FBI开始关注交通工具信息安全
美国IT研究人员热情欢迎FBI开展对汽车工业网络攻击的调查,在此之前国家高速公路交通安全管理委员会(Nati...
美国IT研究人员热情欢迎FBI开展对汽车工业网络攻击的调查,在此之前国家高速公路交通安全管理委员会(National Highway Traffic Safety Administration,NHTSA)曾警告说,FBI有义务提示汽车工业注意网络攻击的危险性。
上周,在NHTSA和FBI的一项联合声明中,两大机构警告说智能汽车系统以及连接到电子控制单元的第三方服务可能含有隐患。在一些情况下,正如FBI和NHTSA所述,这些漏洞可能是“若干关键因素导致的对交通安全的不必要的风险”。
政府机构显然对发生在2014年对切诺基的攻击记忆犹新,2015年8月,研究人员CharlieMiller和ChrisValasek曾演示了这一攻击。在演示中,两名专家通过远程遥控控制了目标车辆。
“我很吃惊的是政府对这一问题思考了如此之久。这并不是一个理论上的威胁,事实上科学家们在一年多以前已经通过实践证实了这种攻击是真实存在的。”Cisco公司旗下的Talos Security Intelligence and ResearchGroup研究小组的一名代表Craig Williams说道。
Jeep切诺基车型系统漏洞被曝光后,菲亚特Chrysler车型召回了美国市场上140万辆汽车。自此以后,又有多起针对该汽车系统的攻击被报道。上个月,一名研究人员Troy Hunt成功远程如因了一辆Nissan Leaf,利用API接口应用程序中存在的一些漏洞控制了该车的某些功能。这个月,IDC和信息安全公司Veracode发布了一篇报道,声称汽车生产商需要用三年的时间才能追赶上那些有潜在能力攻击汽车的网络犯罪分子的水平。
FBI和NHTSA就一些潜在漏洞发出警告,包括智能汽车收音机模块中的一个漏洞,参见Miller – Valasek的一项研究。“一名攻击者可以在运营商网络范围内的任何地点通过局域网无线模块连接到汽车,可以利用IP协议漏洞。”该机构发布的声明中这样写道。
“汽车行业正处在一个十字路口,”veracode公司首席技术官和联合创始人Chris Wysopal承认。“汽车生产商和政府应冷静分析形势,评估智能汽车驾驶员面临的真实风险。如果在高速行驶过程中有人闯入汽车操作系统并破坏了刹车功能会怎样呢?有关部门和监管机构需要给这些问题一个答案。”
Vaysopal承认FBI的这次行动是一个很好的开始,但他希望立法者能够针对实际发展制定相应的智能汽车物理安全防护标准,例如碰撞试验测试。“智能汽车系统必须能够很好地通过安全气囊测试,按照国家标准,”该专家说道。
来自Cisco的Williams认为,汽车生产商是时候率先行动以保证汽车信息安全了。“对于智能汽车的信息安全,我不认为政府干预能够亡羊补牢,当然,这是后话了。这应当是一款新车型在设计和生产初期,汽车生产厂商应当考虑的问题。”Williams说道。
“对我来说,汽车工业面临的挑战是:生产商需要以一个有竞争力的价格销售汽车,然而他们没有考虑到维护费用、审查和汽车应用安全性方面的费用,而这些方面的工作要持续很多年。”他补充道。
Vaysopala认为,一个主要的问题是,它关乎隐私权的主题。这名专家认为,生产商必须制定隐私保护的关键标准,采取适当措施来保证汽车智能系统的安全。例如,GPS导航系统可以检测到用户驾驶车辆来到加油站并停下车来听音乐,以这种方式获取到的数据,其价值和危险命运是可以预见的。
关注 手机安全
微信扫一扫关注公众号
