一分价钱一分货 – 这是大家很熟捻的说法, 但在智能汽车上被迫花了一大笔后, 你肯定不想听到有人这么说。看看那些价格不菲的标签, 你就能体谅车主为什么能忍着诱惑不买制造商提供的昂贵附加设备了。车主们会转而在互联网上寻找非官方的便宜驾驶解决方案, 显然车主们并没有任何意识到这样做会带来怎样的潜在危险。
如何解锁车内的其他功能
现代化的智能汽车可以做很多事:连接到互联网、下载地图和其他有用信息、与本地服务中心交换数据、执行远程诊断和维护。您可以在家里起动发动机、设置车内空调系统, 等你上车的时候温度刚刚好。
唯一的问题是:这些福利并不便宜。由知名制造商生产的最昂贵车型中均标配各种舒适性功能。但是在更看重预算的车型中, 这些附加功能往往会被锁定(受特殊数字签名保护), 需要单独购买。
但是万一黑客发现了智能汽车中的漏洞, 可借此授权访问用于保护这些功能的数字证书会怎么样?事实上, 黑客已经在这样做了(主要是利用USB接口), 他们出售支持车主替换汽车安全证书的小工具, 让车主获得梦寐以求的功能。因此, 如今网上有许多”替代”智能汽车解决方案有售。
有多个论坛和销售平台提供用于此目的的各种工具和程序。在旧金山举行的RSA 2018大会上, 我们的研究人员报告了对这些论坛和平台进行研究后的发现结果。例如, 他们发现了用于重置里程数或在事故后重新加载安全气囊的特殊模块, 这可节省维护成本, 还发现了用于诊断和解锁付费功能的工具以及盗版导航应用程序和未授权附件。当然, 这些产品要比制造商提供的便宜得多。为什么要花更多钱来购买非必要的功能呢?
木马固件
为什么应该花更多钱去购买正版呢?因为一分价钱一分货。小气的车主很可能最终还是得花同样的钱, 只是方式与他们想的不一样。便宜工具的问题在于, 连接后这些工具可以访问整个汽车系统, 包括车主的机密数据和控制功能。就像非官方的Android应用程序 一样, 地下固件不仅为用户也为网络犯罪分子提供了新的可能性。
智能汽车的车主是很有吸引力的目标。开着酷炫高科技汽车的人就像是一颗潜在的摇钱树。暗网广告出售的帐户可授权从世界任何地方访问被黑的汽车。
针对车主开发”有用”程序来解锁功能的攻击者, 几乎可以不受任何限制地控制车辆, 具体取决于在固件中注入了哪些代码。黑客可以监控汽车的运动、窃听对话或访问连接到系统的智能手机, 或者可以关闭警报和对车门解锁。
企业网络犯罪分子甚至可能注入勒索软件, 使汽车没法开, 直到车主支付加密货币。
安全措施
遗憾的是, 关于保护汽车免受网络犯罪分子的入侵是你的责任。尽管早在2015年就发现了第一例智能吉普车被黑事件, 而且我们的专家们在2016年强调了针对联网汽车的第三方应用程序的危险, 但制造商仍然低估了修补漏洞的重要性, 这意味着许多威胁至今仍然活跃。在情况发生根本变化性转变之前, 车主得为自己的安全负责。
- 只使用官方应用程序和配件。请记住本文中的警句 – 一分价钱一分货。
- 正确维护车辆并定期更新其固件。不要忽视针对车型的固件更新 – 很可能这些更新能够解决一些问题, 避免发生问题后再处理。
- 使用反病毒软件扫描联网汽车的移动应用程序。这样, 入侵者就无法窃取智能手机上的注册数据在黑市上转售。