要點(diǎn)概述

• 研究顯示，考慮到黑客攻擊風(fēng)險(xiǎn)，3/5的消費(fèi)者不會(huì)購(gòu)買(mǎi)智能鑰匙汽車(chē)；
• 對(duì)于那些擁有高頻率攻擊車(chē)型的用戶(hù)而言，其面臨的保險(xiǎn)成本可能會(huì)上漲；
• 我們分享了一些保護(hù)自身車(chē)輛免受此類(lèi)攻擊的關(guān)鍵安全建議。

[[246613]]

您是否正身處這樣的險(xiǎn)境之中：即便是犯罪分子沒(méi)有獲取到您的車(chē)輛鑰匙，仍然有辦法竊走您的愛(ài)車(chē)?

在很早之前，無(wú)鑰匙進(jìn)入還只是一項(xiàng)看起來(lái)很高大上的配置，而現(xiàn)在包含本田、豐田、日產(chǎn)、奔馳、寶馬等中高端品牌在內(nèi)的部分車(chē)型都已經(jīng)采用了“無(wú)鑰匙”系統(tǒng)。不同于傳統(tǒng)的使用鑰匙插入來(lái)啟動(dòng)車(chē)輛的方法，無(wú)鑰匙啟動(dòng)采用無(wú)線射頻識(shí)別技術(shù)，當(dāng)車(chē)主進(jìn)入車(chē)內(nèi)時(shí)，車(chē)內(nèi)的檢測(cè)系統(tǒng)會(huì)馬上識(shí)別您鑰匙內(nèi)的智能卡，經(jīng)過(guò)確認(rèn)后車(chē)內(nèi)的電腦才會(huì)進(jìn)入工作狀態(tài)，這時(shí)您只需輕輕按動(dòng)車(chē)內(nèi)的啟動(dòng)按鈕(或者是旋鈕)，就可以正常啟動(dòng)車(chē)輛了。

無(wú)鑰匙進(jìn)入采用了世界最先進(jìn)的RFID無(wú)線射頻技術(shù)和最先進(jìn)的車(chē)輛身份編碼識(shí)別系統(tǒng)，率先應(yīng)用小型化、小功率射頻天線的開(kāi)發(fā)方案，并成功的融合了遙控系統(tǒng)和無(wú)鑰匙系統(tǒng)，沿用了傳統(tǒng)的整車(chē)電路保護(hù)，真正的實(shí)現(xiàn)雙重射頻系統(tǒng)，雙重防盜保護(hù)，為車(chē)主最大限度的提供便利和安全。

這種無(wú)鑰匙汽車(chē)的興起，雖然確實(shí)是為車(chē)主帶來(lái)了一定程度的便利，但同時(shí)也吸引了犯罪分子的目光，引發(fā)了一系列車(chē)輛盜竊事件，因?yàn)榉缸锓肿涌梢酝ㄟ^(guò)技術(shù)手段欺騙車(chē)輛相信智能卡的存在，進(jìn)而成功啟動(dòng)車(chē)輛。

根據(jù)美國(guó)國(guó)家統(tǒng)計(jì)局的調(diào)查數(shù)據(jù)顯示，自2014年以來(lái)，汽車(chē)犯罪率已經(jīng)增長(zhǎng)了19%，此外，與車(chē)輛干擾相關(guān)的犯罪率也增長(zhǎng)了29%。

比價(jià)網(wǎng)站MoneySupermarket在對(duì)汽車(chē)黑客的行為進(jìn)行一番分析調(diào)查后，揭示了犯罪分子可以破解您的無(wú)鑰匙汽車(chē)的7種方式，并給出了相應(yīng)的緩解建議。

MoneySupermarket公司表示，車(chē)輛犯罪率之所以能夠在經(jīng)歷一段時(shí)間的下滑后重新獲得飆升的一個(gè)重要因素在于——允許汽車(chē)黑客遠(yuǎn)程訪問(wèn)車(chē)輛的新技術(shù)的興起。

