过去几年,对所谓“汽车黑客攻击”的主要批评是,网络攻击者无法在正常驾驶条件下使用无线命令来劫持和操纵驾驶员的车辆。诚然,研究人员可以远程解锁车门或提示汽车电脑紧急刹车,但这只能在事先仔细操纵车辆之后才能实现。然而,最近对菲亚特克莱斯勒的严厉打击——包括史无前例的罚款和召回 140 万辆汽车——表明汽车制造商和美国政府都不能再将汽车黑客攻击视为纯粹的假设。
菲亚特克莱斯勒早已因近年来未能执行 23 次车辆召回(涉及超过 1100 万辆缺陷车辆)而与美国交通部关系紧张。上周,《连线》发表了一篇文章,详细描述了一次试驾,期间网络安全专家在突破车辆的触摸屏Uconnect 信息娱乐系统后,无线接管了一辆吉普切诺基的控制权。研究人员利用这个入口点访问了车内的其他系统,切断了车辆的变速器,随后又关闭了制动系统。这辆吉普车最终冲到了高速公路旁边的沟里。
“我们之前的工作与这项工作之间的最大区别在于,这项[实验]允许远程攻击,”推特公司的安全工程师查理·米勒说,他与克里斯·瓦拉塞克(IOActive的安全情报总监)共同设计了这次黑客攻击。这对搭档之前的研究重点是攻击汽车内的特定系统(例如刹车),方法是直接插入这些车辆。2013 年,米勒和瓦拉塞克在一次网络安全会议上详细描述了他们如何使用一台 MacBook 来控制丰田普锐斯和福特翼虎(均为 2010 年款)中的电子控制单元 (ECU)。ECU 管理关键的实时系统,例如转向、安全气囊展开和制动,以及不太关键的组件,包括点火、车灯和信息娱乐控制台。汽车制造商使用称为控制器区域网络(CAN)的内部通信网络将多个 ECU 连接在车辆内部。研究人员通过电缆将他们的笔记本电脑连接到每辆车的数据端口,以欺骗车辆的计算机突然高速刹车并转向迎面而来的车辆。
支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您将帮助确保有关塑造我们当今世界的发现和想法的具有影响力的故事的未来。
此类演示未能说服许多汽车制造商网络安全在某些时候可能成为一个严重问题,因此米勒和瓦拉塞克提高了赌注。“由于制造商对我们不理不睬,因为他们说我们需要物理访问,我们认为我们必须向他们展示你可以远程完成它——而这正是我们所做的,”米勒说。
研究人员首先在 10 月份向菲亚特克莱斯勒提出了他们的安全担忧,并告知该公司他们计划在下个月的黑帽网络安全会议上展示他们的研究成果,米勒说。“这就是为什么所有这一切都在这个时候达到高潮,”他补充道。其他几家新闻媒体报道称,菲亚特克莱斯勒上周向联邦监管机构提交的文件表明,该公司早在 2014 年 1 月 就知道其通信系统中存在潜在的安全缺陷。
上周晚些时候,菲亚特克莱斯勒召回了美国 140 万辆配备可被黑客攻击的 Uconnect 设备的车辆。此举紧随交通部下属的国家公路交通安全管理局 (NHTSA) 命令汽车制造商接受“严格的”联邦监管、从车主手中回购一些缺陷车辆并支付 1.05 亿美元的民事罚款(NHTSA 有史以来开出的最大罚款)之后。
菲亚特克莱斯勒的召回可能只是对汽车网络安全做出更大规模响应的开始。上周,参议员爱德华·马基(民主党-马萨诸塞州)和理查德·布卢门撒尔(民主党-康涅狄格州)提出了一项法案,该法案将指示 NHTSA 和联邦贸易委员会建立车辆网络安全国家标准,并努力保护驾驶员隐私。拟议的《汽车安全与隐私法案》还将创建一个评级系统,以告知购车者车辆在多大程度上保护驾驶员的安全和隐私,超出该法案的最低标准。