最近,在RSAC 2020,一个在美国三藩市的莫斯科中心举行的安全盛会上,来自360集团的Sky-Go汽车安全团队发布了关于梅赛德斯-奔驰的安全研究结果,总共发现了19个硬件和软件漏洞。360天合安全研究小组组长闫敏瑞表示,梅赛德斯-奔驰的非接触式控制可以通过利用多个漏洞形成的攻击链来实现,例如未经授权的远程开门、启动引擎和其他操作。据统计,这些漏洞将影响中国200多万辆奔驰智能车。
2月28日,360天合安全研究小组安全研究员陈元开和梅赛德斯-奔驰R&D中心产品安全总监盖伊·哈珀在RSAC 2020上发表了同样的讲话。关于梅赛德斯-奔驰的研究结果在会议现场发布,包括多达19个软件和硬件安全漏洞。
现状:漏洞影响的不仅是汽车和人的安全
根据上游统计报告,2019年汽车网络安全事件数量仍处于高增长阶段,是2018年的两倍,是2016年的七倍。此外,使用蓝牙、无线钥匙和手机应用程序的远程攻击数量显著增加。
一旦汽车出现网络安全问题,将会带来极大的危害。陈元开从用户、汽车和社会三个方面讲述了这种影响。对于用户来说,黑客可能会利用汽车上的漏洞来解锁车辆的实时盗窃,并发动远程攻击来控制正在行驶的车辆,这将对车主的财产安全和人身安全构成威胁。对于汽车公司来说,一旦安全漏洞被戳穿,汽车公司的品牌市场价值将直接受到影响。同时,大规模的召回也会消耗大量的人力和物力,造成巨大的经济损失。对于社会来说,非法黑客组织可能会利用漏洞进行大规模有针对性的攻击,直接影响社会和国家的稳定。
由于该漏洞仍在进一步修复中,涉及各种产品和机密信息,360 Sky-Go团队和梅赛德斯-奔驰安全团队保持密切沟通。该漏洞的详细技术细节将在后续文章中公布。二维码注册信息可以扫描,电子邮件将在后续报告发布时通知。
展望:良好的汽车安全生态建设依赖合作
汽车安全研究从未独立进行过。特斯拉早在2013年就建立了“安全研究员名人堂”,鼓励白帽黑客们一起“检查漏洞,填补空缺”;2016年,通用汽车和著名的白帽黑客平台HackerOne推出了“漏洞奖励计划”。梅赛德斯-奔驰还计划在2020年启动一个以安全为重点的“臭虫赏金”项目,以帮助和鼓励相关研究团队协助梅赛德斯-奔驰升级其互联网服务。
"主动漏洞识别对于保护我们客户及其车辆的数据至关重要。梅赛德斯-奔驰非常重视信息安全团队的专业能力。”梅赛德斯-奔驰特拉维夫公司首席执行官兼梅赛德斯-奔驰汽车信息安全负责人阿迪·奥菲克说:“我们非常感谢天空公司团队的研究力量和360安全头脑的卓越能力。他们的辛勤工作和热情的研究工作为帮助我们进一步提高车辆信息安全做出了重要贡献。”
360汽车安全大脑帮助发现了这次披露的19个漏洞,是一套完整的汽车信息安全解决方案。通过部署在汽车端的软硬件安全产品,它将安全相关数据收集到云平台,并感知汽车网络安全风险。“360汽车安全大脑”也出现在RSAC 2020展区,试图展示多年来在智能联网汽车领域积累的安全能力。当它首次进入国际领域时,吸引了宝马、松下、沃尔玛、华为等全球知名企业的目光。
360集团董事长兼首席执行官周在谈到汽车安全大脑时说:“在未来,我们希望为汽车行业提供更全面的信息安全专业知识和解决方案,以确保智能汽车在一个物联网时代的安全性,让更多的汽车制造商和客户共同受益。”
目前,拥有360辆汽车的安全大脑已经连接了30多万辆汽车,拦截和攻击了3.5万次,累计发现汽车网络中有500多个安全问题,影响了大约450万辆智能汽车。
