比亞迪確認(rèn)云服務(wù)漏洞 智能汽車智能安全迫在眉睫

6月24日，比亞迪汽車官方微博確認(rèn)了汽車云服務(wù)控制劫持漏洞的存在，并表示已經(jīng)對(duì)服務(wù)器系統(tǒng)進(jìn)行了升級(jí)。6月18日，由103.9主辦的首屆北京露營大會(huì)上，來自HackPWN安全極客狂歡節(jié)組委會(huì)的安全專家現(xiàn)場(chǎng)曾演示了利用該安全漏洞開啟汽車車門、發(fā)動(dòng)汽車、開啟后備箱等。

來自補(bǔ)天平臺(tái)上的漏洞信息顯示，該安全漏洞存在于比亞迪云服務(wù)系統(tǒng)中，會(huì)影響到比亞迪混合動(dòng)力汽車秦、思銳、S7和最新的唐等多款搭載比亞迪的汽車。黑客可以在不經(jīng)過車主授權(quán)的情況下，控制車輛啟動(dòng)，打開車門，甚至可以在沒有鑰匙的情況下開啟后備箱。

比亞迪的云服務(wù)是為部分比亞迪汽車提供的互聯(lián)網(wǎng)+服務(wù)功能，通過手機(jī)和汽車聯(lián)動(dòng)平臺(tái)，實(shí)現(xiàn)遠(yuǎn)程控制，比如開空調(diào)、上鎖、解鎖;導(dǎo)航及定位，比如GPS定位、歷史行車軌跡查詢等;整車體檢，如胎壓、發(fā)動(dòng)機(jī)、ESP功能;汽車上網(wǎng)和電話通訊等功能。

比亞迪云服務(wù)系統(tǒng)并非首個(gè)被報(bào)存在安全漏洞的汽車智能系統(tǒng)，早在去年特斯拉汽車就曾被發(fā)現(xiàn)應(yīng)用軟件存在漏洞，黑客可以利用該漏洞開啟車門、天窗并控制汽車燈光。而在去年的黑帽大會(huì)上，也有兩名黑客用一套1000美元的設(shè)備成功取得了汽車的“控制權(quán)”。

最近國內(nèi)安全團(tuán)隊(duì)360UnicornTeam研究發(fā)現(xiàn)了一種可以使用低成本的民用設(shè)備就可發(fā)起GPS欺騙的攻擊手段，僅需幾百元的設(shè)備和經(jīng)過特殊構(gòu)造的生成算法及部分開源代碼，即可通過GPS欺詐來劫持汽車的方法，由于GPS已經(jīng)成為很多人汽車駕駛依賴的工具之一，一旦被黑客劫持，將帶來難以想像的安全問題，在8月份的DEFCON23上的主題演講中，360UnicornTeam也將公開此課題的研究細(xì)節(jié)。

汽車智能化是當(dāng)下最熱門的概念之一，在給汽車愛好者們帶來無盡想象和便利的同時(shí)，因安全漏洞引發(fā)的汽車安全問題也同樣讓人擔(dān)憂。沒有鑰匙就能將車開走?遠(yuǎn)程就能開鎖?甚至在駕駛員毫不知情的情況下，汽車的控制權(quán)就已經(jīng)被黑客接管，其潛在的安全威脅巨大。

在6月18日北京露營大會(huì)上的黑客破解汽車秀的現(xiàn)場(chǎng)，HackPWN組委會(huì)的安全專家利用發(fā)現(xiàn)并提交的智能汽車的安全漏洞，在沒有鑰匙的情況下，成功利用電腦和手機(jī)先后實(shí)現(xiàn)了多款汽車的遠(yuǎn)程開鎖、鳴笛、閃燈、開啟天窗等操縱，一輛汽車破解從開始操作到成功破解，只花了不到2分鐘的時(shí)間。

安全專家劉健皓稱，“破解一輛智能汽車，可以入手的模塊很多，網(wǎng)絡(luò)層、瀏覽器應(yīng)用、移動(dòng)應(yīng)用、無線射頻等都可以入手，這也意味著智能汽車的安全將面臨巨大的挑戰(zhàn)。一方面，對(duì)于用戶來說，要提高安全意識(shí)，加強(qiáng)防護(hù)意識(shí);另一方面，對(duì)于互聯(lián)網(wǎng)安全廠商和廣大白帽子來說，要加強(qiáng)對(duì)智能汽車的漏洞的挖掘和研究。”

即將在8月份舉行的HackPWN安全極客狂歡節(jié)，面向所有白帽黑客開放，邀請(qǐng)有志于“破解”的白帽黑客共同挖掘市場(chǎng)上智能汽車、車聯(lián)網(wǎng)和智能汽車服務(wù)平臺(tái)的安全漏洞，以此推動(dòng)業(yè)界共同關(guān)注并參與汽車智能化的安全防護(hù)。