3月22日,世界黑客大赛(Pwn2Own)在温哥华拉开序幕。2023 Pwn2Own为期三天,主办方为本届比赛总计准备了108万美元奖金,来自全球各个国家和地区的安全专家大展神通,纷纷向知名品牌发起网络攻击。
在Pwn2Own大赛上,就有黑客成功攻破特斯拉汽车安全防护,而且是攻破了“两次”,也因此获得了大量的赏金。
第一天,Synacktiv团队演示了针对特斯拉Gateway 的 TOCTOU的竞态条件漏洞攻击。他们获得了 10万美元和 10 个 Master of Pwn 积分,并额外获赠了一辆特斯拉Model 3。第二天,Synacktiv的其中两名对员再度发起攻势,他们在成功实施堆溢出和 OOB 写入利用链攻击后获得了25万美元奖金。
黑客们似乎“偏爱”特斯拉,多年来一直在寻找该品牌汽车存在的漏洞。某黑客团队曾在特斯拉Model3的网络浏览器中找到漏洞,得以进入Model3汽车计算机系统,并在车内仪表显示屏上留下“到此一游”。为此特斯拉奖励黑客团队3.5万美元及一辆同款车。
2020年,一名“黑客”针对特斯拉开发了一种密钥克隆“中继攻击”,并且在Model X上进行演示。只需要90秒,黑客就能进入车内,再用1分钟注册自己的汽车钥匙,开车走人,全套攻击迅速完成。当时特斯拉着急忙慌地发通告,并且立刻推出新的补丁。
不仅仅是特斯拉,事实上,近年来有很多车企也同样受到了来自黑客的攻击。
据相关数据统计,自2020年12月至今共有980余起与车企数据泄露发生,除去部分重叠售卖的信息,平均每月就有7起车企数据泄露时间在暗网平台发布。在这些被贩卖的泄露数据当中,98%的泄露数据都是来自于各个车企的车主数据,其获取的渠道除了来自车企外,也有可能来自车管所、经销商以及第三方平台等等。
我们一起来看看近年以来,还有哪些代表汽车车企被黑客攻击。
法拉利表示,事件中暴露的客户信息包括姓名、地址、电子邮件地址和电话号码。到目前为止,法拉利尚未找到付款细节、银行帐号或其他敏感付款信息被访问或窃取的证据。法拉利已采取措施保护受损系统,并表示此次攻击对公司的运营没有影响。
发现漏洞后,法拉利还向有关部门报告了此次攻击,并正在与一家网络安全公司合作调查影响范围。该公司补充说:“作为一项政策,法拉利不会被勒索赎金,因为支付此类赎金会为犯罪活动提供资金,并且会进一步促进勒索组织发起更多勒索攻击。”
在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
蔚来方面表示,对于此次事件给用户造成的影响深表歉意,并承诺对因本次事件给用户造成的损失承担责任。窃取、买卖此类数据是违法犯罪行为,公司对此予以严厉谴责,也坚决不会向网络犯罪行为低头。
随后,蔚来创始人、董事长、首席执行官李斌在蔚来官方社区致歉。李斌表示,保护好用户信息安全是我们的责任,我们没有做好,向大家深表歉意,会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。我们不会与不法行为妥协,也请大家及时提供线索。
丰田称,可能受影响的主要是在2017年7月之后使用电子邮箱注册丰田汽车T-connect服务的客户。此前丰田确认了T-Connect的用户网站的源代码的一部分,在GitHub(软件开发的平台)上被公开,其中包含对数据服务器的访问密钥,通过使用该密钥,可以访问数据服务器中保存的邮件地址和客户管
理号码。
虽然丰田立即将GitHub上的该源代码非公开化,并于9月17日变更了数据服务器的访问密钥。安全专家调查称,虽然不能从存储有客户的邮箱地址和客户管理号码的数据服务器的访问历史中确认第三方的访问,但也不能完全否定这一可能。
