黑客入侵汽车

3 文章

《安全周报》32期:安卓Stagefright漏洞、全新汽车黑客入侵和”请勿追踪”2.0

仅仅在23年以前,微软只是刚刚发布了Windows 3.1系统,而苹果正推出其第一代PDA(掌上电脑),而Linus Torvalds则在GNU许可证下发布了Linux操作系统。在同一时期,尤金•卡巴斯基也出版了一本书,上面详细介绍了那个时代所有已知的计算机病毒以及清除病毒的方法,其中—这些病毒程序都被称为-V。当时的网络威胁并不是像现在那么严重:一本小册子就能覆盖当时所有病毒的介绍,甚至在随后的20年里情况也并未太过糟糕。 The Complete Сatalogue of Malware, written by Eugene Kaspersky in 1992 《恶意软件完整产品目录》,尤金·卡巴斯基编写于1992年 而那个”天真纯洁”的时代早已一去不复返。现在,每天出现的新型恶意软件数量就多达32.5万。同时几乎每个星期,整个互联网行业都会面临系统安全问题的新考验—从汽车和滑雪板到核电厂,几乎遍及各个领域。这是最好的时代,也是最坏的时代:如今,随着越来越多的人开始重视他们依赖于计算机的数据、企业和个人生活的安全性,整个互联网世界才有可能变得更加安全。 而现在,即便你放松地躺在椅子上的时候,也能了解互联网安全的最新动态。每周一,我们都将为您带来上周发生的三条最重要的安全行业新闻,同时还有从各个网站收集的辛辣评论。这些新闻无一例外都精选自Threatpost和卡巴基斯官方。 Stagefright:还未造成任何改变的安卓漏洞 Threatpost新闻。Google反馈。CERT Advisory。Kaspersky Daily对于如何预防Stagefright感染的建议。 Wired将其称为”迄今为止发现的最严重安卓系统漏洞“之一,但这样的表述并不完全正确:因为它还要更糟。这一漏洞与Heartbleed和Shellshock的主要差别在于:我们不必为Stagefright想一个唬人的名字,Stagefright是安卓系统音频和视频播放的引擎,也是安卓开源项目的一部分。从技术上讲,Stagefright其实是一整套漏洞(来自Zimperium的研究专家发现了留在CVE基地的7个ID),主要与缓冲区溢出有关。 这一多媒体引擎的任务是回放各种音频和视频,正如ZDNet提到的,某种程度上Stagefright的独特功能可实现”你还在考虑是否观看某个视频之前”,它就已经准备好播放了。出于某些神秘的原因,有时所有这些任务都是在”上帝”访问权限级别下执行。但事实上,其中的原因并不神秘:只是这样更容易编码,仅此而已。尽管如此,Stagefright也非常容易脱离安卓沙盒,因此也易于遭受漏洞利用。 最终,我们有了一个出色的概念证明:向手机发送MMS(多媒体短信)–然后一切都一目了然。你甚至无需打开”载入的”MMS:手机会自动帮你打开,因为其编码方式考虑到了为用户的便利性。是不是就没有任何办法了呢?并不尽然。首先,在安卓4.1及以上版本中有一项地址空间布局随机化技术,可防止手机自动打开,或至少部分”解决了问题”。 其次,通过遵循负责任的漏洞披露规则,Zimperium成功阻止了漏洞利用代码。尽管如此,得益于已发布的补丁,所有问题都迎刃而解。 Google的反应则相当有趣。我们从安卓官方博客发布的相关博文中摘录了一小段:”一切都没问题。我们的沙盒棒极了。只有0.15%的安卓设备内存在恶意应用(后面跟着许多星号、细则和条款)。为了确保安全万无一失,Nexus设备需要每个月都进行安全升级。” ‘纵然Nexus设备安全无忧,那安卓智能手机和平板电脑又该如何是好呢?Google的举措无助于解决安卓非一致性问题-新设备常常延迟无法第一时间升级至最新操作系统版本,而更老的硬件则根本无法升级更新。 好在像HTC、三星、索尼和LG这样开发商已宣布,将比以往更频繁地升级他们的智能手机和平板电脑。尽管许多问题依然悬而未决,但我们可以明确的是一些电子设备的系统将进行升级更新。如果我们继续努力下去的话,可能终有一天所有问题都会得到解决。 但无论如何,这都是一个好的迹象。迟早有一天,安卓也会拥有自己的一套升级机制,就像微软的’周二补丁日’一样。正如一年前安卓首席安全工程师Adrian Ludwig在Google总部说的,Google在安全领域做的相当出色,只需再对Google

