汽车作为人们移动的家园,与其相关的车联网、智能驾驶、充电桩占据着新基建的重要领域。在10月24日GeekPwn 2020 国际安全极客大赛上,在数字钥匙、自动驾驶雷达和充电桩的漏洞攻击中,选手们发现还有安全提高的空间。
全球首位获得谷歌安卓赏金的独立极客吴潍浠展示了一种低成本、小型化的升级版攻破方法,实现了自动驾驶汽车的雷达干扰,让自动驾驶“致盲”。
在挑战现场,司机在自动驾驶模式下保持汽车缓慢行驶。该选手利用小型、低成本的雷达干扰枪,实现了对自动驾驶汽车雷达系统更改和设备干扰,使汽车无法识别前方障碍物而及时启动碰撞预警和自动紧急制动系统,从而直撞前方障碍物。据悉,今年4月份该漏洞已提交至该汽车品牌,由于技术原因,目前仍在修复中。
现场评委“老鹰”对第一财经介绍,在正常情况下,自动驾驶汽车是使用毫米波雷达来识别障碍,雷达受到干扰,相当于汽车“被蒙住了眼睛”。因此,当前的自动驾驶仅能实现“辅助驾驶”功能,不代表安全驾驶。厂商也都要求使用“自动驾驶”功能时司机手不能离开方向盘。“开车时还是要保持注意力,自动驾驶只能放松脚部,不意味着可以打瞌睡,尤其是在夜间行驶的场景下。”
来自上海银基信息安全技术股份有限公司的白帽黑客战队利用特定技术对正在行驶中的低速汽车进行攻击也造成了汽车突然停止。
据了解,选手借助汽车后装OBD设备的逻辑漏洞伪造了远程指令,完成行驶中的汽车远程熄火、GPS追踪等危险操作。黑客甚至可以进行无差别攻击,影响不同品牌车辆。
据现场评委介绍,当攻击发生时,会影响附近安装此款OBD设备的所有车型的汽车。比赛结束两周内,GeekPwn会将漏洞细节提交给这款OBD盒子的厂商,并协助其进行修复。
银基战队的负责人对第一财经记者表示,原本OBD盒子的应用目的是起防盗作用,大多应用在租车场景中。在车身后安装这样一款设备,可形成一个电子围栏,超过了GPS地图范围,车子就可以实现远程熄火。但如果OBD盒子设备系统云端存在漏洞,黑客就可以利用这个漏洞进行反攻击。“如果场景发生在高速上,陡然间熄火是非常危险的。”银基战队的负责人说。
中国新能源汽车行业正蓬勃发展,充电桩作为重点领域之一也是新能源汽车最重要的基础设施。来自腾讯的Blade Team参赛队伍的“无感支付”式直流充电桩的漏洞攻击提醒人们其安全性不容小视。
在比赛中,?Blade Team安全研究员模拟攻击者身份,仅需获得模拟受害者的车辆身份标识,并使用特殊设备连接“无感支付”直流充电桩与汽车,就能利用充电桩通信协议漏洞完成“盗刷”操作。
“目前新能源汽车的车辆身份标识多存在于车身外部,属于公开信息,也有很多黑产渠道会贩卖这类车辆数据,这种方法一旦被黑产掌握,有被大规模恶意利用的风险。”Blade Team高级安全研究员Nicky对包括第一财经在场的媒体介绍道。
当前,即插即充、无感支付成为当前充电桩行业的主流发展趋势,采用该技术的充电桩仅需在初次绑定环节对用户进行身份认证,充电时自动识别车辆身份标识,在充电完成后从绑定账户中进行相应扣款。
据了解,此次Blade Team发现的漏洞是国内首个充电桩行业安全漏洞,属于充电通信协议层面缺陷,采用相同技术方案的“无感支付”式直流充电桩均受其影响。目前Blade Team已通过GeekPwn官方向相关厂商提交漏洞细节,并将协助厂商进行修复。
Blade Team研究员同时表示,新能源汽车的普通用户无需过度恐慌。在厂商修复该漏洞前,尽量选择传统的二维码扫码等充电支付方式,即可规避不利影响。