要点概述
- 研究显示,考虑到黑客攻击风险,3/5的消费者不会购买智能钥匙汽车;
- 对于那些拥有高频率攻击车型的用户而言,其面临的保险成本可能会上涨;
- 我们分享了一些保护自身车辆免受此类攻击的关键安全建议。
您是否正身处这样的险境之中:即便是犯罪分子没有获取到您的车辆钥匙,仍然有办法窃走您的爱车?
在很早之前,无钥匙进入还只是一项看起来很高大上的配置,而现在包含本田、丰田、日产、奔驰、宝马等中高端品牌在内的部分车型都已经采用了“无钥匙”系统。不同于传统的使用钥匙插入来启动车辆的方法,无钥匙启动采用无线射频识别技术,当车主进入车内时,车内的检测系统会马上识别您钥匙内的智能卡,经过确认后车内的电脑才会进入工作状态,这时您只需轻轻按动车内的启动按钮(或者是旋钮),就可以正常启动车辆了。
无钥匙进入采用了世界最先进的RFID无线射频技术和最先进的车辆身份编码识别系统,率先应用小型化、小功率射频天线的开发方案,并成功的融合了遥控系统和无钥匙系统,沿用了传统的整车电路保护,真正的实现双重射频系统,双重防盗保护,为车主最大限度的提供便利和安全。
这种无钥匙汽车的兴起,虽然确实是为车主带来了一定程度的便利,但同时也吸引了犯罪分子的目光,引发了一系列车辆盗窃事件,因为犯罪分子可以通过技术手段欺骗车辆相信智能卡的存在,进而成功启动车辆。
根据美国国家统计局的调查数据显示,自2014年以来,汽车犯罪率已经增长了19%,此外,与车辆干扰相关的犯罪率也增长了29%。
比价网站MoneySupermarket在对汽车黑客的行为进行一番分析调查后,揭示了犯罪分子可以破解您的无钥匙汽车的7种方式,并给出了相应的缓解建议。
MoneySupermarket公司表示,车辆犯罪率之所以能够在经历一段时间的下滑后重新获得飙升的一个重要因素在于——允许汽车黑客远程访问车辆的新技术的兴起。
不过,令人担忧的现实是,研究还发现,大多数用户并不知道犯罪分子用于窃取车辆的多种不同的非法手段:
- 几乎所有的车主都没有意识到他们的汽车可能正在面临的主要数字攻击威胁。
- 超过3/5的受访者表示,由于担心黑客攻击,他们可能不会购买无钥匙汽车。
为了防止进一步的犯罪行为,同时提升用户的安全意识,MoneySupermarket公司总结了犯罪分子可以侵入无钥匙汽车的7种方式,以及如何保护自身免受车辆犯罪侵扰的各种建议。
他们还建议无钥匙车主彻底检查自己的汽车保险合同条款,以确定其中具体涵盖或不包含哪些方面的内容。
因为事实上,多达4/5的车主并不清楚,如果他们的车辆遭到黑客攻击,其购买的汽车保险是否承担损失赔偿。
关于谁应该承担责任这个问题也是界定模糊——究竟应该是驾驶员?汽车制造商?还是车载计算机的制造商呢?
