谁在远程启动你的车?中国200多万辆奔驰车受影响

华盟原创文章投稿奖励计划

近日在美国旧金山Moscone Center举行的安全盛会RSAC 2020上,来自360集团的Sky-Go汽车安全团队公布了针对梅赛德斯-奔驰的安全研究成果,共计发现硬件和软件的漏洞19个。据360 Sky-Go安全研究团队负责人严敏睿介绍,通过利用多个漏洞形成的攻击链,可实现对梅赛德斯-奔驰的非接触式控制,例如未授权的远程解锁车门、启动引擎等操作。据统计,这些漏洞会影响到在中国的200多万辆梅赛德斯-奔驰智能汽车。

追溯:19个漏洞背后的安全研究与合作
360 Sky-Go团队从2018下半年启动关于梅赛德斯-奔驰的安全研究计划,并在2019年5月得到初步研究成果;
8月21日,360 Sky-Go团队将漏洞汇总为报告,遵循了负责任的漏洞披露原则,将漏洞细节提交给梅赛德斯-奔驰安全团队;
8月23日,两天后奔驰安全团队关停了部分与漏洞相关的服务,以减少更多的安全风险;
8月26日奔驰安全团队开始漏洞修复工作;
10月23日双方安全团队在北京进行了为期两天的漏洞研讨会,就360 Sky-Go团队的研究过程和细节与梅赛德斯-奔驰安全团队的漏洞原因和修复过程进行了深入的讨论;
2020年1月,受奔驰安全团队邀请,360 Sky-Go安全研究团队前往以色列特拉维夫进行进一步的漏洞细节沟通;
 
2月28日,360 Sky-Go安全研究团队安全研究员陈元恺和梅赛德斯-奔驰研发中心产品安全负责人盖·哈帕克在RSAC 2020进行同台演讲,在会议现场发布了在梅赛德斯-奔驰上的研究成果,其中包含多达19个软件和硬件的安全漏洞。
 
现状:漏洞影响的不仅是汽车和人的安全
据Upstream的统计报告,2019年汽车网络安全事件仍处于高速增长阶段,是2018年的2倍,更是2016年的7倍之多,另外利用蓝牙、无线钥匙、手机APP进行的远程攻击事件数量明显上升。
汽车一旦出现网络安全问题,将带来巨大危害。陈元恺分别从用户、车企及社会三个方面谈及影响:对用户来说,黑客可能利用汽车漏洞解锁车辆实时盗窃,发起远程攻击控制正在行驶的车辆,对车主的财产安全、人身安全产生威胁;对车企来说,一旦被爆安全漏洞,将直接影响到车企的品牌市值,同时大范围召回也将消耗大量的人力物力,造成巨大的经济损失;对社会来说,非法黑客组织可能利用漏洞进行大范围有目的的攻击活动(APT),直接影响到社会和国家的稳定。
由于漏洞还在进一步的修复当中,涉及到多方的产品和保密信息,360 Sky-Go团队和奔驰安全团队保持紧密沟通,详细的漏洞技术细节将在后续进行公布,可扫描二维码登记信息,后续报告发布将邮箱通知。

登记地址:https://skygo.360.cn/Mercedes-Benz-Research/

展望:良好的汽车安全生态建设依赖合作
汽车安全研究从来不是独立进行的。特斯拉早在2013年就设立了“安全研究员名人堂”,鼓励白帽黑客们一起来“查漏补缺”;2016年通用汽车与著名的白帽黑客平台HackerOne合作推出了“漏洞悬赏计划”;梅赛德斯-奔驰也计划在2020年发起聚焦安全的“漏洞报告奖励”(Bug Bounty)项目,旨在帮助和鼓励有关研究团队协助梅赛德斯-奔驰提升其互联服务。
“主动识别漏洞对于保护我们客户及其车辆的数据至关重要。梅赛德斯-奔驰高度重视信息安全团队的专业能力。”梅赛德斯-奔驰特拉维夫CEO及梅赛德斯-奔驰汽车信息安全负责人阿迪·奥菲克(Adi Ofek)表示,“我们非常赞赏Sky-Go团队的研究实力和360安全大脑的出色能力,他们辛勤的努力和富有热情的研究工作,为协助我们进一步提高车辆信息安全做出了重要贡献。”
 协助发现此次披露的19个漏洞的“360汽车安全大脑”是一套完整的汽车信息安全解决方案,通过部署在车端的软硬件安全产品,将安全相关的数据收集到云端平台,感知汽车网络安全风险。“360汽车安全大脑”也亮相RSAC 2020展区,力图展现在智能网联汽车领域积累多年的安全能力,首次进入国际视野就吸引了宝马、松下、沃尔玛、华为等全球名企的关注。 
360集团董事长兼CEO周鸿祎谈到汽车安全大脑时表示:“未来希望为汽车行业提供更加全面的信息安全专业知识和解决方案,保障在万物互联的时代下智能汽车的安全,让更多的汽车制造商和客户共同受益。”
目前,360汽车安全大脑已接入超30万辆汽车,共拦截攻击35000余次,累积发现车联网超500多个安全问题,影响了约450万辆智能汽车。未来,360汽车安全大脑将进一步提升安全能力,期待与更多汽车厂商携手共建车联网安全防线,为更多的智能网联汽车保驾护航。

www.idc126.com

    

本文原创,作者:张,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/252869.html

发表评论