看速八能不睡着,大概只因为这个镜头!-阿里云开发者社区

开发者社区> 阿里云安全> 正文
登录阅读全文

看速八能不睡着,大概只因为这个镜头!

简介: 不聊肌肉,聊聊美女黑客控制僵尸车,与IOT安全

关于速八的吐槽,安全君这周已经收了一箩筐。


eff8b33dd6f3995bab9c110da7faa7c62fd4ba0a


比如……


“速八给我们的教训就是,

男性在超速开车时,

会对头发造成不可逆的伤害。”


936d42122f5436d4b10db44c6057cd0de6b21542


“剧情已经毫无逻辑可言,

强忍困意吃完三桶爆米花。”


但其实,速度与激情八之所以会被认为是有鸡血没内涵,

可能因为……


大多数人还没有看到这个最燃的镜头,

就睡着或离场了。


当然,最燃的镜头,绝对不是这个……


9ffb32f1a6e249154b739e084c0b0920fe869865


而是这个!!


0?wx_fmt=gif&tp=webp&wxfrom=5&wx_lazy=1

0?wx_fmt=gif&tp=webp&wxfrom=5&wx_lazy=1


在电影放到一半时,Charlize Theron扮演的女黑客大Boss控制“僵尸车海”。在曼哈顿街头开始了疯狂的追逐。这一脑洞大开的黑客剧情让快要睡着的安全君惊醒了。


(是不是在另一部影片中找到似曾相识的画面)


0?wx_fmt=gif&tp=webp&wxfrom=5&wx_lazy=1


在电影中,黑客是通过自动驾驶中的一个芯片的漏洞来控制的僵尸车的。虽然电影比较夸张,但在现实中,黑客入侵智能驾驶系统已经不少见。


fb64f0158c864b2282aebdb585acbd597ec31a6a


此前,来自美国的两名黑客Charlie Miller和Chris Valasek成功破解了JeepCherokee,即国内的自由光,让克莱斯勒公司不得不召回140万辆车。他们能在不接触汽车的情况下,入侵并控制汽车的多媒体系统、动力系统以及刹车系统等。


随着智能驾驶系统越来越普及,对车的网络攻击也变得多样化。对于每个人来说,你的车上都有几个“阿喀琉斯之踵”,容易成为黑客的控制器。


0?wx_fmt=gif&tp=webp&wxfrom=5&wx_lazy=1



网络是最致命的


互联网汽车的特性就是可以连接网络,然后可以通过手机app来远程控制车辆。手机App可以将命令发送到云端,云端再将命令发送到汽车端。如果攻击者通过逆向手机App,发现云端API的弱点,从而控制整个云端,则可以成功控制汽车了。


很多互联网汽车,有连接Wifi热点和共享Wifi的功能,方便人们在汽车里上网。攻击者可以伪造Wifi热点,使车辆连接到假Wifi中,然后再进行中间人劫持,使其汽车访问恶意程序,并将它们安装到互联网汽车上,对车辆进行控制。


另外,如果Wifi的密码口令是弱口令,或者被攻击者以某种方式知道,攻击者可以连接到车载系统的内网中;如果车载系统的某个开放端口的应用存在漏洞,攻击者则可通过该漏洞,进入车载系统,进而对车辆进行控制。


蓝牙也类似,黑客可以通过暴力破解等的方式,对车载蓝牙的设备进行连接。


1673b9595fa446c012eb375cd3cdb221f588241a




无线电的攻击


汽车都有车钥匙,可以发送无线信号,近距离打开车门。而车钥匙通常采用滚码机制,对无线信号的有效性进行验证。如果这个时候,验证过程存在问题,攻击者则可以采用信号重放的方式,来控制打开车门。攻击者通过发送无线电信号,干扰车辆系统中的一些传感器的工作,使其出现异常,进而对车辆的安全进行影响。


另外,攻击者还可以通过伪造基站,可以进行中间人劫持。


P.S. 中间人攻击:中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)。这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。


OBDII中的恶魔


OBD是英文On-Board Diagnostic的缩写,即车载诊断系统。它负责监控发动机的运行状况和尾气后处理系统的工作状态,一旦发现不正常的状况,就会马上发出警示。


491fe3fbcc8663225e496a71df7d4efb75085056


现在很多厂商来开发了OBDII设备,来扩展车辆的功能。OBDII设备连接着诊断Can,如果该设备出现问题,攻击者就可以通过发送往诊断Can里发射恶意指令,进而对车辆进行控制。


———


写到这里,安全君决定把学车的日子再往后推一推。但对于已经是老司机的人,如何去防范智能驾驶系统中潜在的危机呢?


首先,在使用外接设备如OBDII Scanner的时候。一定要使用大厂商的。这类设备直接连接着诊断can,如果出问题,危害性将会很大。


ddcca05d84fe480064aa71903f837decce1ca661

(请叫我雷锋)


其次,智能操作系统,共享Wifi密码一定要设置强。如果有安装其他智能App的功能,尽量不要安装。最后,如果车载操作系统有出现新的补丁,一定要及时升级。最后,还需要注意不要将设备的敏感信息泄露出去,让隐私不被黑客利用。


IoT安全从厂商抓起


当然,对于车主来说,是无法,也没有全部责任在安全上做得面面俱到的。越来越多的汽车生产商、云平台服务提供商和安全公司,在IoT上多下点功夫,才是安全君愿意看到的景象。


就阿里巴巴和阿里云来说,一直在对物联网设备的攻击方和防御方、传感器的安全、和智能设备安全进行研究。在未来,智能车辆会涉及到很多电子单元的安全,比如踩刹车的这个过程,其实是由微电子系统控制信号传输到电子网关,然后再转换为模拟信号再提供给物理系统去响应刹车的动作;所以对于物联网安全问题,必须要以整体的视角去看待。


在安全君看来,IoT安全要做好,分为三个层面:云 - 管 - 端。很多loT厂商往往容易遭受来自各方面的黑客对于管理平台的攻击,导致所有的设备都将处于离线状态,脱离平台的管控。以云端为例,应该有一套类似于反黑客和反入侵的体系:比如针对于Web应用、主机层面的安全防护应用,和针对系统的整体安全测试,等等。


总的来说,车的安全越来越成为车主选购座驾的重要指标。智能设备、车载系统厂商,应该把Security by Design的概念摆在更重要的位置,速八的“僵尸车”追逐才永远都不会在现实中上演。


0?wx_fmt=gif&tp=webp&wxfrom=5&wx_lazy=1


阿里云安全解决方案:https://www.aliyun.com/solution/security?spm=5176.8142029.388261.216.DfTbhN



版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:

让上云更放心,让云上更安全。

官方博客
官网链接