近年來,隨著智慧可穿戴設備、智慧家居、智慧路由器等終端設備和網路設備的迅速發展和普及利用,針對物聯網智慧設備的網路攻擊事件比例呈上升趨勢,攻擊者利用物聯網智慧設備漏洞可獲取設備控制許可權,或用於用戶資訊數據竊取、網路流量劫持等其他駭客地下産業交易,或用於被控制形成大規模僵屍網路。
據《中國網際網路站發展狀況及其安全報告(2017)》顯示,CNCERT對車聯網系統安全性進行線上監測分析,發現部分車聯網資訊服務商及相關産品存在安全漏洞,可導致車輛、位置及車主資訊洩露和車輛被遠端控制等安全風險。
現在,隨著汽車無鑰匙進入和無鑰匙啟動功能的廣泛應用,汽車安全正在迎來新的挑戰,今日,360在京公佈了一項最新的安全研究成果。
現場:鑰匙不離身 汽車被開走
一般來説,汽車無鑰匙進入和啟動的感應距離本應在一米左右,但是經過360無線電安全研究院的技術分析和驗證,發現鑰匙感應距離可以被擴大到數十米甚至上百米,這意味著當車主遠離汽車後,車門仍可能被他人打開造成財物損失,甚至連汽車都能開走。
7月19日,360無線電安全研究部的研究員李均和曾穎濤現場展示了這項研究成果。
員工停好車輛鎖好車門
研究人員將360公司一名員工的某品牌棕色汽車停靠在路邊,車主下車後鎖好車門,把車鑰匙放在口袋裏,然後離開汽車,此時距離車輛已經有數十米。
幾十米外,研究員跟隨車主採集到車主鑰匙信號
兩名研究員分別扮演跟隨車主和開啟汽車的角色。其中一名研究員跟著該車主,手中拿有一個形狀類似充電寶的小工具,用於採集車主所帶鑰匙的信號。
另外一名研究人員成功打開車門、啟動車輛
另一名研究員則來到汽車駕駛室旁邊,也攜帶著一個工具用於接收信號。當他手中工具指示燈亮起,隨即按下車門把手的感應按鈕,順利打開車門,坐上駕駛員位置,並啟動車輛。短短一兩個分鐘時間,當車主再轉身,發現已經被遠遠開走。
原理:汽車信號被延展 實現無鑰匙遠距離開鎖
無鑰匙開車,一般採用的是RFID無線射頻技術和車輛身份編碼識別系統。近距離時,車主不需要掏出鑰匙按遙控器來打開汽車,只需要按下車門把手上面的按鈕,汽車就會自動檢測鑰匙是否在旁邊並進行匹配認證,如果監測成功,則允許打開車門。出於安全考慮,通常鑰匙感應距離在一米左右。
360無線電安全研究部專家李均介紹,研究人員搭建了一個特殊“橋梁”,通過技術手段,將感應距離擴展到了上百米,鑰匙發出的無線電信號通過工具傳輸到汽車電腦,汽車電腦誤以為鑰匙就在旁邊,最終汽車信號和鑰匙被欺騙,允許無鑰匙開啟車門、開動汽車。
防護:希望廠商儘快完善通信協議
李均解釋,目前已經有發現數個品牌車輛存在類似風險,他們都採用了某通信模組設備公司的一種RFID技術通信協議解決方案,相同的風險可能會在使用此方案的多個品牌等幾十款車型存在。
李均介紹,在資訊時代,萬物皆可破,人們需要加強資訊安全保護。車主也有防範攻擊的辦法,比如將車鑰匙放在錫紙做的盒子裏,採用信號遮罩的方式,但這樣非常不便於日常使用,所以最根本的解決辦法是此類生産通信模組的公司對通信協議進行完善。
(責任編輯:王擎宇)