“车门已经打开了,可以顺利开走!挑战成功。”裁判的声音从对讲机扩散至整个会场,来自安全脉脉的陈冠男、任建文、苏圣烽在不到三分钟的时间里小程序美工,“顺走”了一辆智能网联车。
10月24日,在上海GEEKCON 2024现场,几位挑战者展示了如何利用未知缺陷,远程控制并启动一辆智能网联车。
车门瞬间打开。
随着新能源汽车市场的不断扩大,智能化也在高速发展,智能网联车已经成为了“拥有四个轮子的机器人”,但安全问题一直萦绕在车主心头。
如何确保现有的安全防护机制,不会被轻易攻破?专家建议,车企做好全流程的安全体系,不要仅是走形式。
不到三分钟“顺走”一辆新能源汽车小程序美工
10月24日是全体程序员的节日。每年的今天,DARKNAVY·深蓝都会举办一场独属于极客们的聚会。今年是举办GEEKCON的第11个年头,活动设置了六大系列专场,包括“深蓝洞察之特别披露”““GEEKCON特别挑战赛”“漏洞与利用 DAF 挑战赛”“30+5 深度分享”“AI与黑客挑战赛”和“对抗研判 AVSS 精英挑战赛”。
自2014年第一届GeekPwn比赛开始,汽车安全的相关项目就是极客们关注的焦点问题之一。今年也一样,一辆新能源汽车被停在了场馆外,静静地等待挑战者对它发起“攻击”。
24日上午,南都·隐私护卫队在极棒现场看到,外场裁判先是对车辆进行了安全检查,并将车锁好,随后车辆车架号被发送给场内的挑战者。10点37分,这场挑战赛开始了。
“车架号相当于汽车的身份证号,一般来说是在汽车挡风玻璃前端,是比较公开的的信息,有了这个身份证号,挑战者们就可以无差别攻击,一旦成功,他们就可以开走你的车。”场内裁判解说着。
极客操控电脑小程序美工。
从现场来看,挑战者们只是简单操作着电脑,并无其他特别行为。突然,对讲机里传来了场外裁判的声音:“车门已经打开了!”一时间,现场气氛达到了高潮,掌声雷动。而此刻,距离开赛仅仅过去了不到三分钟的时间。
“我现在检查一下是否能够启动车辆。”屏幕上可以清晰地看到,小程序美工场外裁判坐进了车里,随后车辆启动。
建议车企做好全流程安全体系,不搞形式主义
产品建模赛后,三位挑战者站在舞台中央,此刻他们的脸上洋溢着笑容。与之相对的是,一些智能网联汽车主,估计“心碎了一地”。
试想一下,车主将一辆崭新的智能网联汽车停在车库,回去睡个觉的功夫,这辆车就被攻破了——成为所有极客们的共享汽车,更有泄露个人隐私的风险,这让新能源车主如何安睡?
极客接受采访。
那么,所有的新能源汽车都会被攻破吗?其实不然,挑战者任建文告诉南都·隐私护卫队,各个汽车品牌的安全保护机制都不相同,有的品牌做得比较好,就很难突破;而今天选择尝试这辆新能源汽车,是整个团队在发现漏洞后,抓住漏洞进行多次实验,才成功破解的。
当南都·隐私护卫队进一步就技术问题进行提问时,任建文表示并不方便透露。但他告诉南都·隐私护卫队,目前他们已经成功实现了对新能源汽车的近场攻击。所谓近场攻击是指,在短距离内发生的网络或电子设备攻击。这种类型的攻击依赖于攻击者与目标设备之间的接近性,通常涉及无线技术,如蓝牙、Wi-Fi、红外线(IR)以及近场通信(NFC)等。不仅如此,在无人驾驶技术高度发展的当下,任建文团队可以通过近场攻击使得车辆进行无人驾驶,“低速移动没有问题,速度高了不太行。”任建文说。
谈及对车主们和车企的建议,任建文直言道,面对这样的情况,车主们束手无策。“因为车辆研发主要靠车企,建议车企做好全流程的安全体系,不要出现走形式的问题。”
采写:南都记者王子黎 发自上海小程序美工
特别声明:以上内容(如有图片或视频亦包括在内)来源于网络,不代表本网站立场。本网站仅提供信息存储服务。如因作品内容、版权和其他问题需要同我们联系的,请联系我们及时处理。联系方式:451255985@qq.com,进行删除。