不過(guò)，令人擔(dān)憂的現(xiàn)實(shí)是，研究還發(fā)現(xiàn)，大多數(shù)用戶(hù)并不知道犯罪分子用于竊取車(chē)輛的多種不同的非法手段：

• 幾乎所有的車(chē)主都沒(méi)有意識(shí)到他們的汽車(chē)可能正在面臨的主要數(shù)字攻擊威脅。
• 超過(guò)3/5的受訪者表示，由于擔(dān)心黑客攻擊，他們可能不會(huì)購(gòu)買(mǎi)無(wú)鑰匙汽車(chē)。

為了防止進(jìn)一步的犯罪行為，同時(shí)提升用戶(hù)的安全意識(shí)，MoneySupermarket公司總結(jié)了犯罪分子可以侵入無(wú)鑰匙汽車(chē)的7種方式，以及如何保護(hù)自身免受車(chē)輛犯罪侵?jǐn)_的各種建議。

他們還建議無(wú)鑰匙車(chē)主徹底檢查自己的汽車(chē)保險(xiǎn)合同條款，以確定其中具體涵蓋或不包含哪些方面的內(nèi)容。

因?yàn)槭聦?shí)上，多達(dá)4/5的車(chē)主并不清楚，如果他們的車(chē)輛遭到黑客攻擊，其購(gòu)買(mǎi)的汽車(chē)保險(xiǎn)是否承擔(dān)損失賠償。

關(guān)于誰(shuí)應(yīng)該承擔(dān)責(zé)任這個(gè)問(wèn)題也是界定模糊——究竟應(yīng)該是駕駛員?汽車(chē)制造商?還是車(chē)載計(jì)算機(jī)的制造商呢?

據(jù)了解，政府和保險(xiǎn)公司目前正在根據(jù)這一現(xiàn)狀制定新的政策，以解決自動(dòng)駕駛汽車(chē)領(lǐng)域所存在的責(zé)任模糊等問(wèn)題。

7種主要的汽車(chē)攻擊方法

1. 使用Relay(繼電器)攻擊無(wú)鑰匙進(jìn)入系統(tǒng)

所謂Relay(繼電器)是具有隔離功能的自動(dòng)開(kāi)關(guān)元件，廣泛應(yīng)用于遙控、遙測(cè)、通訊、自動(dòng)控制、機(jī)電一體化及電力電子設(shè)備中，是最重要的控制元件之一。

一般來(lái)說(shuō)，配備無(wú)鑰匙進(jìn)入系統(tǒng)的車(chē)輛，當(dāng)鑰匙靠近車(chē)體時(shí)，車(chē)門(mén)會(huì)自動(dòng)開(kāi)鎖并解除防盜警戒狀態(tài);當(dāng)鑰匙離開(kāi)車(chē)體時(shí)，車(chē)門(mén)會(huì)自動(dòng)上鎖并進(jìn)入防盜警戒狀態(tài)。這種產(chǎn)品采用的是世界最先進(jìn)的RFID無(wú)線射頻技術(shù)，但這種無(wú)線射頻技術(shù)具有一定的范圍限制，如果鑰匙距離車(chē)體較遠(yuǎn)，車(chē)輛則無(wú)法感應(yīng)到信號(hào)并完成解鎖操作。

但是，犯罪分子可以通過(guò)使用“繼電器箱”(relay box)將感應(yīng)距離擴(kuò)展到了上百米，鑰匙發(fā)出的無(wú)線電信號(hào)通過(guò)工具傳輸?shù)狡?chē)電腦，汽車(chē)電腦誤以為鑰匙就在旁邊，最終汽車(chē)信號(hào)和鑰匙被欺騙，允許無(wú)鑰匙開(kāi)啟車(chē)門(mén)、開(kāi)動(dòng)汽車(chē)。

早在2016年，全德汽車(chē)俱樂(lè)部(ADAC)科研團(tuán)隊(duì)就曾對(duì)來(lái)自19家不同汽車(chē)廠商的24款車(chē)型進(jìn)行了實(shí)際測(cè)試，通過(guò)放大房屋內(nèi)汽車(chē)鑰匙的信號(hào)方式來(lái)輕松入侵你的汽車(chē)，不僅能夠解鎖你的汽車(chē)，而且還能非常輕松的開(kāi)走。

