9月24至25日,2014中国互联网安全大会(ISC 2014)在北京国家会议中心召开。该会是亚太信息安全领域最具权威的年度峰会。
本届ISC吸引了包括美国首任国土安全部部长汤姆·里奇、计算机病毒之父弗雷德·科恩,以及中国工程院院士邬贺铨、公安部网络安全保卫局总工程师郭启全、360董事长周鸿祎、国家计算机网络安全专家云晓春等,数百位国内外顶尖信息安全专家出席。
本届大会,智能汽车和车联网的安全性,首次成为重要议题之一。中国工程院院士、吉林大学郭孔辉教授介绍了车联网技术的趋势和发展。360网络攻防实验室的安全专家也在两天之内,分四次进行现场演示破解奔驰C180汽车系统的全过程。
360信息安全部负责人杨卿向《中国汽车报》表示,本次活动用于破解奔驰C180汽车系统漏洞的第三方设备是一块手表,这块手表的原本用途是360工程师进行软件开发,它可以发出工程师重新定义的射频信号数据。
在这次360工程师模拟“黑客”攻击奔驰C180车辆系统漏洞的试验中,该射频数据即是“黑客”在截获驾驶人员车辆遥控钥匙,并发出无限射频信号后,通过其他“黑客”做出相应逆向分析,把音频波形数据转换成16进位制数字或字母代码,最后将数据代码输入手表。
该款特殊手表的关键就在于,可以发出315兆Hz或433兆Hz的射频信号,这也是汽车常用的两段遥控钥匙射频信号频率。利用这种破解方式,在本届大会上,360工程师重复了上次破解特斯拉系统漏洞后,通过第三方设备进行远程操控车辆车门、后备厢开关等步骤,但操作方法与上次完全不同。
此前,在7月17日举行的SyScan360前瞻信息安全会议上,360网络攻防实验室的安全专家首先以特斯拉Model S车型为破解对象,进行了全程现场远程操控演示。
本次破解奔驰C180与360上次破解特斯拉新能源汽车的不同之处在于,360工程师选择的破解方式是从无线电射频信号层面入手,去完成车辆系统安全漏洞的检测工作,再进行破解从而实现将车门打开等一系列远程操控。这也意味着,360工程师可以通过这样的技术,实现对目前市场上几乎所有车型的远程控制。
上次,360工程师用笔记本打开特斯拉车门,是通过手机APP操控车辆后,把存储在手机后台的数据通过网络传送到电脑,从而破解了特斯拉应用程序漏洞,进而实现对车辆的操控。
之前,在360破解特斯拉新能源汽车系统漏洞之后,《中国汽车报》得知360还发现了特斯拉汽车存在着更深层系统漏洞安全隐患,但360方面拒绝透露更多细节。
在本次大会上,杨卿告诉记者,尽管他没有参与上次破解特斯拉汽车系统安全漏洞的试验,也不清楚当时的具体细节,但据他猜测,针对该车更深层次的破解工作,应该是工程师通过技术手段,试图维持特斯拉汽车遥控钥匙的“有效性”,从而实现远程发动汽车。
基于特斯拉汽车具备的无钥匙进入功能。在特斯拉新能源汽车的方向盘和遥控钥匙里都装有感应芯片,如果车辆通过检测发现佩戴遥控钥匙的驾驶人员在车内,就会执行车辆启动指令。但360工程师通过研究,可以在驾驶人员不在车内的情况下,模拟出驾驶人员留在车内的假象,从而实现对特斯拉新能源汽车的启动。
360方面表示,未来随着IOT时代的到来及车联网的发展,他们将与部分车企合作,共同检测车企后台数据的安全性,以保障其车辆在“云端”数据的安全。
锂电池产业链企业推广,锂电网(li-b.cn)欢迎投稿。
