本田系列车辆被曝存在漏洞,可无钥匙启动
本田系列车辆被曝存在漏洞,可无钥匙启动
本田系列车辆被曝存在漏洞,可无钥匙启动,很多搭配无钥匙进入系统的本田汽车(2012年到2022年款)都可以被远程控制打开车门,甚至启动车辆。本田系列车辆被曝存在漏洞,可无钥匙启动。
本田系列车辆被曝存在漏洞,可无钥匙启动1
近日,有海外媒体报道称,部分本田车型存在Rolling-PWN攻击漏洞,该漏洞可能导致汽车被远程控制解锁甚至是被远程启动。Rolling-PWN的基本概念跟之前针对大众汽车和特斯拉及其他设备的攻击类似,即有人使用无线电设备记录来自钥匙的合法无线电信号,然后将其传送到汽车上,进而实现远程启动车辆。
发现该漏洞的研究人员使用相关设备重现了这一场景,据称,存在这一安全漏洞的车辆包括本田思域2012、本田X-RV2018、本田C-RV 2020、本田雅阁2020/2021、本田奥德赛2020、本田英仕派 2021、本田飞度 2022、本田思域 2022、本田VE-1 2022、本田皓影2022。
针对此事,本田中国相关负责人回应称:“我们已经关注到相关报道,经确认,报道中所指出的漏洞,利用复杂的工具和技术手段,的确可以通过模拟远程无钥匙指令,获取车辆访问权限。”
“但即便技术上可行,这种特殊的攻击方式需要近距离接近车辆,并连续多次捕捉无线钥匙发送给汽车的RF信号,而且哪怕是可以打开车门,智能钥匙不在车内的话也无法开走车辆。”
该负责人还表示,“在投放新产品时,本田也致力于定期提升车辆的安全性能,以防止此种或类似的情况发生。”
本田系列车辆被曝存在漏洞,可无钥匙启动2
现在的车辆基本都配备了远程无钥匙进入系统(RKE)。
但是这些RKE系统在给我们提供方便的同时,也带来了很多潜在的危险,比如,被黑客直接把车开走。
一个专门评估RKE系统的报告发现了一个漏洞,很多搭配无钥匙进入系统的本田汽车(2012年到2022年款)都可以被远程控制打开车门,甚至启动车辆。
受影响的车辆包括:
本田 思域2012
本田 X-RV 2018
本田 C-RV 2020
本田 雅阁2020
本田 奥德赛2020
本田 激励2021
本田 飞度2022
本田 思域2022
本田 VE-12022
本田 微风2022
尽管本田认为其关键芯片中的技术“不允许该漏洞”,但是推特上发布的现场演示视频已经证实了漏洞确实存在。
一个漏洞,影响到无数车主,或许不止本田
之所以这个漏洞被称为Rolling-PWN而不是Honda-PWN,漏洞的发现者表示,因为这种缺陷可能也存在于其他品牌的汽车中。
如果研究属实,这将影响到无数使用无钥匙进入技术的车主。
发现该漏洞后,“黑客”们也试图联系到本田,但是他们在本田官方网站无法找到任何报告漏洞的联系信息,似乎本田汽车没有一个为他们的产品处理安全相关问题的部门。
一位在本田工作的人告诉我们:“报告本田漏洞的最好方法是联系客服。”
因此,他们提交了一份报告给本田客户服务,但还没有得到任何答复。此外,他们还发现了一篇来自Bleping-Computer的文章,看起来本田并不关心这一安全问题:
目前来看,解决这一问题并不容易。通用的解决方案是将车辆带回当地经销商处进行召回,但是这样或许成本过高,而可能的缓解策略是,在可行的情况下,通过空中升级(OTA)升级易受攻击的BCM固件,但是,一些老旧的车辆可能根本不支持OTA。
在接受媒体采访时,本田发言人表示,该公司无法确定这份报告是否可信。
“我们已经调查了过去的类似指控,发现它们缺乏实质内容,”本田发言人在给媒体(The Drive)的一份声明中说。 “虽然我们还没有足够的信息来确定这份报告是否可信,但参考车辆中的关键开关都配备了滚动代码技术,不会出现报告中所述的漏洞。此外,作为没有滚动代码的证据提供的视频也没有包含足够的证据来支持这些说法。”
幸运地是,尽管该漏洞能够启动并解锁汽车,但由于钥匙链的近距离功能,攻击者无法将汽车开走。
Rolling-PWN如何工作?