而最為糟糕的地方在于，這種破解設(shè)備并不昂貴。研究人員表示攻擊設(shè)備的成本大約為225美元(約合1395.7元)

安全建議：

保護(hù)自身免受此類(lèi)犯罪攻擊的最佳方法是：在不使用汽車(chē)時(shí)將鑰匙信號(hào)禁用或?qū)㈣€匙安全地存放在一個(gè)可以阻擋信號(hào)的安全容器中。

2. 無(wú)鑰匙干擾

犯罪分子使用的另一種方法是阻止汽車(chē)鑰匙鎖定信號(hào)到達(dá)您的汽車(chē)——這也就意味著，當(dāng)你離開(kāi)汽車(chē)時(shí)，您的車(chē)輛仍然處于解鎖狀態(tài)，然后犯罪分子就可以輕松地訪問(wèn)您毫無(wú)防護(hù)措施的車(chē)輛。

安全建議：

為了防止這種情況發(fā)生，請(qǐng)務(wù)必手動(dòng)檢查車(chē)門(mén)關(guān)閉情況。此外，還需要使用方向盤(pán)鎖定作為額外的防護(hù)舉措，這樣一來(lái)，即便是車(chē)輛處于解鎖狀態(tài)，犯罪分子也無(wú)法開(kāi)走您的車(chē)。

3. 輪胎壓力監(jiān)測(cè)系統(tǒng)

這是一種不易被人察覺(jué)且并不為人所知的方法，黑客可以通過(guò)這種方法與車(chē)輛輪胎內(nèi)的傳感器進(jìn)行交互。這就意味著，他們能夠跟蹤車(chē)輛并顯示錯(cuò)誤的輪胎壓力讀數(shù)——如此一來(lái)，可能會(huì)誘使你停車(chē)檢查輪胎情況，犯罪分子就可以借此空檔趁虛而入。

安全建議：

當(dāng)您下車(chē)檢查輪胎壓力時(shí)，請(qǐng)隨手鎖上所有車(chē)門(mén)，如有疑問(wèn)，可以致電修車(chē)廠尋求建議。

4. APP漏洞誘發(fā)遠(yuǎn)程遙控危機(jī)

許多車(chē)輛都可以在未經(jīng)駕駛員許可的情況下，獲取遠(yuǎn)程信息處理權(quán)限，這是因?yàn)樵S多車(chē)輛跟蹤應(yīng)用程序都集成了這些技術(shù)。雖說(shuō)擁有這些應(yīng)用程序?qū)τ谀切┞?lián)網(wǎng)車(chē)主而言十分方便，但這確實(shí)也意味著，一旦服務(wù)器配置錯(cuò)誤或遭到惡意篡改，黑客就能找到、解鎖并啟動(dòng)附近汽車(chē)的引擎。

不久前，卡巴斯基的分析師就檢測(cè)出了大量車(chē)用APP的系統(tǒng)漏洞，黑客可能通過(guò)這些漏洞對(duì)汽車(chē)實(shí)施控制、解鎖、關(guān)閉安全警報(bào)，甚至偷車(chē)，并通過(guò)手機(jī)應(yīng)用程序得到汽車(chē)的GPS坐標(biāo)，打開(kāi)其輔助設(shè)備。此外，360公司也公開(kāi)展示了其最新發(fā)現(xiàn)的汽車(chē)“無(wú)鑰匙”系統(tǒng)漏洞：借助簡(jiǎn)單的設(shè)備，不法分子就能在不使用汽車(chē)鑰匙的情況下，輕松地將車(chē)主汽車(chē)盜走。

