汽车本质上也是计算机,尤其是近十年来生产的车型。这意味着它们同样面临计算机可能遭遇的黑客攻击风险,尽管受攻击频率相对较低。近期发现的一项蓝牙系统漏洞表明,梅赛德斯-奔驰、大众和斯柯达品牌汽车可能遭受“一键式”攻击,甚至存在远程代码执行风险。
网络安全公司PCA CyberSecurity将这一漏洞命名为“PerfektBlue”。该漏洞涉及使用OpenSynergy公司BlueSDK系统的车辆,该系统广泛应用于大众和奔驰车型的娱乐信息及车辆管理系统,捷克汽车制造商斯柯达也已确认受影响。另有第四家未具名厂商同样存在此漏洞。攻击者可借此实现远程代码执行(如植入恶意软件)、通过蓝牙连接设备获取GPS定位数据和麦克风录音等功能。
令人担忧的是,据BleepingComputer披露,软件供应商OpenSynergy及其合作车企早于一年前就已知晓此问题。OpenSynergy确认在2024年5月收到PCA CyberSecurity报告后,已于9月发布BlueSDK安全补丁。但多数采用该系统的车企至今仍未发布修复漏洞的软件更新。全球可能有数百万辆行驶中的汽车受影响,但由于系统专有性,具体涉及品牌、车型及系统版本难以精确统计。
虽然攻击者利用“PerfektBlue”漏洞实施“一键式”攻击异常简单,但仍需通过蓝牙接入。这将其有效攻击范围限制在约9米内,且仅能在车辆运行状态下实施。