老式车辆的无钥匙进入使用的是静态代码,这些静态代码本质上是脆弱的,因为一旦有人破解了该密码,那么就获得了锁定和解锁车辆的永久权限。
骑车制造商后来引进滚动代码,以改善车辆安全。
滚动代码通过使用伪随机数生成器(PRNG)来工作。当配对钥匙链上的锁或解锁按钮被按下时,钥匙链会通过无线方式向信息封装中的车辆发送唯一的代码。 然后,车辆根据PRNG生成的有效代码的内部数据库检查发送给它的代码,如果代码有效,汽车就会授予锁、解锁或启动车辆的请求。
该数据库包含几个允许的代码,因为当按下按钮时,钥匙可能不在车辆的范围内,可能传输的代码与车辆预期的下一个按时间顺序传输的代码不同。 这一系列的代码也被称为“窗口”,当车辆接收到新的代码时,它通常会使之前所有的代码失效,以防止重放攻击。
Rolling-PWN正是利用了这一点,Rolling-PWN的工作原理是窃听成对的钥匙链,并捕获由钥匙链发送的几个代码。
之后,攻击者可以重放有效的代码序列并重新同步PRNG。 这允许攻击者重新使用通常无效的旧代码,甚至在代码被破解几个月之后。
本田系列车辆被曝存在漏洞,可无钥匙启动3
据外媒The Drive报道称,部分本田车型存在安全漏洞,使得黑客可以远程解锁汽车。报道指出,此次安全问题在于本田重复使用数据库中的解锁验证代码,使得黑客能够通过及时捕捉并重放汽车钥匙发送的代码来解锁车辆,这项安全漏洞称为Rolling-PWN攻击漏洞。
如果连续通过钥匙向本田车辆发送命令,安全系统中的`计数器将重新同步,使得前一个命令数据再次有效,该数据如果被记录可以在日后随意解锁车辆。
简单理解,即有人使用无线电设备记录来自钥匙的合法无线电信号,然后将其传送到汽车上,因此这项漏洞可能导致汽车被远程控制解锁甚至是被远程启动。
这项漏洞涉及的车型包括2012-2022年发布的多款车型,包括本田思域 2012、本田X-RV 2018、本田C-RV 2020、本田雅阁2020/2021、本田奥德赛2020、本田英仕派 2021、本田飞度 2022、本田思域 2022、本田VE-1 2022、本田皓影 2022等,而之所以会发生这一安全漏洞,是因为2012年至2022年期间生产的部分本田汽车的无钥匙进入系统存在漏洞。
随后本田发言人在回应The Drive的一份声明中表示:“我们已经调查了过去的类似指控,发现它们缺乏实质内容。虽然我们还没有足够的信息来确定相关漏洞报告是否可信,但上述车辆的钥匙扣配备了滚动代码技术,不可能出现报告中所说的漏洞。”
据媒体介绍,在车主使用无钥匙进入系统解锁车辆时,老式车辆会使用静态代码,这些代码并不安全,因为任何人都能够捕捉并重新发射该代码信号,从而解锁车辆。基于此,制造商采用滚动代码来提高车辆安全性。
不过,一博主ROB STUMPF通过测试证实了这一漏洞,ROB STUMPF称,这一漏洞确实能够解锁和启动车辆,但攻击者无法开走车辆。针对此事,本田中国相关负责人回应称:
“我们已经关注到相关报道,经确认,报道中所指出的漏洞,利用复杂的工具和技术手段,的确可以通过模拟远程无钥匙指令,获取车辆访问权限。但即便技术上可行,这种特殊的攻击方式需要近距离接近车辆,并连续多次捕捉无线钥匙发送给汽车的 RF 信号。但即便可以打开车门,智能钥匙不在车内的话也无法开走车辆。”
另外,该负责人还表示:“在投放新产品时,本田也致力于定期提升车辆的安全性能,以防止此种或类似的情况发生。”
实际上,目前很多车辆也会使用Rolling钥匙系统进行解锁,与上述漏洞有所不同的是,正常的Rolling钥匙系统解锁会采用一次性的信号,也就是说,同一信号无法使用两次,即使黑客成功记录后也无法再次使用。
针对上述安全漏洞,截至目前,尚不清楚本田将如何解决这一问题。
汽车的智能网联化面临着极大的网络安全挑战
你点的每个赞,我都认真当成了喜欢