安全建議：

與您的汽車(chē)制造商保持聯(lián)系以及時(shí)獲取技術(shù)和軟件更新支持。

5. 控制器區(qū)域網(wǎng)絡(luò)(CAN)禁用安全功能

自20世紀(jì)末以來(lái)，汽車(chē)已經(jīng)使用了專(zhuān)用控制器局域網(wǎng)(CAN)標(biāo)準(zhǔn)，以允許微控制器和設(shè)備相互通信。CAN總線與車(chē)輛的電子控制單元(ECU)通信，該控制單元操作許多子系統(tǒng)，例如防抱死制動(dòng)系統(tǒng)，安全氣囊，變速箱，音響系統(tǒng)，車(chē)門(mén)以及許多其他部件，包括發(fā)動(dòng)機(jī)。

黑客可以通過(guò)汽車(chē)的Wi-Fi或電話連接中的漏洞訪問(wèn)內(nèi)部汽車(chē)網(wǎng)絡(luò)，并發(fā)送“拒絕服務(wù)”(DoS)信號(hào)，這些信號(hào)可以關(guān)閉安全氣囊，防抱死制動(dòng)器甚至門(mén)鎖。

安全建議：

定期更改密碼有助于防止黑客獲取訪問(wèn)權(quán)限。

6. 攻擊“車(chē)載診斷端口”

汽車(chē)擁有一個(gè)名為“車(chē)載診斷端口”(OBD)的功能，外部OBD設(shè)備可以插入汽車(chē)作為執(zhí)行外部命令及控制諸如Wi-Fi連接、進(jìn)行性能統(tǒng)計(jì)和開(kāi)門(mén)等控制服務(wù)的后門(mén)。如果安全性無(wú)法得到保證，OBD端口則為惡意活動(dòng)提供了一種途徑。

如今，市場(chǎng)上已經(jīng)出現(xiàn)可以使用此端口編程新密碼的工具包，售價(jià)僅為50英鎊，允許黑客使用它們來(lái)創(chuàng)建新的密鑰訪問(wèn)車(chē)輛。

安全建議：

使用方向盤(pán)鎖保護(hù)自己，并從信譽(yù)良好的修車(chē)廠處獲取建議。

7. 電話/電子郵件網(wǎng)絡(luò)釣魚(yú)

如果您在汽車(chē)內(nèi)使用Wi-Fi，黑客也許可以通過(guò)網(wǎng)絡(luò)釣魚(yú)方案訪問(wèn)它。他們可以發(fā)送帶有惡意網(wǎng)站和應(yīng)用程序鏈接的電子郵件，如果您打開(kāi)了這些網(wǎng)站和應(yīng)用程序，他們就可以獲取到您的詳細(xì)信息，甚至可以控制您手機(jī)上允許您與車(chē)輛互動(dòng)的任何應(yīng)用程序。

安全建議：

當(dāng)點(diǎn)擊來(lái)自未知發(fā)件人的電子郵件時(shí)一定要保持警惕，如果您不知道來(lái)源，請(qǐng)不要隨意打開(kāi)這些電子郵件中的鏈接。

目前，在汽車(chē)保險(xiǎn)方面，車(chē)主們可能會(huì)接收到一份最新的保險(xiǎn)政策，其中不僅涵蓋手動(dòng)駕駛，還將涉及自動(dòng)駕駛車(chē)輛的相關(guān)細(xì)節(jié)。

如果自動(dòng)駕駛汽車(chē)的駕駛員對(duì)第三方造成傷害或損壞，那么無(wú)論汽車(chē)在事故發(fā)生時(shí)采用何種模式(自動(dòng)或手動(dòng))，該受害方都可以向駕駛員的保險(xiǎn)公司提出索賠。

駕駛員不用對(duì)汽車(chē)系統(tǒng)中的故障負(fù)責(zé)，而且一旦他們自身因車(chē)輛系統(tǒng)故障而受訪或遭到損失，也可以向保險(xiǎn)公司要求賠償。

至于遭到黑客攻擊的車(chē)輛，只要車(chē)主已經(jīng)采取了合理措施來(lái)保護(hù)他們的汽車(chē)，保險(xiǎn)公司也將為其支付賠償金。

如果某些車(chē)型頻繁遭到黑客攻擊，其保險(xiǎn)費(fèi)用可能會(huì)上漲。

易受攻擊的車(chē)型盤(pán)點(diǎn)

