9月24至25日,2014中國互聯網安全大會(ISC 2014)在北京國家會議中心召開。該會是亞太信息安全領域最具權威的年度峰會。
本屆ISC吸引了包括美國首任國土安全部部長湯姆·里奇、計算機病毒之父弗雷德·科恩,以及中國工程院院士鄔賀銓、公安部網絡安全保衛局總工程師郭啟全、360董事長周鴻祎、國家計算機網絡安全專家云曉春等,數百位國內外頂尖信息安全專家出席。
本屆大會,智能汽車和車聯網的安全性,首次成為重要議題之一。中國工程院院士、吉林大學郭孔輝教授介紹了車聯網技術的趨勢和發展。360網絡攻防實驗室的安全專家也在兩天之內,分四次進行現場演示破解奔馳C180汽車系統的全過程。
360信息安全部負責人楊卿向《中國汽車報》表示,本次活動用于破解奔馳C180汽車系統漏洞的第三方設備是一塊手表,這塊手表的原本用途是360工程師進行軟件開發,它可以發出工程師重新定義的射頻信號數據。
在這次360工程師模擬“黑客”攻擊奔馳C180車輛系統漏洞的試驗中,該射頻數據即是“黑客”在截獲駕駛人員車輛遙控鑰匙,并發出無限射頻信號后,通過其他“黑客”做出相應逆向分析,把音頻波形數據轉換成16進位制數字或字母代碼,最后將數據代碼輸入手表。
該款特殊手表的關鍵就在于,可以發出315兆Hz或433兆Hz的射頻信號,這也是汽車常用的兩段遙控鑰匙射頻信號頻率。利用這種破解方式,在本屆大會上,360工程師重復了上次破解特斯拉系統漏洞后,通過第三方設備進行遠程操控車輛車門、后備廂開關等步驟,但操作方法與上次完全不同。
此前,在7月17日舉行的SyScan360前瞻信息安全會議上,360網絡攻防實驗室的安全專家首先以特斯拉Model S車型為破解對象,進行了全程現場遠程操控演示。
本次破解奔馳C180與360上次破解特斯拉新能源汽車的不同之處在于,360工程師選擇的破解方式是從無線電射頻信號層面入手,去完成車輛系統安全漏洞的檢測工作,再進行破解從而實現將車門打開等一系列遠程操控。這也意味著,360工程師可以通過這樣的技術,實現對目前市場上幾乎所有車型的遠程控制。
上次,360工程師用筆記本打開特斯拉車門,是通過手機APP操控車輛后,把存儲在手機后臺的數據通過網絡傳送到電腦,從而破解了特斯拉應用程序漏洞,進而實現對車輛的操控。
之前,在360破解特斯拉新能源汽車系統漏洞之后,《中國汽車報》得知360還發現了特斯拉汽車存在著更深層系統漏洞安全隱患,但360方面拒絕透露更多細節。
在本次大會上,楊卿告訴記者,盡管他沒有參與上次破解特斯拉汽車系統安全漏洞的試驗,也不清楚當時的具體細節,但據他猜測,針對該車更深層次的破解工作,應該是工程師通過技術手段,試圖維持特斯拉汽車遙控鑰匙的“有效性”,從而實現遠程發動汽車。
基于特斯拉汽車具備的無鑰匙進入功能。在特斯拉新能源汽車的方向盤和遙控鑰匙里都裝有感應芯片,如果車輛通過檢測發現佩戴遙控鑰匙的駕駛人員在車內,就會執行車輛啟動指令。但360工程師通過研究,可以在駕駛人員不在車內的情況下,模擬出駕駛人員留在車內的假象,從而實現對特斯拉新能源汽車的啟動。
360方面表示,未來隨著IOT時代的到來及車聯網的發展,他們將與部分車企合作,共同檢測車企后臺數據的安全性,以保障其車輛在“云端”數據的安全。
電池網微信