随着互联网 科技 的发展, 汽车 产业也逐渐向智能化、网联化、共享化的方向发展,车辆本身已从封闭的系统变成了开放的系统,智能网联 汽车 将逐渐成为像手机一样的智能终端设备。当 汽车 成为网络空间的一个组成部分,也像其他联网的电子设备和计算机系统一样,成为黑客攻击的目标,面临严峻的网络安全挑战。近几年针对 汽车 的众多攻击事例表明,黑客攻击不仅会造成数据和隐私泄露,还能通过接管和控制车辆驾驶系统,给驾乘人员的人身和财产安全都带来了重大隐患。
值得重视的安全问题
早在2015年,两名白帽黑客就通过远程入侵一辆正在路上行驶的切诺基,对其做出减速、关闭引擎、突然制动或者制动失灵等操控,这次事件造成克莱斯勒公司在全球召回了140万辆车并安装了相应补丁。2019年4月,腾讯科恩实验室发布的报告显示,利用特斯拉Autopilot自动辅助驾驶系统存在的缺陷,通过欺骗Autopilot系统,可以实现让车辆驶入反向车道;即使Autopilot系统没有被车主主动开启,黑客利用已知漏洞获取Autopilot控制权之后,也可以利用Autopilot功能通过 游戏 手柄对车辆行驶方向进行操控。
此外, 汽车 安全漏洞不仅会对用户的人身和财产安全构成威胁,还有可能造成城市交通瘫痪,给 社会 公共安全管理带来治理挑战。例如,佐治亚理工学院的研究人员通过数学模型分析发现,在交通高峰期,只要20%的 汽车 被黑客入侵导致熄火,就能有效地让城市交通瘫痪,并导致交通事故、人员伤亡等城市混乱,而救护车和消防车也因交通停滞而无法赶到。虽然让数百万辆 汽车 同时遭到协同攻击具有一定的技术难度,但这项研究成果显示了 汽车 网络安全风险可能导致的严重后果。
随着车联网的发展,智能网联 汽车 受到的攻击面非常广泛。例如,黑客可通过移动App、车联网云平台、OTA空中软件升级、车载T-BOX、车载信息 娱乐 系统、车载诊断系统接口、V2X车路通信等环节和节点存在的漏洞实现对车辆内数据的窃取、对车辆的盗窃以及对车辆驾驶系统自动控制。
同时,除网络安全风险外,加载自动驾驶功能的智能网联 汽车 在功能安全性方面也存在重大隐患。截至目前,特拉斯、谷歌Waymo、Uber等公司研制的自动驾驶 汽车 在上路测试过程中都发生过交通事故,Uber公司的自动驾驶 汽车 还曾在2018年3月造成一名行人死亡,特拉斯开发的加载辅助驾驶系统的 汽车 更是造成多起严重的交通事故。这些安全事件都为智能网联 汽车 产业发展蒙上了阴影。
科技 “病”还需要用 科技 “药”来治
智能网联 汽车 产业链长、防护界面众多,安全问题复杂,为此,产业链各方纷纷加快安全技术研发,提升 汽车 安全防御能力。
整车厂安全意识明显提升,特拉斯连续4年在Pwn2own国际黑客大赛上举办漏洞悬赏计划,已向发现其系统漏洞的黑客提供了数十万美元奖励。2019年,其奖金更是提高为赠送一辆Model 3轿车。国内长安 汽车 、比亚迪、蔚来 汽车 也都纷纷建立信息安全部门,或与网络安全厂商加强合作。
汽车 配套产品供应商积极在产品设计和研发侧嵌入网络安全能力,以满足整车厂的安全需求。大陆集团2017年收购以色列 汽车 网络安全公司Argus,并把网络安全放在产品与服务开发的核心位置,目前已发布了端到端安全解决方案,涵盖电子部件安全、部件间通信安全、车辆与外界接口安全、云端安全等。哈曼国际2016年收购 汽车 网络安全公司TowerSec,快速加强网络安全技术研发,推出了HARMAN SHIELD网络安全解决方案,并积极为标致雪铁龙等整车厂商提供智能网联 汽车 平台的网络安全策略。
IT互联网公司以及网络安全企业也积极应对 汽车 网络安全风险。腾讯旗下科恩实验室依靠自身多年的漏洞挖掘经验长期致力于车联网系统的漏洞挖掘与研究。百度2018年4月启动网络安全实验室,负责为自动驾驶 汽车 开发安全解决方案,2018年11月发布一站式 汽车 信息安全解决方案,可解决黑客攻击和隐私泄露等安全问题。此外,国内外网络安全厂商纷纷拓展 汽车 安全业务,360推出“ 汽车 安全大脑”解决方案,通过监控、分析、响应的动态防御手段,为智能网联 汽车 的安全运营提供保障。