特斯拉S型电动车安全性:挥之即来,呼之即去

如果说’黑客入侵’已成为一种时尚潮流的话,那本季的最热流行非’黑客入侵汽车’莫属。在两名研究专家Charlie Miller和Chris Valasek详细揭露如何黑客入侵Jeep大切吉诺不久后,另一个安全专家小组也成功控制了特斯拉S型电动车。 移动安全公司Lookout联合创始人兼首席技术官Kevin Mahaffey及其合作伙伴Marc Rogers(CloudFlare首席安全研究专家)在特斯拉S型系统中发现了6个漏洞后,已与特斯拉公司开展了数周之久的合作,以共同编写修复补丁。 尽管已放出了相关补丁,但这一事件已让人们对特斯拉S型电动车的安全性产生了极大怀疑。犯罪分子可将PC电脑与车载以太网进行物理连接来利用这些安全漏洞,只需使用软件命令就能将你价值10万美元的’豪车’直接开走。另外,犯罪分子还能让系统感染木马病毒,从而远程关闭正在行驶中的电动车的发动机。 在测试潜在网络威胁时,研究人员竟然完全掌控了车载娱乐系统。他们可以随意打开和关闭车窗、锁车门或开门锁、升/降悬吊系统以及切断汽车电源。 但特斯拉并没有犯和克莱斯勒相同的错误。一旦正在行驶中的S型电动车电源被切断,其车内系统可立即激活手刹。 当车速慢于8公里/小时,车辆会自动倾斜直至停下来为止;而当车速快于8公里/小时,特斯拉则采取特殊安全预防措施。在对高速行驶的车辆进行测试时,当司机保留对转向和制动的控制时,汽车档位会自动转到空挡并自动停下来。此外,安全气囊也能完全起到其应有的作用。 在相同的处境下,克莱斯勒不得不通过召回140万辆问题车打上紧急安全补丁,而特斯拉汽车只需通过无线通信即可打上安全补丁。具有讽刺意味的是,一些汽车生产公司提供安全补丁的速度竟然比许多智能手机生产商还要快许多。 “如果每次下载和安装补丁的过程都能顺畅进行的话,这可以解决许多的问题。你可以看到,在现在的汽车系统内运行着大量的软件,因此需要频繁地安装补丁,其安装频率有时甚至超过了PC电脑,但如果要求车主每周或每个月前往经销商处安装各种补丁的话,那绝对是一件恐怖的事情。我的观点是世界上的每一辆车如果能连接互联网的话,都应该采用OTA(无线通信)方式下载并安装补丁。” —Mahaffey在《Wired》杂志上评论道。 Mahaffey和Rogers将就如何提高特斯拉汽车安全性方面继续展开合作。此外据报道,特斯拉公司还从Google新挖来了一名在业内享有声望的工程师:Chris Evans将担任特斯拉汽车安全团队的负责人。

