汽车制造商不能只关注成本问题,而应该花更多精力应对汽车网络安全漏洞。
如今,越来越多汽车接入互联网,试图为用户提供更加智能的体验。然而,满怀恶意的黑客也找到了新“猎物”。techxplore.com网站当地时间6月8日报道,由美国卡内基梅隆大学(CMU)领导的研究团队在上个月举行的“IEEE安全与隐私研讨会”中,揭示了一类新的网络安全漏洞。黑客可以利用该漏洞远程执行计算机代码,绕过车辆的入侵检测系统(IDS),关闭包括发动机在内的多种汽车组件。这种新型攻击方式不需要对车辆进行硬件操作或物理访问。
“汽车制造商在建立IDS时,需要考虑更先进的攻击策略。”电气与计算机工程博士生Sekar Kulandaivel说,“这不像推动软件更新那么简单。为了真正保护车辆免受这类攻击,制造商必须升级硬件。”
研究人员在2009款丰田普锐斯和2017款福特福克斯两款车上发起了概念验证攻击,证实了漏洞的存在。研究人员预计,大部分汽车都可能遭受这类攻击。黑客在发动攻击之前,必须先破坏汽车网络。博世研究院高级研究科学家Shalabh Jain说:“如果没有其他妥协因素,这一特例是无法直接用于攻击现有商用车辆的。然而,这类漏洞能为更大攻击链中的‘横向移动’提供新接口。”
研究人员表示,新漏洞主要与汽车制造商近年来的架构选择(如节能改造)有关。一般来说,汽车功能由一个或多个电子控制单元(ECU)控制。为了减少ECU的功耗,设计师在车辆的微控制器中设置了“外围时钟门控”功能,以关闭闲时状态的ECU,节约能源。Kulandaivel说:“在这种新攻击策略中,黑客能关闭任何自己想关闭的ECU。”
虽然ECU关闭攻击并不是新鲜事,但之前的ECU攻击或是需要对汽车进行物理访问,或是需要修改硬件,又或者很容易被检出。新攻击方式为远程发动,不需要修改硬件,并且可以绕过目前最先进的防御系统。研究人员强调,这暴露了一个更大的问题——车辆设计的系统性问题。Kulandaivel说:“对于汽车制造商而言,安全不是他们最关心的话题。他们更专注于降低制造成本。汽车行业的安全性落后电脑安全性几十年之久。”
展望未来,博世研究院专家Jorge Guajardo表示,汽车制造商必须开展更多安全性强化工作。Guajardo说:“车企需要继续积极调查攻击手段,开展与学术机构的合作,并开发经过安全部门谨慎审核的安全问题解决方案。”
科界原创
编译:雷鑫宇
审稿:西莫
责编:陈之涵
原文链接:
https://techxplore.com/news/2021-06-cylab-class-vehicle-cyberattacks.html
版权声明:本文由科界平台原创编译,中文内容仅供参考,一切内容以英文原版为准。转载请注明来源科技工作者之家—科界App。
