近日,安全研究人员发现,大众和奥迪汽车中存在多处安全漏洞,这些漏洞可能允许攻击者发起远程攻击行为。其中,部署大众汽车集团部分车型的车载信息娱乐(IVI)系统中的漏洞可能会允许攻击者远程访问麦克风、扬声器以及导航系统。换句话说,攻击者可以打开或关闭大众汽车麦克风、窃听对话内容并实时跟踪汽车动态。
车辆WiFi成为入侵入口来自荷兰Computest公司的安全研究人员 Daan Keuper 和 Thijs Alkemade 在对大众 Golf GTE 和奥迪 A3 Sportback e-tron 车型进行测试后发现,其车载信息娱乐(IVI)系统中的漏洞可以通过互联网实现远程访问利用。
攻击者可以利用汽车的WiFi连接来远程利用一个暴露的接口,并获得由电子产品供应商 Harman制造的汽车IVI。研究人员在新闻稿中警告称,
“在某些情况下,攻击者可以通过车载套件收听司机正在进行的谈话,并且可下载完整的对话记录;打开和关闭麦克风,以及访问完整的地址簿和对话历史记录。此外,利用该漏洞,攻击者还可以通过导航系统精准地发现驾驶员的位置,并实时地跟踪汽车动态。”
研究人员在发布的研究论文中指出,
“我们通过常见的车载WiFi设备成功连接了汽车,将车辆连接到自己设置的WiFi 网络环境中,利用车载信息娱乐系统(IVI)的漏洞,便可以向IVI CAN bus总线发送任意CAN(ControllerAreaNetwork,控制器局域网络)信息。随后,我们就能够控制中央屏幕、扬声器以及麦克风等。”
经过测试,研究人员发现,攻击者完全有能力通过互联网管理远程代码执行,控制RCC(车辆远程管理系统),并发送任意的CAN信息。接下来,攻击者很有可能会试图实际地控制汽车的关键安全部件(如控制车辆制动和加速系统的安全部件等),因为IVI系统与汽车的加速和制动系统是间接相连的。
Computest公司表示,
“经过慎重考虑,我们不准备再深入研究IVI系统与汽车的加速和制动系统之间相互影响的可能性,因为这可能会侵犯大众汽车制造商的知识产权,甚至可能触犯法律。”
据悉,Computest公司研究人员已于2017年7月向大众汽车外聘律师报告了这些漏洞信息,因为该公司没有在其网站上发布漏洞披露政策,无法获得漏洞披露的途径,所以只能联系律师上报情况。该公司研究人员还于2017年8月参加了与汽车制造商的会议。
在与大众的会谈中,Computest研究人员了解到,对于其所上报的漏洞信息,尤其是研究人员所使用的漏洞利用方式,大众方面仍然一无所知。尽管该IVI系统已经部署在全球数千万辆汽车上,但是却并没有经过任何正式的安全测试,其脆弱性仍然不为人知。不过,经过此次会谈后,大众方面表示已经对漏洞信息有了基本了解。
大众方面的回应在研究这些漏洞之后,大众汽车公司在2017年10月告诉研究人员称,它“不会发表公开声明”。相反地,大众汽车表示愿意审查研究人员的论文并检查事实。据悉,该审查过程已于2018年2月完成。
Computest研究人员表示,
“2018年4月,在向公众发布正式声明之前,大众汽车向我们提供了一封确认这些漏洞的信函,并提及这些漏洞已在信息娱乐系统(MIB)的软件更新中得到了修复。这也就意味着自更新后生产的汽车不会再受到我们发现的漏洞的影响。不过根据我们的经验,系统更新前生产且已经分销到经销商处的汽车并不会自动更新,因此仍然易受上述攻击的影响。”
想要深入了解漏洞信息的用户,可以前往查看研究人员发布的研究论文,其中深入介绍了他们的攻击策略和技术系统细节,但是论文中并未充分披露该远程可利用漏洞的细节,因为对研究人员来说,过度的披露可能会给他人带来风险,是“不负责任的”行为。
研究人员表示,存在漏洞的汽车模型生产于2015年,所以如果你有奥迪或大众汽车,请立即联系经销商并咨询软件更新细节。