据了解,政府和保险公司目前正在根据这一现状制定新的政策,以解决自动驾驶汽车领域所存在的责任模糊等问题。
7种主要的汽车攻击方法
1. 使用Relay(继电器)攻击无钥匙进入系统
所谓Relay(继电器)是具有隔离功能的自动开关元件,广泛应用于遥控、遥测、通讯、自动控制、机电一体化及电力电子设备中,是最重要的控制元件之一。
一般来说,配备无钥匙进入系统的车辆,当钥匙靠近车体时,车门会自动开锁并解除防盗警戒状态;当钥匙离开车体时,车门会自动上锁并进入防盗警戒状态。这种产品采用的是世界最先进的RFID无线射频技术,但这种无线射频技术具有一定的范围限制,如果钥匙距离车体较远,车辆则无法感应到信号并完成解锁操作。
但是,犯罪分子可以通过使用“继电器箱”(relay box)将感应距离扩展到了上百米,钥匙发出的无线电信号通过工具传输到汽车电脑,汽车电脑误以为钥匙就在旁边,最终汽车信号和钥匙被欺骗,允许无钥匙开启车门、开动汽车。
早在2016年,全德汽车俱乐部(ADAC)科研团队就曾对来自19家不同汽车厂商的24款车型进行了实际测试,通过放大房屋内汽车钥匙的信号方式来轻松入侵你的汽车,不仅能够解锁你的汽车,而且还能非常轻松的开走。
而最为糟糕的地方在于,这种破解设备并不昂贵。研究人员表示攻击设备的成本大约为225美元(约合1395.7元)
安全建议:
保护自身免受此类犯罪攻击的最佳方法是:在不使用汽车时将钥匙信号禁用或将钥匙安全地存放在一个可以阻挡信号的安全容器中。
2. 无钥匙干扰
犯罪分子使用的另一种方法是阻止汽车钥匙锁定信号到达您的汽车——这也就意味着,当你离开汽车时,您的车辆仍然处于解锁状态,然后犯罪分子就可以轻松地访问您毫无防护措施的车辆。
安全建议:
为了防止这种情况发生,请务必手动检查车门关闭情况。此外,还需要使用方向盘锁定作为额外的防护举措,这样一来,即便是车辆处于解锁状态,犯罪分子也无法开走您的车。
3. 轮胎压力监测系统
这是一种不易被人察觉且并不为人所知的方法,黑客可以通过这种方法与车辆轮胎内的传感器进行交互。这就意味着,他们能够跟踪车辆并显示错误的轮胎压力读数——如此一来,可能会诱使你停车检查轮胎情况,犯罪分子就可以借此空档趁虚而入。
安全建议:
当您下车检查轮胎压力时,请随手锁上所有车门,如有疑问,可以致电修车厂寻求建议。
4. APP漏洞诱发远程遥控危机
许多车辆都可以在未经驾驶员许可的情况下,获取远程信息处理权限,这是因为许多车辆跟踪应用程序都集成了这些技术。虽说拥有这些应用程序对于那些联网车主而言十分方便,但这确实也意味着,一旦服务器配置错误或遭到恶意篡改,黑客就能找到、解锁并启动附近汽车的引擎。
不久前,卡巴斯基的分析师就检测出了大量车用APP的系统漏洞,黑客可能通过这些漏洞对汽车实施控制、解锁、关闭安全警报,甚至偷车,并通过手机应用程序得到汽车的GPS坐标,打开其辅助设备。此外,360公司也公开展示了其最新发现的汽车“无钥匙”系统漏洞:借助简单的设备,不法分子就能在不使用汽车钥匙的情况下,轻松地将车主汽车盗走。
安全建议:
与您的汽车制造商保持联系以及时获取技术和软件更新支持。
5. 控制器区域网络(CAN)禁用安全功能
自20世纪末以来,汽车已经使用了专用控制器局域网(CAN)标准,以允许微控制器和设备相互通信。CAN总线与车辆的电子控制单元(ECU)通信,该控制单元操作许多子系统,例如防抱死制动系统,安全气囊,变速箱,音响系统,车门以及许多其他部件,包括发动机。
黑客可以通过汽车的Wi-Fi或电话连接中的漏洞访问内部汽车网络,并发送“拒绝服务”(DoS)信号,这些信号可以关闭安全气囊,防抱死制动器甚至门锁。
安全建议:
定期更改密码有助于防止黑客获取访问权限。
6. 攻击“车载诊断端口”
汽车拥有一个名为“车载诊断端口”(OBD)的功能,外部OBD设备可以插入汽车作为执行外部命令及控制诸如Wi-Fi连接、进行性能统计和开门等控制服务的后门。如果安全性无法得到保证,OBD端口则为恶意活动提供了一种途径。