Black Hat大会:网络攻击飞机、火车和汽车成为可能

拉斯维加斯–每年的8月初,来自全世界各地的安全和黑客社区成员云集内华达州拉斯维加斯,参加一年一度的”安全夏令营”,期间将举办Black Hat大会和DEF CON黑客大会和B-Sides这样的会议。Black Hat大会作为一项历史悠久的商业安全会议,在所有会议中具有绝对的影响力。然而,最近该项会议议题越来越贴近消费者,所谈论话题更多的是关于将智能家庭、关键基础设施、移动设备以及其它联网设备作为目标的攻击。 会议完全报道:没有关于黑客入侵火车的演讲。 卡巴斯基实验室研究员Roel Schouwenberg刊登于Securelist的一篇报告中探讨了对后PC时代Black Hat大会的一些想法。与此同时,来自Threatpost的Mike Mimoso也在他的文章中提到了类似的模式:”固件将成为黑客们攻击的新领域,通过U盘将病毒植入家庭路由器和汽车,能够利用漏洞、盗取数据并侵犯隐私。” 一方面作为一名与会者,我很高兴能听到这些新消息,因为这意味着一些 “暗藏杀机”软件平台(主要由企业使用)的bug报告数量更少或者没有增加,而更多谈论的是与我们日常生活息息相关的系统漏洞话题。另一方面,Black Hat大会讨论焦点的转移显示出一种令人担忧的趋势:安全漏洞离我们的实际生活越来越近。 主题演讲 今年大会由安全领域受人尊敬的杰出人物Dan Geer发表主题演讲。与去年美国国家安全局局长亚历山大(Keith Alexander)发表主题时的景象完全不同,今年没有全副武装的警卫、捣乱分子或成群拿着鸡蛋随时准备向台上招呼的反对者。在近60分钟的演讲中,所有与会者饶都有兴趣地听着In-Q-Tel(美国中央情报局的私人风险投资公司)首席信息安全官Geer所谈论的十大安全戒律。 整个演讲中不乏亮点,其中谈到了美国应以10倍价格收购所有待售出售bug,从而垄断整个漏洞销售市场。随后再将漏洞信息存入公共资源库,让任何一家公司都能修复每一个bug并”销毁所有网络武器”。在安全、自由和便利中,我们一次只能选两样。世界上只有两种东西不存在产品责任,一种是宗教,还有一种就是软件。互联网服务提供商可能会基于内容,随心所欲地进行收费,但需要承担内容的责任;或必须选择支持网络中立性,同时享受公共承运人的保护。 “明智地做出选择,”Geer说道。”互联网服务提供商应选择其中的一项,而不是全部。” 黑客入侵人类和医院 让我们重新回到”安全影响我们实际生活”的话题,我们曾非正式地讨论过有关医疗设备安全的话题,其中的一些漏洞的的确确会影响到我们的身体。对我们大部分人而言,更为普遍且更致命的是放在医院的一台台医疗设备,而不是安装在病人身体内的装置。 不久的将来,很可能会出现以一台或数台医疗设备为目标的网络攻击。但好消息是医疗设备本身的安全程度极高。一台全自动的嵌入式胰岛素泵在调节和修正胰岛素水平方面的效果,远远优于血糖仪和一个月胰岛素注射量的效果。 这些漏洞广泛存在于两台医疗设备之间的通讯方式中,以及许多医疗设备以外的案例中,且无论设备是在病人还是医生控制下。我们需要明确的是,犯罪分子用笔记本电脑向一个嵌入式心脏起搏器发送致命冲击的可能性微乎其微。这一风险听上去虽然恐怖,但事实上存在无数更轻松的方法可以致他人于死地。你要相信,这里真正的风险事实上比早间谈话节目更加无聊。 “固件将成为黑客攻击的新领域,通过U盘将病毒植入家庭路由器和汽车,能够利用漏洞、盗取数据并侵犯隐私。” 由谁来负责为医疗设备制作补丁?谁负责安装这些补丁?这些费用又由谁来买单?无论是设备制造商、医院还是用户本身都很难给出明确的答案。我们所说的医疗设备并非只是心脏起搏器和胰岛素泵这些小型的医疗器械;而是诸如核磁共振机、超声心动图机和X光机这样的大型设备,以及医生用于管理一些重要敏感医疗数据的平板电脑甚至是台式电脑(通常安装Windows XP系统)。 这次非正式讨论所得出的最终结果是:篡改医疗记录–医疗事故和其他内容–可能会造成用药或治疗的失误,这可能是我们在联网医疗设备领域即将面临最多且危险性最高的风险。 最后我们应看到好的一面,因为在遭受真正攻击前就预见即将产生的问题本身就是一个积极的信号,因为这在高科技领域并不常见。 雅虎加密所有邮件 雅虎此前因某些原因无法对其网页邮件进行加密遭受到猛烈抨击,因此在不久前雅虎宣布将在未来的几个月甚至几年里对雅虎邮件做出一系列的安全变革措施。其中最主要的方案就是对所有网页邮件进行端对端的加密。这一举措将使雅虎的安全程度提升至与Google同等的水平。 访问the