過去幾年,對所謂“汽車駭客攻擊”的主要批評是,網路攻擊者無法在正常駕駛條件下使用無線命令來劫持和操縱駕駛員的車輛。誠然,研究人員可以遠端解鎖車門或提示汽車電腦緊急剎車,但這隻能在事先仔細操縱車輛之後才能實現。然而,最近對菲亞特克萊斯勒的嚴厲打擊——包括史無前例的罰款和召回 140 萬輛汽車——表明汽車製造商和美國政府都不能再將汽車駭客攻擊視為純粹的假設。
菲亞特克萊斯勒早已因近年來未能執行 23 次車輛召回(涉及超過 1100 萬輛缺陷車輛)而與美國交通部關係緊張。上週,《連線》發表了一篇文章,詳細描述了一次試駕,期間網路安全專家在突破車輛的觸控式螢幕Uconnect 資訊娛樂系統後,無線接管了一輛吉普切諾基的控制權。研究人員利用這個入口點訪問了車內的其他系統,切斷了車輛的變速器,隨後又關閉了制動系統。這輛吉普車最終衝到了高速公路旁邊的溝裡。
“我們之前的工作與這項工作之間的最大區別在於,這項[實驗]允許遠端攻擊,”推特公司的安全工程師查理·米勒說,他與克里斯·瓦拉塞克(IOActive的安全情報總監)共同設計了這次駭客攻擊。這對搭檔之前的研究重點是攻擊汽車內的特定系統(例如剎車),方法是直接插入這些車輛。2013 年,米勒和瓦拉塞克在一次網路安全會議上詳細描述了他們如何使用一臺 MacBook 來控制豐田普銳斯和福特翼虎(均為 2010 年款)中的電子控制單元 (ECU)。ECU 管理關鍵的即時系統,例如轉向、安全氣囊展開和制動,以及不太關鍵的元件,包括點火、車燈和資訊娛樂控制檯。汽車製造商使用稱為控制器區域網路(CAN)的內部通訊網路將多個 ECU 連線在車輛內部。研究人員透過電纜將他們的筆記型電腦連線到每輛車的資料埠,以欺騙車輛的計算機突然高速剎車並轉向迎面而來的車輛。
支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您將幫助確保有關塑造我們當今世界的發現和想法的具有影響力的故事的未來。
此類演示未能說服許多汽車製造商網路安全在某些時候可能成為一個嚴重問題,因此米勒和瓦拉塞克提高了賭注。“由於製造商對我們不理不睬,因為他們說我們需要物理訪問,我們認為我們必須向他們展示你可以遠端完成它——而這正是我們所做的,”米勒說。
研究人員首先在 10 月份向菲亞特克萊斯勒提出了他們的安全擔憂,並告知該公司他們計劃在下個月的黑帽網路安全會議上展示他們的研究成果,米勒說。“這就是為什麼所有這一切都在這個時候達到高潮,”他補充道。其他幾家新聞媒體報道稱,菲亞特克萊斯勒上週向聯邦監管機構提交的檔案表明,該公司早在 2014 年 1 月 就知道其通訊系統中存在潛在的安全缺陷。
上週晚些時候,菲亞特克萊斯勒召回了美國 140 萬輛配備可被駭客攻擊的 Uconnect 裝置的車輛。此舉緊隨交通部下屬的國家公路交通安全管理局 (NHTSA) 命令汽車製造商接受“嚴格的”聯邦監管、從車主手中回購一些缺陷車輛並支付 1.05 億美元的民事罰款(NHTSA 有史以來開出的最大罰款)之後。
菲亞特克萊斯勒的召回可能只是對汽車網路安全做出更大規模響應的開始。上週,參議員愛德華·馬基(民主黨-馬薩諸塞州)和理查德·布盧門撒爾(民主黨-康涅狄格州)提出了一項法案,該法案將指示 NHTSA 和聯邦貿易委員會建立車輛網路安全國家標準,並努力保護駕駛員隱私。擬議的《汽車安全與隱私法案》還將建立一個評級系統,以告知購車者車輛在多大程度上保護駕駛員的安全和隱私,超出該法案的最低標準。