CNPing车内评
汽车电子评测第一新媒体

黑客猛于虎 汽车安全堪比国家安全

汽车CAN总线是在最初为了简化汽车繁杂系统而设计出来。但最初方便的设计却逃不过安全的检查,大批拥有一定技术的人通过CAN总线成功的操控了汽车。尤其是在汽车广泛使用的今天,汽车安全成了即将到来的超高速发展链上最必要也是最基础的革命。

在汽车联网的大潮之中,特斯拉是以纯电动汽车面世,以更安全、更智能的招牌迎接各路挑战,结果可想而知。国内腾讯技术团队更是以无物理接触方式突破特斯拉的防护,让人惊叹。

下面的视频是国际顶级黑/白客对汽车安全的一些看法。

腾讯科恩实验室实现“无接触”破解特斯拉

 不知道各位有没有听过iOS的三叉戟0day漏洞事件?

没听过的叔就在这里聊下。三叉戟0day事件就是攻击者通过短信把一个链接发给目标,当目标点击这个有毒的之后,会去访问攻击者构造的网站。攻击者的网站上会放置一个针对手机浏览器的攻击代码,这个程序中,包含javascript引擎的一个漏洞。当程序被执行之后,攻击者会通过浏览器获得手机的执行权限。此时攻击者的权限还只是在沙盒之内,没有到达内核权限。

重点来了,攻击者通过两个内核漏洞(一个内核信息泄露漏洞+一个内核代码执行漏洞)获得内核执行权限。获得内核权限后,攻击者就拿到了手机的root权限。如果攻击是恶意的,这时攻击者就会关闭一些iOS的安全保护机制比如关闭代码签名。完成攻击之后,入侵者就成为了手机的“主人”,可以实现对手机通信、流量的全面监听。

这种破解并不是简单的越狱,因为越狱你还需要碰PC和接触手机,这是一种远程越狱技术。其破解方法价值几百万元,能买得起一辆玛莎拉蒂了。倘若腾讯无接触破解特斯拉的方法曝光,相信也能卖个好价钱,但作为圈内人,当做和不当做则是一直在考验那些一线之间的人。比如,熊猫烧香的作者李俊。

未来的汽车会有集成更多的电子设备,ios和安卓系统最为普遍,可视整车检查的系统中任何一项都将成为黑客攻击的漏洞。曾听过一位国内某杀毒软件的技术专家讲座,他对黑客、漏洞等有了一个无奈的解释,大意是:“只有当遭到黑客攻击后,我们才可去弥补。在被攻击之前,我们预知不到哪里会有危险,只能尽最大努力去发现危险。”

黑客猛于虎,安全需先行。

分享到:更多 ()

国民猫叔,萌

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

车内评-汽车电子产品评测第一新媒体

联系我们加入我们