中國黑客汽車攻破比亞迪 世界汽車黑客泰斗點贊

10月22日上午，2015SyScan360國際前瞻信息安全會議上，來自360網絡安全攻防實驗室資深安全研究員劉健皓現場演示了比亞迪汽車破解，世界汽車安全研究泰斗查理•米勒(Charlie Miller)現場觀看這場破解表演后，發(fā)布Twitter稱贊劉健皓的研究水平。

隨著車聯網的迅速發(fā)展，安全問題越來越受到關注，本屆SyScan360上，車聯網話題亦是重點。早在去年SyScan360上，劉健皓就曾上演過智能汽車標桿級產品特斯拉的破解演示。

而在8月初的HackPWN安全極客狂歡節(jié)上，劉健皓也曾成功攻破過比亞迪汽車，2015SyScan360上，劉健皓更是在兩位世界汽車安全研究泰斗查理•米勒(Charlie Miller)和克里斯•瓦拉塞克(Chris Valasek)面前，表演了汽車比亞迪“秦”的遙控啟停、加油和轉向。將汽車變成了一個可以被輕易擺弄的遙控玩具。

圖：演講開始，劉健皓從特斯拉破解說起……

隨著車聯網的迅速發(fā)展，安全問題越來越受到關注，本屆SyScan360上，車聯網話題亦是重點。早在去年SyScan360上，劉健皓就曾上演過智能汽車標桿級產品特斯拉的破解演示。

會議當天，劉健皓分別從PC端控制系統漏洞、手機APK漏洞、汽車電子系統漏洞等方面，多角度演示智能汽車比亞迪“秦”的破解，這讓不少現場聽會的安全圈人士頓時作驚恐狀，紛紛表示出對汽車安全的擔憂。

圖：利用漏洞可攻破比亞迪，并遙控其行駛。

圖：比亞迪行駛途中，可讓其直接斷油停駛。

根據劉健皓錄制的演示視頻顯示，通過比亞迪存在的漏洞，他可以用手機打開車門、啟動并開走，還可以開啟車內空調，甚至開啟或關閉后備箱。此外他還能向比亞迪發(fā)送“自殺”指令，控制汽車引擎造成人員傷亡。

劉健皓提醒智能汽車廠商，應通過縮短攻擊檢測時間窗口，加強代理商、設備供應鏈安全審計，完善車聯網安全防御體系等方式防御汽車攻擊，“第一時間發(fā)現黑客對汽車的逆向并采取及時的行動，利用防火墻技術進行實時威脅監(jiān)控發(fā)現惡意攻擊行為，利用SOTA技術進行安全漏洞修復更新”。

查理•米勒以及克里斯•瓦拉塞克是當今世界公認的汽車黑客泰斗，今年7月份，他們克進行了一項測試，在一輛Jeep自由光行駛過程中，侵入Uconnect車載系統，遠程通過軟件向該系統發(fā)送指令，啟動車上的各種功能，包括減速、關閉發(fā)動機、制動或讓制動失靈，在之后的BlackHat上，兩人面向全球黑客奉獻了那場經典的相聲汽車破解秀。

這直接迫使Jeep母公司決定召回140萬輛汽車，并對這些汽車的車載軟件進行升級，以避免黑客遠程控制發(fā)動機、轉向系統，以及其他車載系統。

與當年挑戰(zhàn)蘋果系統安全一樣，這次查理•米勒再次留下了一條金句：“人們也許不能理解入侵瀏覽器是多么危險的事，但是他們很容易理解當黑客控制汽車是多么可怕的事情。”

9月份，查理·米勒和另外一位黑客克里斯·瓦拉塞一起加盟Uber，兩人將與公司首席安全官Joe Sullivan以及首席信息安全官John Flynn共同工作，打造Uber的安全和保安項目。

據悉，2015SyScan360由亞洲知名安全組織SyScan主辦、360公司承辦，被稱為國際信息安全領域發(fā)展的風向標。會議邀請了來自全球的優(yōu)秀互聯網專家和頂級黑客同臺競技，展示亞洲最為頂尖的安全技術。