若能找到一辆,我的下一辆车很可能是1990年款大众高尔夫GTi MK2。尽管我母亲在千禧年代初期开过这款车,吸引我的不仅是怀旧情怀,更关键的是这种老古董车型根本不可能被远程入侵。
总部位于布达佩斯的PCA网络安全公司专注于智能汽车系统攻防研究。过去几年间,该公司曾曝光斯柯达和大众车型的多个安全漏洞,而他们最新的白帽黑客演示更是将2020款日产聆风ZE1变成了重达3500磅的遥控玩具(消息来源:Hackaday)。
骇人听闻的入侵手段
远程窃听车内对话或激活喇叭已足够恶劣,但据称该漏洞甚至能在行驶过程中接管方向盘控制权。PCA网络安全公司如何攻破这款车的防线?与多数智能汽车漏洞类似,问题根源可追溯至日产聆风的车载信息娱乐系统。
在通知日产汽车后,PCA网络安全公司通过博客文章及今年亚洲黑帽大会上的118页演示文档披露了攻击细节。研究团队首先在eBay购买事故车零件,拼凑出信息娱乐系统测试平台。
首道难关是绕过系统的防盗机制,但借助定制Python脚本很快突破。真正令人毛骨悚然的是——黑客仅需驾驶员打开蓝牙连接菜单,即可通过蓝牙接口远程连接,无需物理接触车辆。获得权限后,攻击者不仅能通过GPS追踪车辆,更能接管刹车和转向等关键系统。
安全警示
本次研究针对283C30861E特定软件版本,但所有车主都应立即更新系统。现在想来,连CD播放器都没有的老式汽车反而显得格外可靠,不是吗?
顺着“被黑汽车”的话题,你可知道每辆F1赛车都拥有多个IP地址?若在测试中连接错误地址并刷新电子控制单元,甚至可能直接导致发动机报废。正如我刚编的谚语:“互联程度越高,麻烦就越多。”
