寶馬和勞斯萊斯系統(tǒng)存漏洞 車(chē)門(mén)或遭黑客秒開(kāi)

    綜合外電報(bào)道，寶馬集團(tuán)旗下寶馬、勞斯萊斯等品牌上百萬(wàn)輛汽車(chē)存在缺陷，配備的ConnectedDrive數(shù)字服務(wù)系統(tǒng)有漏洞，黑客可利用此遠(yuǎn)程打開(kāi)車(chē)門(mén)。不過(guò)寶馬表示已經(jīng)修復(fù)故障。

　　寶馬車(chē)門(mén)或被打開(kāi)

　　彭博社等外媒援引德國(guó)汽車(chē)俱樂(lè)部ADAC（Allgemeiner Deutscher Automobil-Club）一份最新報(bào)告稱(chēng)，寶馬ConnectedDrive數(shù)字服務(wù)系統(tǒng)在安全性方面有瑕疵；在短短幾分鐘內(nèi)，黑客能夠從該漏洞以遠(yuǎn)程無(wú)線的方式侵入車(chē)輛內(nèi)部，并打開(kāi)車(chē)門(mén)；該缺陷涉及寶馬、勞斯萊斯和MINI三大品牌。

　　ADAC表示，大約有220萬(wàn)輛配備ConnectedDrive數(shù)字服務(wù)系統(tǒng)的車(chē)輛受到影響，包括勞斯萊斯幻影、MINI掀背車(chē)和寶馬i3電動(dòng)車(chē)在內(nèi)的絕大部分寶馬品牌車(chē)型。上述車(chē)輛生產(chǎn)時(shí)間為2010年3月至2014年12月之間。

　　旋即，寶馬方面表示已經(jīng)升級(jí)了數(shù)字系統(tǒng)解決安全軟肋，當(dāng)車(chē)輛連接到寶馬服務(wù)器時(shí)軟件將自動(dòng)升級(jí)。該集團(tuán)發(fā)布聲明稱(chēng)：“寶馬集團(tuán)很快作出反應(yīng)并提高了安全性。”寶馬同時(shí)也宣稱(chēng)，尚未獲得任何有關(guān)該缺陷造成事故的報(bào)道。

　　關(guān)于此次安全漏洞，寶馬認(rèn)為還不足以導(dǎo)致車(chē)輛被黑客盜竊開(kāi)走，不過(guò)凸顯出車(chē)輛數(shù)字化設(shè)施的普及使得安全隱患風(fēng)險(xiǎn)增大；諸如遠(yuǎn)程控制、冬季內(nèi)飾預(yù)熱等無(wú)線操作功能需要新一層安防系統(tǒng)，確保車(chē)輛的安全。

　　黑客襲車(chē)漏洞面面觀

　　智能化和網(wǎng)絡(luò)化為汽車(chē)用戶帶來(lái)了巨大的便利，然而遠(yuǎn)程無(wú)線渠道的漏洞卻也為黑客趁虛而入提供了機(jī)會(huì)。近年來(lái)，從賓利等豪華品牌到福特翼虎等大眾化車(chē)型，從普銳斯混合動(dòng)力車(chē)到特斯拉純電動(dòng)車(chē)，都遭遇過(guò)漏洞可被操控的尷尬。

　　2013年，英國(guó)伯明翰大學(xué)的Flavio D. Garcia、荷蘭內(nèi)梅亨大學(xué)（Radboud University Nijmegen）的Roel Verdult和Baris Ege宣布，突破了奧迪、保時(shí)捷、賓利和蘭博基尼等大眾汽車(chē)集團(tuán)旗下豪華車(chē)品牌的Megamos Crypto防護(hù)系統(tǒng)，發(fā)現(xiàn)了車(chē)輛內(nèi)部的獨(dú)特邏輯代碼，能夠允許車(chē)輛識(shí)別點(diǎn)火鑰匙的特征。除了大眾以外，不少其他車(chē)企的點(diǎn)火鑰匙也使用Megamos Crypto邏輯。

　　同年，Twitter公司軟件安全工程師查理·米勒（Charlie Miller）和IOActive安全公司智能安全總監(jiān)克里斯·瓦拉賽克（Chris Valasek）表示，在獲得美國(guó)政府許可的情況下，對(duì)經(jīng)由網(wǎng)絡(luò)入侵攻擊汽車(chē)進(jìn)行了數(shù)月的研究，并在當(dāng)時(shí)實(shí)現(xiàn)迫使普銳斯在80英里/時(shí)（128千米/時(shí)）的條件下猛剎車(chē)、使得汽車(chē)猛打方向盤(pán)、讓發(fā)動(dòng)機(jī)加速；也能使得翼虎在超低速行駛時(shí)剎車(chē)失效，無(wú)論司機(jī)如何猛踩剎車(chē)，車(chē)輛都將繼續(xù)前進(jìn)。

　　不過(guò)米勒和瓦拉賽克在對(duì)汽車(chē)模擬發(fā)動(dòng)攻擊時(shí)，需要坐在車(chē)?yán)?，用筆記本電腦直接連上車(chē)輛的電腦網(wǎng)絡(luò)，還不是遠(yuǎn)程入侵汽車(chē)網(wǎng)絡(luò)。

　　一向以新銳力量形象聞名的特斯拉也遭遇了網(wǎng)絡(luò)黑客的挑戰(zhàn)。2014年3月28日，網(wǎng)絡(luò)安全顧問(wèn)Nitesh Dhanjani宣稱(chēng)特斯拉Model S豪華跑車(chē)安全系統(tǒng)存在數(shù)處設(shè)計(jì)缺陷，不過(guò)車(chē)輛主要系統(tǒng)并未找到隱藏的軟件漏洞。

　　車(chē)主在下單購(gòu)買(mǎi)特斯拉公司電動(dòng)車(chē)產(chǎn)品時(shí)，需要設(shè)立一個(gè)賬戶，密碼為6位數(shù)。該密碼用于解鎖智能手機(jī)app功能，進(jìn)入車(chē)主在線特斯拉賬戶。該免費(fèi)app功能能夠定位車(chē)輛并遠(yuǎn)程解鎖，以及控制和監(jiān)控其他功能。特斯拉Model S的賬戶密碼安全度較低，類(lèi)似盜竊電腦賬戶密碼或在線賬戶密碼的幾種黑客手段，都可能讓密碼的安全保護(hù)變得格外脆弱。6位密碼變化不多，黑客可能通過(guò)特斯拉網(wǎng)站猜出密碼，并能夠定位車(chē)輛，并盜竊相關(guān)隱私。

　　不過(guò)Dhanjani還指出，特斯拉Model S只有當(dāng)用到鑰匙圈時(shí)才能發(fā)動(dòng)，黑客可能解鎖、定位車(chē)輛，但無(wú)法開(kāi)走汽車(chē)。