汽車被控制已成現實 黑客利用博世電子狗漏洞可控制汽車引擎

E安全4月17日訊 過去幾年，汽車聯網技術市場獲得長足發展，這種技術還會繼續不斷發展。然而，汽車聯網用戶也面臨潛在威脅，因為黑客可以利用其中的漏洞遠程關閉目標車輛引擎。

據外媒報道，以色列網路安全公司Argus在檢驗過程當中發現了博世的Drivelog
Connector電子狗和與之相適配的App之間存在漏洞，並於上周四演示了如何通過藍牙連接輕易入侵使用博世Drivelog Connector
OBD-II電子狗（Dongle）的汽車。這個安全漏洞出現在Drivelog Connect
1.1.1及其更低的版本，以及Dongle固件4.8.0至4.9.2。

何為電子狗？

電子狗又稱駕駛安全預警儀，是一種車載裝置，由硬體系統和軟體系統所組成，包括雷達、GPS定位、中央處理器和智能測速預警系統。主要是利用GPS衛星定位及雷達信號檢索，提前提醒車主電子眼或測速雷達等測速設備的存在，防止因為超速等違規而被罰款和扣分。它分為普通電子狗、智能電子狗、雲電子狗等。在某些國家，這款設備由保險公司，或由希望推出車內Wi-Fi的汽車製造商安裝。

兩大漏洞影響汽車安全

在研究中，Argus公司使用了一款通過藍牙連接車輛的設備Drivelog Connector，幫助檢查車輛健康狀況、追蹤里程等。並通過演示「闖過安全系統的服務ID限制」，證明了在這之後黑客能執行哪些操作。

研究人員發現兩個漏洞：

• Drivelog Connector 電子狗和Drivelog Connect智能手機應用程序之間的認證過程存在信息泄露漏洞

• Drivelog Connector電子狗中的消息過濾器存在安全漏洞

信息泄露漏洞允許研究人員快速暴力破解PIN碼，並通過藍牙功能連接到電子狗。一旦連接到電子狗，消息過濾器中的安全漏洞就允許他們在車輛CAN匯流排中注入惡意代碼。之後他們便能夠在藍牙範圍內關閉移動車輛的引擎。由於研究人員可以使用這款電子狗將惡意代碼注入到CAN匯流排，那麼進一步控制網路中的其它ECU（電子控制單元）也是有可能實現的。如果攻擊者大肆利用這種攻擊方法，可能會對大多數車輛進行物理控制。

雖然Argus未披露存在漏洞的汽車型號，但該公司透露，任何藍牙啟用Drivelog Connector電子狗和Wi-Fi連接的車輛都易於遭受攻擊。

新型安全系統成熟度欠缺

Argus研究團隊負責人阿米·沙萊夫稱，汽車中的現有新型安全系統、但不成熟。汽車安全措施中的新型防火牆成熟度欠缺。

雖然入侵實驗在受控環境下進行，但Argus研究人員認為，同樣的攻擊可能對任何汽車都奏效。

Drivelog製造商羅伯特-博世表示，已經採取臨時措施應對該安全威脅，他們目前正在研究永久的解決方案。博世團隊負責人索斯滕-庫爾斯表示，修復加密協議潛在漏洞的補丁很快將會發布，此補丁將防止Argus所描述的這類攻擊。

據悉，特斯拉、通用和FCA都推出了「漏洞獎勵」項目，向發現或報告其汽車或網站存在漏洞的黑客給予獎勵。而在2015年，多家車企與供應商組建了一個汽車信息共享和分析中心，以期共同應對汽車網路安全問題。

相關閱讀：

速度與激情8：保衛世界和平與網路安全面臨的威脅

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱eapp@easyaq.com

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」（EAQapp），或登E安全門戶網站www.easyaq.com , 查看更多精彩內容。