『漏洞』19个漏洞影响200万辆奔驰车 360协助修复
近日在美国旧金山Moscone Center举行的安全盛会RSAC 2020上 , 来自360集团的Sky-Go汽车安全团队公布了针对梅赛德斯-奔驰的安全研究成果 , 共计发现硬件和软件的漏洞19个 。 据360 Sky-Go安全研究团队负责人严敏睿介绍 , 通过利用多个漏洞形成的攻击链 , 可实现对梅赛德斯-奔驰的非接触式控制 , 例如未授权的远程解锁车门、启动引擎等操作 。
本文插图
追溯:19个漏洞背后的安全研究与合作
360 Sky-Go团队从2018下半年启动关于梅赛德斯-奔驰的安全研究计划 , 并在2019年5月得到初步研究成果;
8月21日 , 360 Sky-Go团队将漏洞汇总为报告 , 遵循了负责任的漏洞披露原则 , 将漏洞细节提交给梅赛德斯-奔驰安全团队;
8月23日 , 两天后奔驰安全团队关停了部分与漏洞相关的服务 , 以减少更多的安全风险;
8月26日奔驰安全团队开始漏洞修复工作;
10月23日双方安全团队在北京进行了为期两天的漏洞研讨会 , 就360 Sky-Go团队的研究过程和细节与梅赛德斯-奔驰安全团队的漏洞原因和修复过程进行了深入的讨论;
2020年1月 , 受奔驰安全团队邀请 , 360 Sky-Go安全研究团队前往以色列特拉维夫进行进一步的漏洞细节沟通;
本文插图
2月28日 , 360 Sky-Go安全研究团队安全研究员陈元恺和梅赛德斯-奔驰研发中心产品安全负责人盖·哈帕克在RSAC 2020进行同台演讲 , 在会议现场发布了在梅赛德斯-奔驰上的研究成果 , 其中包含多达19个软件和硬件的安全漏洞 。
本文插图
现状:漏洞影响的不仅是汽车和人的安全
据Upstream的统计报告 , 2019年汽车网络安全事件仍处于高速增长阶段 , 是2018年的2倍 , 更是2016年的7倍之多 , 另外利用蓝牙、无线钥匙、手机APP进行的远程攻击事件数量明显上升 。
汽车一旦出现网络安全问题 , 将带来巨大危害 。 陈元恺分别从用户、车企及社会三个方面谈及影响:对用户来说 , 黑客可能利用汽车漏洞解锁车辆实时盗窃 , 发起远程攻击控制正在行驶的车辆 , 对车主的财产安全、人身安全产生威胁;对车企来说 , 一旦被爆安全漏洞 , 将直接影响到车企的品牌市值 , 同时大范围召回也将消耗大量的人力物力 , 造成巨大的经济损失;对社会来说 , 非法黑客组织可能利用漏洞进行大范围有目的的攻击活动(APT) , 直接影响到社会和国家的稳定 。
由于漏洞还在进一步的修复当中 , 涉及到多方的产品和保密信息 , 360 Sky-Go团队和奔驰安全团队保持紧密沟通 , 详细的漏洞技术细节将在后续进行公布 , 可扫描二维码登记信息 , 后续报告发布将邮箱通知 。
展望:良好的汽车安全生态建设依赖合作
汽车安全研究从来不是独立进行的 。 特斯拉早在2013年就设立了“安全研究员名人堂” , 鼓励白帽黑客们一起来“查漏补缺”;2016年通用汽车与著名的白帽黑客平台HackerOne合作推出了“漏洞悬赏计划”;梅赛德斯-奔驰也计划在2020年发起聚焦安全的“漏洞报告奖励”(Bug Bounty)项目 , 旨在帮助和鼓励有关研究团队协助梅赛德斯-奔驰提升其互联服务 。
“主动识别漏洞对于保护我们客户及其车辆的数据至关重要 。 梅赛德斯-奔驰高度重视信息安全团队的专业能力 。 ”梅赛德斯-奔驰特拉维夫CEO及梅赛德斯-奔驰汽车信息安全负责人阿迪·奥菲克(Adi Ofek)表示 , “我们非常赞赏Sky-Go团队的研究实力和360安全大脑的出色能力 , 他们辛勤的努力和富有热情的研究工作 , 为协助我们进一步提高车辆信息安全做出了重要贡献 。 ”
推荐阅读
- 【乐居网】京东徐雷谈瑞幸财务造假:对中企形象影响是破坏性的
- 『北京日报客户端』疫情影响是否会超过2008年金融危机?央行:目前还没有
- 「OFweek维科网」两条海缆先后故障 南非网络连接受影响,封锁之下
- 「直播吧」使皇马更有机会签下他,阿斯:疫情影响姆巴佩续约谈判
- 天九云洽会:从影响小众到激发大众
- 「产业气象站」如果瘫痪了会造成什么影响,用于海上风电功率预测的系统
- 小康视野@美主动做了次试验,失去GPS对战争有影响吗?为考验部队应对能力
- 【小康视野】美主动做了次试验,失去GPS对战争有影响吗?为考验部队应对能力
- 「足篮彩汇」疫情影响皇马计划降薪10%
- 「北京商报」商务部:海外疫情蔓延不可避免对我国汽车贸易和供应链运转带来影响