作者:次元
根據彭博社等外電媒體援引德國汽車俱樂部 ADAC(Allgemeiner Deutscher Automobil-Club)的報告指出,BMW 的 ConnectedDrive 系統在安全性方面有瑕疵,這將使得駭客得以在短短幾分鐘內自遠端進行程式攻擊並且入侵車輛內部,進而開啟車門,此項隱憂涉及 BMW 及集團旗下所屬的 MINI 和 Rolls-Royce 品牌車輛。
ADAC表示,大約有220萬輛 生產時間在 2010年3月至2014年12月之間;配備 ConnectedDrive 互聯系統的車輛受到影響,包括 Rolls-Royce Phantom、MINI 和 BMW i3 電動車在內的絕大部分 BMW 品牌車型。不過 BMW 方面在很短的時間內便回應表示已經升級了互聯系統軟體以解決安全疑慮,當車輛連接到 BMW 伺服器時軟體將會自動更新版本。BMW 發布聲明表示集團已經在第一時間作出反應並且提高了互聯網的安全性,BMW 同時也表示目前尚未接獲任何因該系統瑕疵而造成事故的消息。BMW 方面認為 ConnectedDrive 系統的漏洞尚不足以導致車輛被駭客盜竊開走,不過也凸顯出數位化、網路化的車載系統普及將使得被入侵的機率大增,車廠方面需要新增類似防火牆的機制來圍堵外來的入侵情形以確保車輛的安全性。
BMW ConnectedDrive
Rolls-Royce Phantom
車載系統智慧化及網路化為汽車用戶帶來了巨大的便利,然而遠程無線渠道的漏洞卻也提供駭客入侵的機會。至目前為止從 Bentley 到 Ford Kuga、Toyota Prius、Tesla 等等車型皆曾遭遇透過系統漏洞而被入侵控制的情狀。2013年,英國伯明翰大學的 Flavio D. Garcia、荷蘭內梅亨大學 Radboud University Nijmegen 的 Roel Verdult 和 Baris Ege 宣布,突破了 VW 集團旗下 Audi、Porsche、Bentley 和 Lamborghini 等品牌及其他使用 Megamos Crypto 防護系統的車款,破解了車輛內部的獨特編碼邏輯。
Megamos Crypto System Key
同年,Twitter公司軟件安全工程師 Charlie Miller 和 IOActive 安全公司智能安全總監 Chris Valasek 表示,在獲得美國政府許可的情況下,對經由網絡入侵攻擊汽車進行了數月的研究,並在當時實現迫使 Toyota Prius 在 80mph(128km/h)的條件下強制進行剎車、控制方向盤、並讓引擎加速;實驗中也能使得 Ford Kuga 在超低速行駛時剎車失效,無論駕駛如何猛踩剎車,車輛都將繼續前進。不過這項對汽車模擬發動攻擊的研究是需要坐在車輛中的條件下,用電腦直接連上車輛的網絡系統,而非遠端入侵汽車系統。
至於以新銳科技形象聞名的 Tesla 也遭遇了網絡駭客的挑戰。2014年3月28日,網絡安全顧問 Nitesh Dhanjani 宣稱 Tesla Model S的安全系統存在多處設計缺陷,但並非維車輛系統上的軟體漏洞。Tesla 的安全系統缺陷主要是車主在下單購買 Tesla 電動車時需要設立一個帳戶,並設置6位數密碼,該密碼用於解鎖智慧型手機上的 app 用途使得車主登入其專屬的 Tesla 帳號。該免費 app 功能能夠定位車輛並遠程解鎖,以及控制和監控其他功能。但由於 Tesla Model S 的帳戶密碼安全等級較低,駭客得以輕易的透過程式運算出帳號、密碼,進而定位車輛並竊取相關隱私。但 Dhanjani 同時指出,Tesla Model S 的車輛啟動條件仍需鑰匙來執行,駭客固然可以解鎖、定位車輛,但尚無法將車輛駛離。
|
0
3269
