返回 登录
0

危险!克莱斯勒汽车系统漏洞 黑客可以远程控制行驶车辆

图片描述
Miller试图拯救在远端煞车失败后掉进沟里的汽车。照片来自Wired。

克莱斯勒低调发布了一项吉普车软件更新,修补一个容易遭黑客远端挟持车辆的安全漏洞。

这项漏洞将影响汽车仪表板里的连网功能,称为Uconnect,它可选择性决定是否升级,并非克莱斯勒车辆的标准配备。

这项漏洞由研究员Charlie Miller和Chris Valasek发现,他们能从远端黑入吉普车。这两位研究员为科技媒体Wired记者Andy Greenberg做了一次亲身示范,让记者体验驾车时遭遇车辆被黑的实际经历。

不过,两位研究员事先保证不会做出任何有生命危险的实验。他们坐在Miller约10哩远的地下室,而记者驾着吉普车在St. Louis公路,开始了这项实验。

图片描述
Charlie Miller (左) 和Chris Valasek(右)。照片来自Wired。

记者表示,虽然他并未触碰仪表板,但是吉普车的冷气口却开始吹送强风,然后音响转台到当地嘻哈电台,他关掉音响开关也没用。接着挡风玻璃上的雨刷开始运作、喷水…。当然这一切只是开端。黑客表示,他们现在正在研究方向盘,目前能做到当汽车回转时,挟持汽车轮胎等等。

“这种系统Bug很可能就会杀人”Charlie Miller说。Uconnect车载系统是基于美国Sprint公司的蜂窝网络进行连接的,所以Miller能够扫描到车上射出特殊光谱带的设备,从而在别处定位切诺基(Cherokee)。而且,Uconnect系统没有明显的防火墙。一旦定位好了设备的IP地址,黑客就能事先改写这款系统的固件,然后就坐在家里的沙发上,像开《极品飞车》似的远程超控别人的爱车。

值得注意的,这次入侵跟以往完全不同的是,车辆并未连接电脑、笔记本,黑客仍能执行这项攻击。Miller和Valasek表示,他们在8月的黑帽技术大会(Black Hat)中,将进一步释放更多漏洞的细节。

当然现在拥有 Uconnect 功能的车主,可以尽快地安装更新软件。这项漏洞所影响的车型包括:2013-2014 models of Dodge Ram、the 2013-2014 Dodge Viper、the 2014 Jeep Cherokee、Jeep Grand Cherokee、Dodge Durango、the 2015 Jeep Cherokee、Jeep Grand Cherokee、2015 Chrysler 200s。

Wired原文

参考报道PC Magazine

评论