任何具備CAN收發器的裝置都能傳送或接收訊息,並足以用來取得汽車關鍵系統的控制權,包括油門與煞車。
坊間的TCU除了內建處理器及CAN收發器之外,有些還會配置電話號碼以提供GSP、加速器、藍牙,及電信網路等功能,若TCU軟體的安全性不足,就會讓駭客有機可乘,從近端或遠端發動攻擊。
由於這類的TCU支援手機簡訊管理介面,因此,駭客也能利用此一途徑發動攻擊。在該研究團隊所釋出的展示影片中,便利用簡訊來左右汽車的雨刷與煞車。
根據研究人員的分析,市場上現有的TCU存在許多安全漏洞,不論是軟體的架構設計或是配置等,藉由實驗也證實了這些漏洞皆可被利用,並建議TCU製造商或用戶應嵌入更新驗證機制、強化簡訊驗證、要求裝置驗證、改善管理能力、支援密碼功能、關閉廣域網路管理功能,以及經常維護更新伺服器等。(編譯/陳曉莉)
熱門新聞
2024-04-17
2024-04-18
2024-04-17
2024-04-15
2024-04-15
2024-04-15