受360“Hack Pwn2015”安全極客狂歡節駭客破解SHOW影響,多家所涉公司將雲服務系統暫時關閉,其中包括汽車領域的比亞迪。
下午2點左右,360網路安全攻防實驗室資深安全技術顧問劉健皓稱,由於比亞迪已經將雲服務關閉,所以現場破解比亞迪秦的原計劃擱淺,“從這件事可以看出比亞迪對我們的態度”。
下午3點左右,比亞迪官方向車雲菌證實,秦的雲服務系統確實已經關閉,原因是檢測到車輛被拆解或完整性被破壞。
一位不願透露姓名的知情者透露,此次比亞迪關閉雲平臺事件確實和360“Hack Pwn2015”有關,此前360曾在非公開場合破解過比亞迪秦,且試圖和比亞迪達成某種層面上的合作,但比亞迪對此沒有表示出太大的興趣。
“Hack Pwn2015”現場的比亞迪秦
事發:比亞迪關閉雲服務應對360駭客破解
今天上午10點,360“Hack Pwn2015”安全極客狂歡節在北京舉行,關於O2O業務、智慧交通、智慧娛樂、智慧終端、智慧生活的設備成為HackPwn關注的五大類智慧設備。車雲菌發現,作為智慧汽車的代表,一輛比亞迪秦和一輛Tesla Model S不幸“中招”,被360方面選中,並作為破解SHOW的演示車型。
根據原定計劃,比亞迪秦的破解SHOW被定在下午1點半,包括劉健皓在內的幾名工程師將僅通過一台筆電,在不拆車的情況下,以盡可能快的速度完成包擴尋車、解鎖、著車在內的一系列汽車破解動作。車雲菌從不同渠道獲悉,比亞迪官方對此次破解非常關注。
不過,當破解SHOW開始時,360方面發現比亞迪已將相關雲服務停用,導致破解無法繼續。可以佐證的是,當劉健皓拿出手機打開比亞迪雲服務的手機APP時,頁面顯示內容為“登錄失敗,服務異常”的字樣。
劉健皓稱,360其實在上午就發現比亞迪已經將雲服務關閉了,並且在車主端的説法是“服務需進行升級”,這一方面表達了比亞迪對360的態度,一方面也表達了比亞迪對自己産品存在問題的意識。
上述知情人向車雲菌透露,這種因駭客潛在攻擊而主動關閉雲服務的行為在車企中非常罕見,因為雲服務停用會導致所有比亞迪秦的車主在該時間段內都受到影響。
回應:雲服務平臺關閉因檢測到車輛被拆解
下午3點左右,車雲菌從比亞迪官方證實,秦的雲服務平臺確實已經關閉,原因是“雲服務系統檢測到車輛被拆解或完整性被破壞,為了用戶的安全和資訊安全,系統自動關閉了通訊通道”。
比亞迪官方向車雲菌提供的一份名為《關於比亞迪車輛雲服務控制劫持漏洞聲明》顯示,已經知曉360漏洞平臺曝光比亞迪雲服務破解事宜,但此操作是通過物理拆車或手機端木馬等其他工具捕獲用戶手機上雲服務通訊密文數據包後才能實現。因此,只要雲服務用戶確保手機不使用非法或木馬應用,保證自己的資訊不被惡意盜取,將不會受到影響。
另外,比亞迪自主研發的雲服務均已經過反覆安全測試與驗證,且會不定期的進行伺服器系統升級,對非法數據包攻擊有針對性的防禦處理,因此可以保障用戶安全。
背景:智慧汽車安全隱患已從虛擬走向現實
車雲菌曾現場目擊駭客現場破解,將汽車任意擺布的情況,且記憶猶新。關於對該類駭客破解事宜的防範話題,今年來也不絕於耳。例如,劉健皓就曾發表出題為《智慧汽車安全威脅分析與建議》的技術分享,指出智慧汽車存在的安全隱患正從虛擬向現實世界擴散,應當受到足夠的重視。
無獨有偶,在現實層面,近日通用、寶馬、賓士、克萊斯勒、Tesla均被曝出遭遇駭客襲擊和破解的實際案例,例如白帽駭客Samy Kamkar用一個叫做Ownstar的小工具打開了通用Onstar的手機應用RemoteLink的安全防線,成功獲取到了車主的驗證資訊並遠端控制了車輛的點火、解鎖功能。
此次360“Hack Pwn2015”現場,著名駭客會議SyScan創始人Thomas Lim、車聯網安全公司VisualThreat創始人兼CEO嚴威等專家悉數到場。根據360官方介紹,“Hack Pwn”希望吸引更多白帽子駭客專注于智慧硬體,幫助廠商發現並解決存在的漏洞。不過,網際網路公司和車企在該領域的合作,想真正落地,目前來看仍需要一定時間。