登录推广|客服 |

扫描或点击关注
中金在线客服

使用财视扫码登陆 中金二维码

下次自动登录

登录
忘记密码?立即注册

其它账号登录:新浪QQ微信

手机网AndroidApp IOS
首页 财经 股票 行情 数据 基金 黄金 外汇 期货 港股 理财 原创 汽车 视频 路演 博客 财经号
首页>>汽车>>曝光台>>  正文
新车
产地:
品牌:
品 牌:
车系:
车 系:

选车向导> 条件选车

价格:
排量:
车体:

热词

腾讯科恩安全实验室发现多款宝马车型存在诸多安全漏洞

2018-05-24 14:05:52 来源:盖世汽车 已入驻财经号 作者:李文龙 分享到
关注中金在线:
  • 扫描二维码

    关注√

    中金在线微信

在线咨询:
  • 扫描或点击关注中金在线客服

  盖世汽车讯 据外媒报道,腾讯旗下科恩安全实验室(Keen Security Lab)发现宝马车辆的车载计算机系统存在大量的漏洞。

  在2017年1月-2018年2月期间,腾讯科恩安全实验室的研发人员对各款宝马车型进行了测试,并将研究重心放在其头部单元(head unit)及T-Box车联网组件。经过长达13个月的研究后,该团队发现了14个漏洞,该漏洞或致使互联车辆处于安全风险中。

  该测试获得了宝马的支持并提供试验条件,目前受影响的车辆包括宝马的i系车型、X1 sDrive、5系车型及7系车型。

  据科恩安全实验室发布的报告显示,其中9个漏洞需要对目标车辆进行实际的物理访问(接触或进入车辆),另外5个漏洞只需将手机联网就能攻破。

  上述漏洞使得网络攻击者可访问车辆的头部单元(车载信息娱乐系统)与T-box组件,涉及:车辆的车载资通讯控制单元及中央网关控制模块(Central Gateway Module),从而创建并部署漏洞利用链(exploit chains),进而控制CAN总线。

  CAN总线存在可供攻击的漏洞,这件事很严重,因为上述总线与车辆的各个功能模块相连通。当CAN总线被攻击者控制时,研究人员可利用远程手段触发任意的车载诊断功能。

  科恩安全实验室在无意间发现了内存崩溃漏洞(memory corruption vulnerabilities)、逻辑错误、故障(bugs),或突破安全隔离区域(secure isolation system areas),部分漏洞还将导致远程代码执行。

  该团队还能利用USB、以太网及车载诊断系统连接(OBD-II connections)影响车辆的操作性能。此外,若采用USB记忆棒,还能制作伪造的升级文件,影响车辆的升级服务并获得hu-Intel的根域控制权限(root control),而hu-Intel系统可控制多媒体服务及宝马ConnectedDrive功能。

  当科恩安全实验室的研究发现得到验证后,将制定相关的补救措施,为最重要的几处漏洞问题打软件补丁。这类升级文件通过空中下载软件升级技术推送到后台系统及车载资通讯单元中。此外,经销商处也将获得所需的软件升级文件。

  当前的研究删除最为重要的漏洞利用技术要素,防止网络攻击者在宝马修复上述所有漏洞前肆意利用其漏洞对宝马车型进行攻击。然而,双方计划在明年发布数量更庞大的安全性缺陷(security flaws)、漏洞利用链及其应对方案。

  由于前期测试合作的成功,腾讯科恩安全实验室与宝马正在讨论新网络安全研发合作的相关事项。未来的研究方向可能会专注于内置了Google Android的车载系统及自动驾驶、测试及OTA升级机制的安全性问题。(本文图片选自zdnet.com)

中金在线汽车频道官方微信公众账号(车show),我们致力于为广大有车一族提供养护、驾驶技巧,热门新车评测等实用资讯,打造车友互动交流平台,快来试试吧!

微信关注方法:1.扫描左侧二维码;2.请在微信平台“查找公众账号”选项中搜索“车show”(cnfolauto)关注汽车频道微信。

为您推荐

更多评论>>网友评论文明上网,理性发言