6月24日,比亞迪汽車官方微博確認了汽車云服務控制劫持漏洞的存在,并表示已經對服務器系統進行了升級。6月18日,由103.9主辦的首屆北京露營大會上,來自HackPWN安全極客狂歡節組委會的安全專家現場曾演示了利用該安全漏洞開啟汽車車門、發動汽車、開啟后備箱等。
來自補天平臺上的漏洞信息顯示,該安全漏洞存在于比亞迪云服務系統中,會影響到比亞迪混合動力汽車秦、思銳、S7和最新的唐等多款搭載比亞迪的汽車。黑客可以在不經過車主授權的情況下,控制車輛啟動,打開車門,甚至可以在沒有鑰匙的情況下開啟后備箱。
比亞迪的云服務是為部分比亞迪汽車提供的互聯網+服務功能,通過手機和汽車聯動平臺,實現遠程控制,比如開空調、上鎖、解鎖;導航及定位,比如GPS定位、歷史行車軌跡查詢等;整車體檢,如胎壓、發動機、ESP功能;汽車上網和電話通訊等功能。
比亞迪云服務系統并非首個被報存在安全漏洞的汽車智能系統,早在去年特斯拉汽車就曾被發現應用軟件存在漏洞,黑客可以利用該漏洞開啟車門、天窗并控制汽車燈光。而在去年的黑帽大會上,也有兩名黑客用一套1000美元的設備成功取得了汽車的“控制權”。
最近國內安全團隊360UnicornTeam研究發現了一種可以使用低成本的民用設備就可發起GPS欺騙的攻擊手段,僅需幾百元的設備和經過特殊構造的生成算法及部分開源代碼,即可通過GPS欺詐來劫持汽車的方法,由于GPS已經成為很多人汽車駕駛依賴的工具之一,一旦被黑客劫持,將帶來難以想像的安全問題,在8月份的DEFCON23上的主題演講中,360UnicornTeam也將公開此課題的研究細節。
汽車智能化是當下最熱門的概念之一,在給汽車愛好者們帶來無盡想象和便利的同時,因安全漏洞引發的汽車安全問題也同樣讓人擔憂。沒有鑰匙就能將車開走?遠程就能開鎖?甚至在駕駛員毫不知情的情況下,汽車的控制權就已經被黑客接管,其潛在的安全威脅巨大。
在6月18日北京露營大會上的黑客破解汽車秀的現場,HackPWN組委會的安全專家利用發現并提交的智能汽車的安全漏洞,在沒有鑰匙的情況下,成功利用電腦和手機先后實現了多款汽車的遠程開鎖、鳴笛、閃燈、開啟天窗等操縱,一輛汽車破解從開始操作到成功破解,只花了不到2分鐘的時間。
安全專家劉健皓稱,“破解一輛智能汽車,可以入手的模塊很多,網絡層、瀏覽器應用、移動應用、無線射頻等都可以入手,這也意味著智能汽車的安全將面臨巨大的挑戰。一方面,對于用戶來說,要提高安全意識,加強防護意識;另一方面,對于互聯網安全廠商和廣大白帽子來說,要加強對智能汽車的漏洞的挖掘和研究。”
即將在8月份舉行的HackPWN安全極客狂歡節,面向所有白帽黑客開放,邀請有志于“破解”的白帽黑客共同挖掘市場上智能汽車、車聯網和智能汽車服務平臺的安全漏洞,以此推動業界共同關注并參與汽車智能化的安全防護。
