文章

新闻 > 正文

逼疯你的仪表盘 揭秘SyScan360黑客会议


爱卡汽车 2016-11-25 08:00:24

72评论

  [爱卡汽车 科技频道 原创]

  2016年被称为黑客元年,这一年阿桑奇的维基解密为特朗普送上了“神助攻”间接将希拉里拉下神坛,超级大胖子黑客Kim Dotcom凭借几行代码便教会美国人如何查看希拉里私下删除的邮件,而前不久美国境内发生的智能设备大反攻,仅仅80万个摄像头就让半个美国互联网瘫痪,六小时损失了近百亿美元。

点击任意图片,进入图集浏览Kim Dotcom和阿桑奇以及斯诺登并称为美国政府最头痛的黑客。

  随着物联网的发展,预计到2020年,全世界将会有200亿个设备连入网络,网络及人工智能安全这个话题越来越重要。

今年的SyScan360就将这系列问题作为会议主题,来自全世界六国的顶级黑客将在会议上进行分析。

一、“神经”层面的袭击,汽车总线攻击与破解

  这次大会在汽车方面一共有两个议题,对汽车总线的攻击是第一个。这个项目主要目的在于检测新车在电子系统方面对恶意攻击的防范。

来自奇虎360汽车安全实验室的负责人刘建皓先生带领团队完成了这个项目。他们开发了一套汽车信息安全检测平台和框架。

  这个检测平台的工作原理是这样的,通过物理连接(OBD或者USB)接入汽车总线,通过对电子控制单元ECU、中间人测试攻击、暴力破解、扫描监听CAN总线报文等进行测试,发现新车在总线方面的不足和漏洞以此提高新车安全性。

在会议上,360团队演示了对BYD秦EV的总线破解。
通过逆向破解,CAN-PICK工具能够完全控制秦的所有电子系统,包括前仪表盘的显示(比如你开100km/h,软件可以只显示80km/h)这在车辆实际使用中非常危险。

  在演示过后,我也跟工程师详细的聊了聊这套工具。其实,这套CAN-PICK工具,其初衷是为了预防未来几年黑客对车联网汽车或者说互联网汽车的攻击而设计

通过走势图进行逆向控制。

  汽车总线先天就有安全风险,为什么呢?大部分的汽车总线在开发设计时都建立在封闭的网络环境上,对安全风险考虑不多,而随着智能硬件的发展,摄像头、雷达传感器以及高级辅助驾驶系统甚至未来的自动驾驶都会对网络、智能硬件的安全提出更高要求。因此,一套测试总线安全性能的工具就变得极其重要。

  车厂在新车研发初期,可以通过这套系统对新车汽车总线进行检查,通过工具对总线进行注入攻击,看看新车CAN总线的设计是否存在缺陷,这对未来汽车的自动控制系统有着极其重要的意义。

二、“劫持”你的仪表盘,18岁大学生的逆袭

  这次黑客大会第二项关于汽车的议题就是HackPWN汽车破解大赛。这个在会议期间举办的赛事考察的是入侵汽车仪表盘。

通过汽车总线入侵,操控者可以随意控制仪表盘的各项信息。

  汽车仪表盘是汽车的“眼睛”,驾驶员通过仪表盘的各种显示来了解汽车运行状态,控制汽车,是汽车安全驾驶的保障。可以想象一旦仪表盘被控制,不能显示正确的数据和状态,汽车驾驶将是一件恐怖的事情。

比赛中,来自上海科技大学的King团队仅用了2分钟就攻破了汽车电脑,并成功劫持了汽车的仪表盘,随意控制仪表盘上的故障灯以及其他24项功能。

  通过比赛也可以看出,随着汽车智能化程度的提高,汽车安全的脆弱性也在增加,汽车信息安全保护迫在眉睫。

三、花絮及大神频现

  全球黑客大会当然不止汽车安全这一个方面,其实整个会议更偏向互联网领域,只是因为随着车联网自动驾驶的出现,黑客们加强了对汽车领域的关注,其实大神们真正的实力还是体现在对抗微软、苹果以及政府机构上面,下面就带大家简单了解一些会议的其他方面。

1、价值10万美金的微软漏洞

  来自德国的Moritz Jodeit虽然刚出道半年,但凭借一个漏洞就获得了微软公司10万美金的奖励。

对于大神的讲解,我是“跪着”听完的,因为根本听不懂……

2、世界黑客大赛PwnFest冠军团队

  如果说之前的Moritz Jodeit先生还让人有些陌生,360Vulcan团队我还真的比较熟悉。团队中的MJ和古河都是黑客中的名人,之前10s破解微软Edge、3s破解Flash的战绩也是出自他们之手,能亲眼见到这些顶尖级黑客也是我的荣幸。

左侧是360Vulcan团队中的古河,右侧是MJ。
这次会议MJ和古河带来的就是对微软浏览器的攻击以及从Edge沙箱中逃逸的技术手段,同时还介绍了一个发现沙箱RPC漏洞的工具。

  编辑点评:极简高效、直击目标,这恐怕是跟黑客们面对面后的最真实体验。实话说,SyScan360的整个会议我是怀着极其认真、崇拜的态度听完的,然而一天下来后除了烧脑和发懵,剩下的就是对这些黑客们认真工作态度的折服。无论是年轻的汽车白帽子还是成名已久的黑客大神,身穿运动休闲装的他们对每一个细微的问题都会仔细解答,这种平易近人的态度让人敬佩,同时也感谢SyScan360能让我们了解更多关于汽车电子安全领域的内容。

  相关内容回顾:

  越智能越危险?看360专家如何破解汽车

爱极客官方店铺
热门视频