如今,市场上已经出现可以使用此端口编程新密码的工具包,售价仅为50英镑,允许黑客使用它们来创建新的密钥访问车辆。
安全建议:
使用方向盘锁保护自己,并从信誉良好的修车厂处获取建议。
7. 电话/电子邮件网络钓鱼
如果您在汽车内使用Wi-Fi,黑客也许可以通过网络钓鱼方案访问它。他们可以发送带有恶意网站和应用程序链接的电子邮件,如果您打开了这些网站和应用程序,他们就可以获取到您的详细信息,甚至可以控制您手机上允许您与车辆互动的任何应用程序。
安全建议:
当点击来自未知发件人的电子邮件时一定要保持警惕,如果您不知道来源,请不要随意打开这些电子邮件中的链接。
目前,在汽车保险方面,车主们可能会接收到一份最新的保险政策,其中不仅涵盖手动驾驶,还将涉及自动驾驶车辆的相关细节。
如果自动驾驶汽车的驾驶员对第三方造成伤害或损坏,那么无论汽车在事故发生时采用何种模式(自动或手动),该受害方都可以向驾驶员的保险公司提出索赔。
驾驶员不用对汽车系统中的故障负责,而且一旦他们自身因车辆系统故障而受访或遭到损失,也可以向保险公司要求赔偿。
至于遭到黑客攻击的车辆,只要车主已经采取了合理措施来保护他们的汽车,保险公司也将为其支付赔偿金。
如果某些车型频繁遭到黑客攻击,其保险费用可能会上涨。
易受攻击的车型盘点
- 奥迪:A3,A4,A6;
- 宝马:730D;
- 雪铁龙:DS4 CrossBack;
- 福特:Galaxy,Eco-Sport;
- 本田:HR-V;
- 现代:Santa Fe CRDi;
- 起亚:Optima;
- 雷克萨斯:RX 450h;
- 马自达:CX-5;
- MINI:Clubman;
- 三菱:Outlander;
- 日产:Qashqai,Leaf;
- 沃克斯豪尔:Ampera;
- 路虎揽胜:Evoque;
- 雷诺:Traffic;
- 双龙:Tivoli XDi;
- 斯巴鲁:Levorg;
- 丰田:RAV4;
- 大众汽车:高尔夫GTD,途安5T;
安全专家表示,汽车黑客虽然很少被人所理解,但却是一个真实存在的威胁。上述一些场景在现实生活中已经切实地发生了,其他目前未知的恶意攻击也许还会令我们始料未及。
目前,汽车制造商正在为我们的车辆增加越来越多的新技术,以便进一步方便我们的出行,但同时这些新技术也带来了新的攻击面,对于这些新的攻击面,驾驶员们必须具备清楚地认识并做好相应的防范措施。
无钥匙盗窃等黑客行为确实令人担忧,为此,保险公司将为那些已经采取了合理措施来保护自身设备及财产安全的车主/驾驶员提供保险支持。
那些被保险公司认定为“频繁遭受攻击的车型”的车主,可能会面临更高的保险成本。
调查显示,绝大多数驾驶员/车主并不知道他们的行为是否被保险条款所覆盖;且有16%的受访者声称,他们知道有人已经成为汽车黑客的受害者。
目前,只有19%的驾驶员通过采取一些简单的措施来保护他们的车辆免受黑客攻击,例如将钥匙放在微波炉或法拉第屏蔽箱(Faraday cage,由金属或者良导体形成的笼子,放置在其内的物体可以免受静电影响)中,以防止潜在攻击者接收他们钥匙的信号。
据悉,只需区区几英镑就能够在线购买到这些信号阻挡袋。
近日,又有新闻报道称,犯罪分子使用高科技继电器装置扫描汽车钥匙链,成功窃走了一辆价值3万英镑的丰田汽车。不难看出,针对智能汽车的攻击行为正在成为一个不断增长的趋势。
对此,安全专家建议称,消费者在购车之前应该充分研究车辆及其功能和限制,对于已经购买完成正在使用中的车辆也需要具备充分地认识,以确保您能够了解该车辆所具备的任何潜在的安全漏洞。甚至有时候,一种最传统的安全方法——比如方向盘锁,就可以成为防范罪犯所需的最佳保障措施。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】