汽车安全再拉警报,CarsBlues攻击来袭

汽车安全再拉警报,CarsBlues攻击来袭

随着汽车日益自动化与不断联网,汽车系统的安全性与完整性成为汽车行业的当务之急。

近日,Privacy4Cars的研究人员在几大汽车品牌的车载娱乐系统中发现了一种新的大规模网络漏洞攻击,被称为“CarsBlues”。该漏洞可能允许攻击者通过蓝牙获得车主手机信息并进入到车载娱乐系统获得访问权限,对用户隐私以及车辆安全具有极高的威胁性。全球范围内受到该漏洞影响的汽车可达数百万辆,主要出现在那些将手机信息同步在租用、退回的车辆中。

据了解,目前Privacy4Cars公布了一款同名App,用于清除车辆上用户的个人身份信息(PII),同时专家提醒用户,驾驶人员最好及时清理同步信息以避免类似问题的发生。

关于Privacy4Cars

汽车安全再拉警报,CarsBlues攻击来袭

App Store中提供的Privacy4Cars应用程序

Privacy4Cars的推出旨在解决用户对于隐私安全的顾虑,该款新应用可从大多数互联车辆车载信息娱乐系统中擦除所存储的个人数据。个人隐私及网络安全领域的专家Andrea Amico创建了该款应用,旨在删除租赁车辆、汽车共享项目车辆及出售车辆车载信息娱乐系统内的数据。Privacy4Cars正在申请专利,将为用户提供定制化的逐步操作教程,帮助用户快速擦除车载信息娱乐系统内的手机号、电话记录、定位历史记录、车库门牌号等个人信息。此外,现有的软件还内置了一款软件开发套件(SDK)。

关于CarsBlues黑客

汽车安全再拉警报,CarsBlues攻击来袭

当用户用iPhone或安卓智能手机通过蓝牙连接车辆时,会留下地图目的地、车库代码、联系方式、手机号乃至短信记录等数据使用记录。

Privacy4Cars的研究人员发现,黑客可以利用蓝牙协议来执行攻击,且无需任何复杂昂贵的硬件或软件工具。

“Privacy4Cars是目前第一个也是唯一一个旨在帮助从用户从车辆中删除个人身份信息的移动应用程序,今天公开披露了一种名为CarsBlues的黑客攻击行为,它通过蓝牙协议利用了几大汽车品牌的车载娱乐系统。该攻击可以在几分钟内完成,使用廉价且易于获得的硬件和软件,攻击者无需丰富的专业知识和技术,”Privacy4Cars称。

在开发Privacy4Cars应用程序期间,也就是2018年2月,Privacy4Cars公司创始人Andrea Amico首次发现了这类黑客漏洞攻击。在揭露该漏洞后不久,Amico迅速采取行动并通知了汽车信息共享与分析中心(Auto-ISAC),以分析新出现的汽车网络安全风险情报。此外,该公司还与Auto-ISAC密切合作,了解黑客如何在用户不知情的情况下访问汽车中存储的联系人号码、通话记录、文本日志甚至全文消息。据估计,此次黑客攻击将影响全球数以千万计的汽车。这仅是一个乐观的估计,实际数字可能要大得多。

该公司与Auto-ISAC一起完成了对CarsBlues黑客的分析,目前正致力于使组织和公众认识到黑客攻击的风险。

Amico称“CarsBlues黑客攻击易复制、针对毫无防备的目标广泛执行、以及漏洞难以检测,这些都清楚地表明,无论是商家还是消费者都需要积极主动从车载娱乐系统中删除个人身份信息。”

在评论是否会有其他风险时,Amico说:“那些已经同步手机信息并让其他人临时进入其个人车辆的人,例如经销商的服务中心、维修店、代驾等也可能产生CarsBlues风险。”

同时他强调,如果用户已将其手机与已租借、通过订阅服务共享或借出的车辆同步,则该漏洞也可能暴露个人隐私数据。

蓝牙攻击先例

汽车安全再拉警报,CarsBlues攻击来袭

以蓝牙方式攻击汽车其实早有先例,尽管也能成功,但当时的攻击远远没有现在这么便利。

2011年3月,美国华盛顿大学(University of Washington)与加州大学圣地牙哥分校(University of California-San Diego)的研究团队,共同发表了一份名为《汽车攻击面的综合实验性分析(Comprehensive Experimental Analyses of Automotive Attack Surfaces)》的技术论文,提供给美国国家科学院(NAS)一个针对电子车辆控制与意外加速议题的委员会参考。论文作者以最新的量产轿车为平台,进行了系统性与实证性的远端攻击面分析。

论文指出CAN总线所提供的弹性能打造安全、具成本效益的网络,让供应商为汽车添加各种通过电脑控制的系统(从车窗、门锁控制,到刹车、引擎控制等安全关键功能);但该种弹性也可能为新型态的黑客攻击提供机会──例如侵入环绕所有车内电脑控制系统(包括刹车、引擎控制等关键任务功能)的汽车内部网络。全程从远端控制汽车音响音量,甚至蓄意停止或启动汽车引擎,是完全有可能做到的。

那黑客到底要如何从远端侵入汽车网络?

以蓝牙攻击的案例来说,黑客得先在靠近汽车接收器的地方布置无线发送器。接着黑客还需要了解该车辆的蓝牙MAC位置,才能在远端利用汽车的安全漏洞,这感觉会是个很复杂的工作。但研究人员指出,分析结果显示,尽管需要费比较大的功夫来布置并接近攻击车辆,但别有企图的黑客确实能达到攻击目的。 因此,在远端透过无线连结控制车辆并不是很难做到。论文中还发现,大部分车用蓝牙装置并不需要与使用者进行任何互动,就能完成配对。论文作者指出,无线连结频道带来许多安全漏洞,让黑客能根据需求远端触发行动、甚至横跨多台车辆同步运作或是以交互方式进行控制。

专家建议

作为预防措施,专家建议用户在将车辆交给任何人之前从车载娱乐系统中删除个人数据。此外,汽车制造商应建立强大的网络安全政策,以保护消费者数据。截至目前,Privacy4Cars证实,至少有两家汽车制造商已经为其2019年新车型进行了系统更新,以保护其免受CarsBlues漏洞的影响。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/132650.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code