雖然最近在汽車制造鏈系統中發現的漏洞似乎不能被視為真正的風險，但是有關專家警告稱：隨著汽車智能技術的廣泛采用，汽車公司對網絡安全缺乏關注的問題可能會在未來幾年困擾智能汽車、電動汽車系統的發展以及其用戶的拓展。

日前技術人員在本田汽車和Acura汽車(日本汽車品牌)的遠程一鍵啟動功能之間的無線電傳輸中發現了一個漏洞。根據兩名研究人員的披露，網絡威脅者可以通過輕松攔截本田汽車和Acura汽車線入口鑰匙扣的無線電信號，來實現鎖定、解鎖甚至啟動汽車的目的。UMass Dartmouth(馬薩諸塞大學達特毛斯分校)的學生Ayyappan Rajesh和Blake Berry(HackingIntoYourHeart)報告了這一缺陷(CVE-2022-27254)，并在GitHub的帖子中提供了有關漏洞的更多細節。

該帖子聲稱根據研究報告顯示，黑客可以利用這一漏洞自由地鎖定、解鎖、控制窗戶、打開后備箱和啟動目標車輛的發動機。目前來說防止攻擊的唯一方法就是永遠不要使用您汽車的感應鑰匙，或者在受損后在經銷商處重置您汽車的感應鑰匙，但是這很難實現。

該帖子補充說，攻擊者接管汽車的控制權所需的只是通過汽車感應鑰匙發送的未加密命令的記錄，從指定目標處記錄解鎖的命令并進行重播。這種方式適用于大多數本田生產的感應鑰匙，并且這種手段將允許威脅者隨時解鎖車輛，而且它根本不會止步于此。因為除了能夠通過錄制遠程啟動的口令來隨時啟動車輛的發動機外，似乎實際上網絡威脅者可以通過本田使用FSK的“智能鑰匙”來解析任何命令，并對其進行編輯并重新傳輸，從而可以對目標車輛進行隨心所欲地使用。由此網絡威脅者能夠完成對幾種本田汽車和Acura汽車的攻擊，但研究人員懷疑這種類型的襲擊適用于任何本田或Acura車型。他們確認易受攻擊的模型包括：

• 2009年Acura TSX。
• 2016年本田雅閣V6旅行轎車。
• 2017年本田HR-V(CVE-2019-20626)。
• 2018年本田思域掀背車。
• 2020年本田思域LX。

但是本田發言人克里斯·馬丁告訴Threatpost，這種缺陷并不是什么新鮮事，并且聲稱由于本田公司無法確認真正存在上述的風險，因此也沒有更新舊車型的計劃。因為目前這些智能設備似乎只在附近或物理連接到目標車輛時才進行工作。如果車輛在附近需要打開和啟動時，就需要在極近的距離內接收來自車主鑰匙的無線電信號。

其實本田公司所面對的也不是單獨的個例。在2020年底，研究人員在沒有智能鑰匙的情況下，幾分鐘內就通過智能感應系統闖入并竊取了一輛特斯拉。

馬丁還指出，如果攻擊者的意圖是偷車，那么他們如果沒有fob的安全芯片，也無法走多遠。他還解釋說，對于Acura和本田汽車而言，雖然某些型號具有遠程啟動功能，但在車輛中存在帶有單獨制動器芯片的有效鑰匙之前，遠程啟動的車輛無法被駕駛，這從而降低了車輛被盜的可能性。沒有跡象表明，報告中所提及的門鎖脆弱性會導致實際駕駛Acura汽車或本田汽車的安全性下降。

但是即便本田公司發言人如此解釋，最近的其他網絡安全威脅也突出表明，隨著智能技術和功能越來越多地應用于現代車輛中，網絡攻擊所帶來的威脅將繼續增長。Vulcan Cyber的高級技術工程師Mike Parkin向Threatpost解釋說，雖然感應系統存在的漏洞并不會產生特別災難性的影響，但這并不意味著它們應該被汽車和網絡安全社區所忽視。Parkin認為：智能汽車技術的演變通過意想不到的方式擴大了我們所遭遇威脅的范圍，雖然只有幾次嚴重的遠程攻擊影響車輛，但潛在的危險是存在的并且正在增長。他補充說，使整個車隊癱瘓的可能性是讓汽車制造商產品安全團隊夜不能寐的事情，而電動汽車組合充電系統(CCS)中的新漏洞極有可能會導致這一點。

組合充電系統存在缺陷

牛津大學一個團隊最近披露的另一項報告指出，允許電動汽車快速直流充電的聯合充電系統中存在極大的安全缺陷。根據他們的研究報告，研究人員只需要依靠現成的技術手段就能夠切斷距離10米外的實驗室的充電電路，這次襲擊被團隊稱為“斷線”。為此他們警告說此舉不僅有可能影響目前道路上的1200多萬輛電動汽車，同時還可能影響電動飛機、船只和重型車輛的使用。該團隊同時發現，此類攻擊中斷了車輛和充電器之間的必要控制通信，將導致充電會話的中止。而這種攻擊可以通過電磁干擾以無線的方式從遠處進行，導致單個車輛或整個車隊同時中斷。

Netenrich的主要威脅獵人John Bambenek向Threatpost解釋說，汽車技術中存在的各種各樣的漏洞表明，汽車制造商需要做更多工作來保護其汽車的使用安全。他認為這些問題表明，電動汽車技術制造商沒有充分考慮人們將會如何篡改他們的技術。雖然這種脆弱性目前僅會造成人們使用的不便，但最終有人會發現這些技術可以被用來做一些更邪惡的事情。

Bugcrowd的創始人兼首席技術官Casey Ellis也同意上述的說法，汽車制造商的優先事項早就應該從技術推廣轉向網絡安全了。Ellis建議：“雖然這種脆弱性看似是更不方便，而不是危險，但它再次提醒人們，特別是在涉及像汽車這樣安全至關重要的系統時在工程師和網絡攻擊威脅者之間建立反饋循環十分具有重要性。

本文翻譯自：https://threatpost.com/automaker-cybersecurity-lagging-tech-adoption/179204/如若轉載，請注明原文地址。