安全研究员查理·米勒(Charlie Miller)以及克里斯·瓦拉斯科(Chris Valasek)宣布,在定于今年8月举办的顶级安全大会——Black Hat以及Defcon上,他们将示范如何通过无线方式入侵轿车或卡车的数字网络。汽车上的网络称之为“车载网络”,通常经由CAN总线连接至分散于车身四处的计算机,其能够控制车上包括喇叭、安全带、转向以及刹车在内的方方面面。这一即将到来的演示将向人们揭示汽车面对远程入侵威胁所具有的脆弱性。米勒和卡拉斯科在2013年获得来自美国国防部高级研究计划局(DARPA)颁发的针对汽车安全进行的研究许可后,花了超过2年时间着手进行研究。
上周,在Black Hat大会的网站上,米勒和卡拉斯科表示,演示将针对未经改装的原厂车辆进行,通过在车辆的不同硬件上迂回前行,将信号通过CAN总线发送至关键的电子控制单元,进而影响车辆的机械系统。他们没有给出测试所用车型,也拒绝进一步置评。
早在2011年,来自美国几所大学的研究人员就演示过通过无线方式取得汽车刹车以及转向方面的控制。通过汽车的移动网络、Wi-Fi甚至蓝牙连接,他们在一部安卓手机上完成了入侵。此次演示亦没有披露具体车型。
但在2013年度的Defcon大会上,米勒和卡拉斯科丝毫没有遮遮掩掩,他们的演示是针对福特翼虎以及丰田普锐斯展开。两人经由OBD2端口将笔记本插在汽车仪表盘上,然后对如何造成刹车失效、转向失灵或其他后果进行了演示。
面对批评,福特和丰田回应称,靠这种连接至仪表盘的方式入侵不具备实质威胁。从那时起,米勒和卡拉斯科丝便决心以无线连接方式来实施同样的入侵演示。去年,在Black Hat大会的一次演讲上,他们发布了一份涵盖24家车商的报告,从无线攻击点、网络架构、关键机械性能的计算机控制等诸多方面对产品所具有的潜在缺陷进行了评估。在该报告中,切诺基、英菲尼迪Q50以及凯迪拉克凯雷德被评为最易入侵的车型。身为安全公司IOActive机动车安全研究方面主管的瓦拉斯科表示:“如果你控制了汽车收音机,进而通过它控制刹车和转向,想想看你能够做些什么?”
而米勒的正式工作则是Twitter的一位资深安全工程师,他的推文对今年的演示目标进行了提示:
从某些方面来说,吉普在两人早前公布的分析中获得最差评级。该公司产品在全部3个类目的测试中均获得最差评分。吉普的母公司克莱斯勒去年在一份声明中表示,如果评价属实,他们将尽力解决此类问题。
米勒和卡拉斯科的工作对车商形成了巨大压力,迫使后者在机动车安全方面投入更多精力。而他们的分析报告亦引来政府关注。
两人没有透露此次进行的演示到底能够在多大程度上控制车辆,他们只是表示“将会揭示远程入侵汽车的可能以及局限性”,并且表示“要么汽车绝对安全,要么会对乘客造成致命威胁”。