此外,Arxan Technologies、Mocana、Intertrust Technologies等国外安全厂商,亚信安全、梆梆安全、绿盟 科技 等国内安全厂商都将 汽车 安全作为新增业务。同时,国外也涌现多家专注于 汽车 网络安全的初创企业,例如CarsDome、GuardKnox、CyMotive等。
汽车 网络安全的立法挑战
除产业界积极应对 汽车 网络安全挑战外,针对该领域的法案、指南、标准等也在积极推进过程中。美国众议院2017年9月通过的《自动驾驶法案》将网络安全作为单独一个章节,要求自动驾驶车辆厂商必须制定网络安全计划,包括如何应对网络攻击、未授权入侵以及虚假或者恶意控制指令等安全策略,用以保护关键的控制、系统和程序,并根据环境的变化对此类系统进行更新。此外,还要求自动驾驶 汽车 制造商必须制定隐私保护计划,明确对车主和乘客信息的收集、使用、分享和存储的相关做法,包括在收集方式、数据最小化、去识别化以及数据留存等方面的做法。
英国政府于2017年8月发布《网联 汽车 和自动驾驶 汽车 的网络安全关键原则》,提出包括加强企业内部网络安全管理、安全风险评估与管理、产品售后服务与应急响应机制、整体安全性要求、系统设计、软件安全管理、数据安全、弹性设计在内的 8 项关键原则。随后,在英国交通部和英国国家网络安全中心以及众多 汽车 企业的支持下,英国标准协会于2018年12月发布自动驾驶 汽车 网络安全标准,英国由此成为首个发布此类标准的国家。目前,我国 汽车 标准化技术委员会和信息安全标准化技术委员会等标准制定机构也在加紧制定 汽车 信息安全标准。
针对功能安全问题,目前国内外都利用法律法规进行规制。各国针对自动驾驶 汽车 上路的立法都非常谨慎。例如出于安全考虑,目前国内外大部分自动驾驶道路测试法规都要求自动驾驶 汽车 测试时必须配备经过严格培训的测试人员,测试驾驶人应当始终处于测试车辆的驾驶座位上,要在必要时干预或接管车辆,并强制要求测试主体在测试前购买相关保险,且必须通过封闭道路测试验证后方可在公共和开放道路上进行测试。
当前,全球范围内进入智能网联 汽车 快速发展阶段,企业之间跨界融合、产业重构的趋势已经非常明显,产业生态正在快速形成与发展。未来,人工智能、5G、物联网、云计算等新一代信息技术的飞速发展,将在智能网联 汽车 技术发展中产生巨大协同效应,重塑 汽车 产业业态和商业模式,为人类出行方式带来根本性变革。但在当前发展阶段,国内外智能网联 汽车 厂商尚没有构建面向中高级无人驾驶阶段的可信安全体系,无论在功能安全,还是网络安全方面,智能网联 汽车 的安全可靠性都亟待加强。若无安全性保障,将极大地限制智能网联 汽车 的普及应用。因此,安全是智能网联 汽车 发展的基础,产业界各方应进一步提升安全意识,在产品设计、研发、测试的过程中,将安全内嵌其中,并在产品全生命周期中做到持续的安全保障,实现安全与产业发展同步建设。
人民交通》杂志是我国交通领域大型时政类期刊
以传播国家方针政策,展现交通发展进程
助力中国交通事业快速发展成长为办刊目标
网址:
电话:010—67637567
地址:北京市丰台区东铁营顺三条2号
邮政编码:100079
编辑|贡昶
图文|网络
黑客车怎么投诉
拨打12328可以举报黑车,按提示操作会接人工电话,举报最好有车牌号。遇到黑车尽量记下车牌号。
拨打12328跟他讲举报什么实在不知道举报什么东西可以把经过详细跟他讲一遍,人工客服会自己判断的。成功后会在15天内发短信通知你处理结果的。
黑客真的能入侵我们的汽车吗
黑客是如何入侵汽车的?