数据泄漏发生的原因是,2019年8月至2021年5月,一家供应商在互联网上留下了"不受保护的"客广数据。大众汽车、其子公司奥迪,以及美国和加拿大的官方经销商都使用该供应商的服务。在某些情况下,这些基本信息数据包括电话号码、电子邮件地址、邮寄地址和车牌号码。
该公司已经联系了美国的9万余客户,主要是奥迪的客户,因为他们在这次泄露中暴露了特别敏感的信息。这包括驾照号码、社会安全号码、在大众或奥迪的网站账号以及出生日期。该公司为那些敏感信息被泄露的人提供免费的信用保护。
此外,奔驰也曾发生数据泄露。2021年,梅赛德斯奔驰美国公司承认,因为操作不当泄露了近1000名奔驰用户和少部分潜在买家的隐私数据,而这些数据的泄露是在一个云存储平台上,整个泄露事件完全出于无意,并不涉及任何利益交换。
这些泄露的数据包括自2014年1月至2017年6月期间客户和潜在买家在经销商和公司网站上输入的自报信用分数、驾驶执照和社会保险号码以及信用卡信息等,属于非常核心的私人信息。不过奔驰美国公司官方宣布,这起信息泄露事件并未造成很大损失,恰当的操作也没有让这些数据被滥用。奔驰美国公司给被泄露信息的用户和潜在消费者免费提供了为其两年的信用监控服务,确保私人信息安全。
例如在2022年,现代汽车APP就被曝出存在一个重大安全漏洞。利用这个漏洞,黑客可以远程解锁、启动汽车。更令业界感到惊讶的是,这个漏洞已经存在了10年之久,影响了自2012年生产的现代汽车,以及旗下高端品牌捷尼赛思汽车。但现代汽车发布公告称,该漏洞并未被广泛利用。
根据网络安全研究人员Sam Curry的说法,原本现代和捷尼赛思汽车的APP仅向授权用户提供车辆的控制权限,但是,该APP与授权服务器的通信之间存在一个严重的安全漏洞,导致攻击者可以轻易取得相应的权限。
而在2023年1月,更有媒体爆料称,近 20 家汽车制造商和服务机构存在 API 安全漏洞,这些漏洞允许黑客进行远程解锁、启动车辆、跟踪汽车行踪,窃取车主个人信息的恶意攻击活动。
据悉,API 漏洞主要影响宝马、罗尔斯、奔驰、法拉利、保时捷、捷豹、路虎、福特、起亚、本田、英菲尼迪、日产、讴歌、现代、丰田和创世纪等其知名汽车品牌。此外,漏洞还影响汽车技术品牌 Spireon 和 Reviver 以及流媒体服务 SiriusXM。
网络安全研究员 Sam Curry 和其研究团队,在数十家顶级汽车制造商生产的车辆和车联网服务中,发现了API 漏洞问题。此前,Sam Curry于 2022 年 11 月披露了现代、Genesis、本田、讴歌、日产、英菲尼迪和 SiriusXM 的安全问题。
正如中国工程院院士、国家数字交换系统技术研究所所长邬江兴所说的那样,一部汽车有几十亿条的代码,其中必然存在各类安全漏洞。借助漏洞,攻击者完全可以发起更大规模的网络攻击,汽车行业面临的安全威胁前所未有。一旦漏洞利用成功,黑客可以远程控制车辆,甚至可以查看车主的电子邮件、浏览手机通讯录、进行远程定位,甚至是获取车主在车内的所有电子设备信息。
所幸我国对于汽车行业的安全问题和数据泄露问题有所重视,近年来持续颁布各类网络安全法规、政策,进一步规范化汽车安全行业的基本准则。
例如,我国已经陆续发布《关于加强智能网联汽车生产企业及产品准入管理的意见》《汽车数据安全管理若干规定 ( 试行 ) 》《车联网网络安全和数据安全标准体系建设指南》等法规,明确了车企在数据收集、保管、使用方面的责任和义务。
精彩推荐