中國(guó)黑客汽車(chē)攻破比亞迪 世界汽車(chē)黑客泰斗點(diǎn)贊

10月22日上午，2015SyScan360國(guó)際前瞻信息安全會(huì)議上，來(lái)自360網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)室資深安全研究員劉健皓現(xiàn)場(chǎng)演示了比亞迪汽車(chē)破解，世界汽車(chē)安全研究泰斗查理•米勒(Charlie Miller)現(xiàn)場(chǎng)觀看這場(chǎng)破解表演后，發(fā)布Twitter稱(chēng)贊劉健皓的研究水平。

隨著車(chē)聯(lián)網(wǎng)的迅速發(fā)展，安全問(wèn)題越來(lái)越受到關(guān)注，本屆SyScan360上，車(chē)聯(lián)網(wǎng)話題亦是重點(diǎn)。早在去年SyScan360上，劉健皓就曾上演過(guò)智能汽車(chē)標(biāo)桿級(jí)產(chǎn)品特斯拉的破解演示。

而在8月初的HackPWN安全極客狂歡節(jié)上，劉健皓也曾成功攻破過(guò)比亞迪汽車(chē)，2015SyScan360上，劉健皓更是在兩位世界汽車(chē)安全研究泰斗查理•米勒(Charlie Miller)和克里斯•瓦拉塞克(Chris Valasek)面前，表演了汽車(chē)比亞迪“秦”的遙控啟停、加油和轉(zhuǎn)向。將汽車(chē)變成了一個(gè)可以被輕易擺弄的遙控玩具。

圖：演講開(kāi)始，劉健皓從特斯拉破解說(shuō)起……

隨著車(chē)聯(lián)網(wǎng)的迅速發(fā)展，安全問(wèn)題越來(lái)越受到關(guān)注，本屆SyScan360上，車(chē)聯(lián)網(wǎng)話題亦是重點(diǎn)。早在去年SyScan360上，劉健皓就曾上演過(guò)智能汽車(chē)標(biāo)桿級(jí)產(chǎn)品特斯拉的破解演示。

會(huì)議當(dāng)天，劉健皓分別從PC端控制系統(tǒng)漏洞、手機(jī)APK漏洞、汽車(chē)電子系統(tǒng)漏洞等方面，多角度演示智能汽車(chē)比亞迪“秦”的破解，這讓不少現(xiàn)場(chǎng)聽(tīng)會(huì)的安全圈人士頓時(shí)作驚恐狀，紛紛表示出對(duì)汽車(chē)安全的擔(dān)憂(yōu)。

圖：利用漏洞可攻破比亞迪，并遙控其行駛。

圖：比亞迪行駛途中，可讓其直接斷油停駛。

根據(jù)劉健皓錄制的演示視頻顯示，通過(guò)比亞迪存在的漏洞，他可以用手機(jī)打開(kāi)車(chē)門(mén)、啟動(dòng)并開(kāi)走，還可以開(kāi)啟車(chē)內(nèi)空調(diào)，甚至開(kāi)啟或關(guān)閉后備箱。此外他還能向比亞迪發(fā)送“自殺”指令，控制汽車(chē)引擎造成人員傷亡。

劉健皓提醒智能汽車(chē)廠商，應(yīng)通過(guò)縮短攻擊檢測(cè)時(shí)間窗口，加強(qiáng)代理商、設(shè)備供應(yīng)鏈安全審計(jì)，完善車(chē)聯(lián)網(wǎng)安全防御體系等方式防御汽車(chē)攻擊，“第一時(shí)間發(fā)現(xiàn)黑客對(duì)汽車(chē)的逆向并采取及時(shí)的行動(dòng)，利用防火墻技術(shù)進(jìn)行實(shí)時(shí)威脅監(jiān)控發(fā)現(xiàn)惡意攻擊行為，利用SOTA技術(shù)進(jìn)行安全漏洞修復(fù)更新”。

查理•米勒以及克里斯•瓦拉塞克是當(dāng)今世界公認(rèn)的汽車(chē)黑客泰斗，今年7月份，他們克進(jìn)行了一項(xiàng)測(cè)試，在一輛Jeep自由光行駛過(guò)程中，侵入U(xiǎn)connect車(chē)載系統(tǒng)，遠(yuǎn)程通過(guò)軟件向該系統(tǒng)發(fā)送指令，啟動(dòng)車(chē)上的各種功能，包括減速、關(guān)閉發(fā)動(dòng)機(jī)、制動(dòng)或讓制動(dòng)失靈，在之后的BlackHat上，兩人面向全球黑客奉獻(xiàn)了那場(chǎng)經(jīng)典的相聲汽車(chē)破解秀。

這直接迫使Jeep母公司決定召回140萬(wàn)輛汽車(chē)，并對(duì)這些汽車(chē)的車(chē)載軟件進(jìn)行升級(jí)，以避免黑客遠(yuǎn)程控制發(fā)動(dòng)機(jī)、轉(zhuǎn)向系統(tǒng)，以及其他車(chē)載系統(tǒng)。

與當(dāng)年挑戰(zhàn)蘋(píng)果系統(tǒng)安全一樣，這次查理•米勒再次留下了一條金句：“人們也許不能理解入侵瀏覽器是多么危險(xiǎn)的事，但是他們很容易理解當(dāng)黑客控制汽車(chē)是多么可怕的事情。”

9月份，查理·米勒和另外一位黑客克里斯·瓦拉塞一起加盟Uber，兩人將與公司首席安全官Joe Sullivan以及首席信息安全官John Flynn共同工作，打造Uber的安全和保安項(xiàng)目。

據(jù)悉，2015SyScan360由亞洲知名安全組織SyScan主辦、360公司承辦，被稱(chēng)為國(guó)際信息安全領(lǐng)域發(fā)展的風(fēng)向標(biāo)。會(huì)議邀請(qǐng)了來(lái)自全球的優(yōu)秀互聯(lián)網(wǎng)專(zhuān)家和頂級(jí)黑客同臺(tái)競(jìng)技，展示亞洲最為頂尖的安全技術(shù)。