显然,互联网入侵的关键在于连接,如果没有网络连接,则无法构成入侵的基本条件。入侵汽车,首先需要汽车具备网络连接功能,形式可以通过物理连接或是如蜂窝、蓝牙、WIFI等无线连接。据报告显示,马萨诸塞州议员的汽车攻击事件,便是通过汽车内置的蜂窝数据网络实现入侵。
也就是说,如果汽车配备了OnStar系统或是其他类似功能,则有可能被入侵。如果系统涉及到制动系统,那么隐患显然更大。华盛顿大学计算机科学家们通过测试,证明了这一理论的可行性。
汽车被入侵的可能性大吗?
虽然听上去非常可怕,但可以肯定的是,入侵汽车实际上非常复杂,要比通常的计算机入侵、病毒更为复杂,黑客们需要发现汽车系统的漏洞才能实现入侵。但不能忽视的是,在各大科技、汽车公司均大力发展智能汽车系统的情况下,这种担心是有必要的。毕竟,汽车不同于手机、电脑,一旦被入侵,人们的生命会受到更大威胁。所以,整个产业群都应该更加关注智能汽车系统、自动驾驶汽车的安全性,提供更为严谨的加密机制。
智能物联车越来越受欢迎,那么有一天黑客能不能远程开走你的汽车?
随着社会的发展,我们的生活变得越来越好,我们的科技也变得越来越厉害,现在竟然有了智能物联车,而且非常的受欢迎,我认为有一天黑客确实能够远程开走你的汽车,因此这一点也提醒我们应该注重汽车的安全,厂商在开发的时候也应该注意这方面的开发,对于我们普通的消费者来说,更应该注意开车的安全,接下来跟大家具体说明。1.科技毕竟还不够成熟,所以黑客真的能够开走你的汽车。
随着科技的发展,我们有很多创新性的应用,就比如说通过用网络可以开我们自己的汽车,但是这个科技毕竟是刚出来的,并没有那么成熟,所以也有很多的漏洞,我相信对于真正厉害的黑客来说,他们确实能够开走你的汽车,甚至能够让你自己的汽车不听你的指挥,所以这是非常危险的。2.厂商开发的时候应该注意安全的开发。
现在有很多的汽车厂商,他们在开发某些功能的时候,可能对于安全方面没有太注意,但其实如果以后我们全部使用自动驾驶的汽车,在这个过程中,如果自己的车辆被别人入侵了,很有可能会造成严重的后果,所以安全这方面厂商更应该注意,不能够让之后有黑客开走汽车的现象发生,否则也会给厂商造成巨大的经济损失。3.我认为消费者也应该避免这些风险。
虽然现在智能物联车非常的受欢迎,但是对于我们消费者来说,还是应该选择一些大厂家的,因为如果是一些小厂家,他们在安全方面可能做的不够,给我们造成一些严重的困扰,因此选择大厂家之后,如果有其他的问题发生,我们也可以维权,他们一般都会处理,所以对于我们消费者来说,一定要想办法避免这些风险,免得给自己造成不必要的困扰。
总而言之,随着社会的发展,我们的科技越来越厉害,现在出现了很多物联网方面的科技,我们可以用网络来控制汽车,但是这也是有风险的,因为毕竟技术还不成熟,对于那些真正厉害的黑客来说,确实可以远程开动你的汽车,甚至让汽车不听你自己的指挥,因此我认为厂商在开发的时候,应该注意这方面的安全,给消费者安全感,同时对于消费者来说,也不要选择一些有风险的汽车。
您好,我汽车被盗了,在网上看到黑客可以定位汽车,帮助找回汽车,您
呵呵,报警是第一选择的
如果是在县乡等地方,可以找人去给你问问的,基本这些地方都是有一些人控制着这些事的
网上那些说的都是骗子,就是骗钱的,以各种理由,他们都不知道你的任何信息,给你找个几把
0条大神的评论