• 奧迪：A3，A4，A6;
• 寶馬：730D;
• 雪鐵龍：DS4 CrossBack;
• 福特：Galaxy，Eco-Sport;
• 本田：HR-V;
• 現(xiàn)代：Santa Fe CRDi;
• 起亞：Optima;
• 雷克薩斯：RX 450h;
• 馬自達(dá)：CX-5;
• MINI：Clubman;
• 三菱：Outlander;
• 日產(chǎn)：Qashqai，Leaf;
• 沃克斯豪爾：Ampera;
• 路虎攬勝：Evoque;
• 雷諾：Traffic;
• 雙龍：Tivoli XDi;
• 斯巴魯：Levorg;
• 豐田：RAV4;
• 大眾汽車(chē)：高爾夫GTD，途安5T;

安全專(zhuān)家表示，汽車(chē)黑客雖然很少被人所理解，但卻是一個(gè)真實(shí)存在的威脅。上述一些場(chǎng)景在現(xiàn)實(shí)生活中已經(jīng)切實(shí)地發(fā)生了，其他目前未知的惡意攻擊也許還會(huì)令我們始料未及。

目前，汽車(chē)制造商正在為我們的車(chē)輛增加越來(lái)越多的新技術(shù)，以便進(jìn)一步方便我們的出行，但同時(shí)這些新技術(shù)也帶來(lái)了新的攻擊面，對(duì)于這些新的攻擊面，駕駛員們必須具備清楚地認(rèn)識(shí)并做好相應(yīng)的防范措施。

無(wú)鑰匙盜竊等黑客行為確實(shí)令人擔(dān)憂，為此，保險(xiǎn)公司將為那些已經(jīng)采取了合理措施來(lái)保護(hù)自身設(shè)備及財(cái)產(chǎn)安全的車(chē)主/駕駛員提供保險(xiǎn)支持。

那些被保險(xiǎn)公司認(rèn)定為“頻繁遭受攻擊的車(chē)型”的車(chē)主，可能會(huì)面臨更高的保險(xiǎn)成本。

調(diào)查顯示，絕大多數(shù)駕駛員/車(chē)主并不知道他們的行為是否被保險(xiǎn)條款所覆蓋;且有16%的受訪者聲稱(chēng)，他們知道有人已經(jīng)成為汽車(chē)黑客的受害者。

目前，只有19%的駕駛員通過(guò)采取一些簡(jiǎn)單的措施來(lái)保護(hù)他們的車(chē)輛免受黑客攻擊，例如將鑰匙放在微波爐或法拉第屏蔽箱(Faraday cage，由金屬或者良導(dǎo)體形成的籠子，放置在其內(nèi)的物體可以免受靜電影響)中，以防止?jié)撛诠粽呓邮账麄冭€匙的信號(hào)。

據(jù)悉，只需區(qū)區(qū)幾英鎊就能夠在線購(gòu)買(mǎi)到這些信號(hào)阻擋袋。

近日，又有新聞報(bào)道稱(chēng)，犯罪分子使用高科技繼電器裝置掃描汽車(chē)鑰匙鏈，成功竊走了一輛價(jià)值3萬(wàn)英鎊的豐田汽車(chē)。不難看出，針對(duì)智能汽車(chē)的攻擊行為正在成為一個(gè)不斷增長(zhǎng)的趨勢(shì)。

對(duì)此，安全專(zhuān)家建議稱(chēng)，消費(fèi)者在購(gòu)車(chē)之前應(yīng)該充分研究車(chē)輛及其功能和限制，對(duì)于已經(jīng)購(gòu)買(mǎi)完成正在使用中的車(chē)輛也需要具備充分地認(rèn)識(shí)，以確保您能夠了解該車(chē)輛所具備的任何潛在的安全漏洞。甚至有時(shí)候，一種最傳統(tǒng)的安全方法——比如方向盤(pán)鎖，就可以成為防范罪犯所需的最佳保障措施。

【本文是51CTO專(zhuān)欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文