谁在远程启动你的车？中国200多万辆奔驰车受影响

近日在美国旧金山Moscone Center举行的安全盛会RSAC 2020上，来自360集团的Sky-Go汽车安全团队公布了针对梅赛德斯-奔驰的安全研究成果，共计发现硬件和软件的漏洞19个。据360 Sky-Go安全研究团队负责人严敏睿介绍，通过利用多个漏洞形成的攻击链，可实现对梅赛德斯-奔驰的非接触式控制，例如未授权的远程解锁车门、启动引擎等操作。据统计，这些漏洞会影响到在中国的200多万辆梅赛德斯-奔驰智能汽车。

追溯：19个漏洞背后的安全研究与合作
360 Sky-Go团队从2018下半年启动关于梅赛德斯-奔驰的安全研究计划，并在2019年5月得到初步研究成果；
8月21日，360 Sky-Go团队将漏洞汇总为报告，遵循了负责任的漏洞披露原则，将漏洞细节提交给梅赛德斯-奔驰安全团队；
8月23日，两天后奔驰安全团队关停了部分与漏洞相关的服务，以减少更多的安全风险；
8月26日奔驰安全团队开始漏洞修复工作；
10月23日双方安全团队在北京进行了为期两天的漏洞研讨会，就360 Sky-Go团队的研究过程和细节与梅赛德斯-奔驰安全团队的漏洞原因和修复过程进行了深入的讨论；
2020年1月，受奔驰安全团队邀请，360 Sky-Go安全研究团队前往以色列特拉维夫进行进一步的漏洞细节沟通；
 
2月28日，360 Sky-Go安全研究团队安全研究员陈元恺和梅赛德斯-奔驰研发中心产品安全负责人盖·哈帕克在RSAC 2020进行同台演讲，在会议现场发布了在梅赛德斯-奔驰上的研究成果，其中包含多达19个软件和硬件的安全漏洞。
 
现状：漏洞影响的不仅是汽车和人的安全
据Upstream的统计报告，2019年汽车网络安全事件仍处于高速增长阶段，是2018年的2倍，更是2016年的7倍之多，另外利用蓝牙、无线钥匙、手机APP进行的远程攻击事件数量明显上升。
汽车一旦出现网络安全问题，将带来巨大危害。陈元恺分别从用户、车企及社会三个方面谈及影响：对用户来说，黑客可能利用汽车漏洞解锁车辆实时盗窃，发起远程攻击控制正在行驶的车辆，对车主的财产安全、人身安全产生威胁；对车企来说，一旦被爆安全漏洞，将直接影响到车企的品牌市值，同时大范围召回也将消耗大量的人力物力，造成巨大的经济损失；对社会来说，非法黑客组织可能利用漏洞进行大范围有目的的攻击活动（APT），直接影响到社会和国家的稳定。
由于漏洞还在进一步的修复当中，涉及到多方的产品和保密信息，360 Sky-Go团队和奔驰安全团队保持紧密沟通，详细的漏洞技术细节将在后续进行公布，可扫描二维码登记信息，后续报告发布将邮箱通知。

登记地址：https://skygo.360.cn/Mercedes-Benz-Research/

展望：良好的汽车安全生态建设依赖合作
汽车安全研究从来不是独立进行的。特斯拉早在2013年就设立了“安全研究员名人堂”，鼓励白帽黑客们一起来“查漏补缺”；2016年通用汽车与著名的白帽黑客平台HackerOne合作推出了“漏洞悬赏计划”；梅赛德斯-奔驰也计划在2020年发起聚焦安全的“漏洞报告奖励”（Bug Bounty）项目，旨在帮助和鼓励有关研究团队协助梅赛德斯-奔驰提升其互联服务。
“主动识别漏洞对于保护我们客户及其车辆的数据至关重要。梅赛德斯-奔驰高度重视信息安全团队的专业能力。”梅赛德斯-奔驰特拉维夫CEO及梅赛德斯-奔驰汽车信息安全负责人阿迪·奥菲克（Adi Ofek）表示，“我们非常赞赏Sky-Go团队的研究实力和360安全大脑的出色能力，他们辛勤的努力和富有热情的研究工作，为协助我们进一步提高车辆信息安全做出了重要贡献。”
 协助发现此次披露的19个漏洞的“360汽车安全大脑”是一套完整的汽车信息安全解决方案，通过部署在车端的软硬件安全产品，将安全相关的数据收集到云端平台，感知汽车网络安全风险。“360汽车安全大脑”也亮相RSAC 2020展区，力图展现在智能网联汽车领域积累多年的安全能力，首次进入国际视野就吸引了宝马、松下、沃尔玛、华为等全球名企的关注。 
360集团董事长兼CEO周鸿祎谈到汽车安全大脑时表示：“未来希望为汽车行业提供更加全面的信息安全专业知识和解决方案，保障在万物互联的时代下智能汽车的安全，让更多的汽车制造商和客户共同受益。”
目前，360汽车安全大脑已接入超30万辆汽车，共拦截攻击35000余次，累积发现车联网超500多个安全问题，影响了约450万辆智能汽车。未来，360汽车安全大脑将进一步提升安全能力，期待与更多汽车厂商携手共建车联网安全防线，为更多的智能网联汽车保驾护航。