万涛黑客的简单介绍

　　编者按：《速度与激情7》用一整部电影的时间带着保罗沃克与观众道别，曾创下引进片的国内票房纪录。被视为今年头号票房大鳄《速8》3天狂揽13亿元，也创造了单片首周末票房纪录。电影中最震撼莫过于查理兹·塞隆入侵了全市的自动驾驶汽车系统，成千上万的无人驾驶车成了一支庞大的“僵尸车大军”，伴随而来的是人们对无人驾驶汽车的担忧。

电影中的不解之谜

和超级英雄一样，《速度与激情》系列也是一个可以独立于现实之外的完整世界，只要拍下去，一定有人追随，作为系列的新三部曲开幕，阵容更加强大，故事也延续前作剧情，范·迪塞尔饰演的“唐老大”多米尼克与米歇尔·罗德里格兹饰演的莱蒂在古巴共度蜜月，飞车家族的其他成员也开始平淡生活，没想到查理兹·塞隆饰演的神秘女子塞芙搅乱了平静。飞车家族这一次又遇上内讧了，这次“黑化”的居然是家族领袖“唐老大”。而影片中各种黑科技也让电影变得扑朔迷离。

黑客

“速8”中突然冒出来的女黑客Cipher，拥有强硬的黑客技术，连飞车家族的狮子头Ramsey也败下阵来。然而在《速度与激情7》中黑客狮子头Ramsey可是火到被各方争抢！

监狱

电影中，监狱虽然有38英尺厚的牢房墙壁，连肌肉男卢克霍布斯都只能闹心得自捶胸口，因为牢房的各种门禁都是网络控制是我。

天眼系统

天眼系统实际上就是由很多联网摄像头组成的监控系统。Cipher在多米尼克修车的5分钟内，利用天眼系统监视他，要知道，一旦获取到天眼系统的权限，黑客可以任意调节摄像头的方向，便可获取拍摄的信息。

芯片等固件安全

剧中，避免潜艇发送核武器的方法，就是拔出潜艇操作系统中的一块芯片。据美国专家统计分析，黑客利用漏洞发起的恶意攻击中有40%是利用的“固件漏洞”，因此各设备厂商应重视固件安全。

核武器

不论是朝核问题，伊朗核问题，还是叙利亚的化学危机问题。未来，不断发展的网络技术会将核武器紧密联系起来，核战争可能一触即发，因此维护世界和平就必须得保护我们的网络安全、信息安全等等。

自动驾驶车辆

电影中Cipher为了拦截俄罗斯重要官员，只用了一个能把汽车开到出神入化的多米尼克活人去获取重要数据箱，其余兵力全为被入侵的自动驾驶系统汽车，在关闭了该系统的障碍识别功能后，汽车只管追踪目标汽车，最终保护俄国重要官员的精悍的整只武装部队被灭。

影片中，查理兹·塞隆入侵了全市的自动驾驶汽车系统，成千上万的无人驾驶车成了一支庞大的“僵尸车大军”，还下起了“汽车雨”，让人瞠目结舌。这不得不让人考虑自动驾驶汽车的安全性。

无人驾驶汽车安全问题显现

汽车黑客在很大程度上是未来较为关切的问题，《速8》中的情节已渐成现实。两年前，查理·米勒（Miller）和克里斯·瓦拉塞克（Chris Valasek）做出了一件震动了汽车行业的事，通过互联网连接远程攻击吉普切诺基，使其在高速公路上瘫痪。从那时起，Miller和Valasek在Uber工作，帮助实验性的自驾车能抵挡传统的黑客攻击。

上个月，Miller离开了Uber。他提示，“汽车已经不安全了，而且你正在增加一大堆传感器和电脑来控制它们。如果一个被黑客控制着，那会很糟糕。”在自驾出租车成为现实之前，车辆的建筑师将需要考虑从无人驾驶汽车的大量自动化中可能被远程劫持的所有内容，以便乘客自己可以使用他们的物理访问破坏无人驾驶的车辆。

在2013年开始的一系列实验中，Miller和Valasek表示，黑客通过有线或无线互联网接入车辆（包括丰田普锐斯，福特Escape和吉普车手）可能会使受害者的制动器，转动方向盘，或在某些情况下导致意外的加速。

Miller指出，用作出租车的无人驾驶汽车更是潜在的问题。只需将互联网连接的小工具插入汽车的OBD2端口——其仪表板下的普遍存在的插座，可以为远程攻击者提供车辆最敏感系统的入口点。 他认为，解决自主车辆的安全缺陷将需要对其安全架构进行一些根本的改变。 例如，他们的互联网连接的计算机将需要“代码分配”，确保它们只运行用特定加密密钥签名的可信代码。Miller说，汽车变得更加自动化，使问题更加真实。米勒说：“我们有一些时间来建立这些安全措施，并在事情发生之前让他回归正轨”。

吉普召回受漏洞影响的汽车

一年前，克莱斯勒宣布召回140万辆可能受到克莱斯勒Uconnect仪表板计算机的软件漏洞影响的车辆。克莱斯勒在其关于召回的新闻稿中提供了可能受到影响的车辆清单：

2013-2015 MY Dodge Viper专用车

2013-2015 Ram 1500，2500和3500皮卡

2013-2015 Ram 3500，4500，5500底盘驾驶室

2014-2015吉普大切诺基和切诺基SUV

2014-2015道奇杜兰戈SUV

2015年克莱斯勒200，克莱斯勒300和道奇充电器轿车

2015道奇挑战者运动轿跑车

该列表的潜在易受伤害的汽车比克莱斯勒周一给予WIRED的清单略长，其中排除了克莱斯勒200和300，以及道奇充电器和挑战者。其召回的目标是140万，远远超过了Miller和Valasek估计拥有易受攻击的Uconnect电脑的47.1万辆车型。

在最近举行的黑帽安全会议上，汽车网络安全研究人员Miller和Valasek对2015年他们入侵吉普切诺基演示提出新的攻击手段。假设当我们在开车时，黑客可以以低速禁用汽车的制动，通过在车辆的内部网络（称为CAN总线）上发送精心制作的消息。Valasek说：“想像一下，如果不是在高速公路上切断传输，我们把轮子转了180度，我能想象后果是死亡”。

加州大学圣地亚哥分校的研究员卡尔·科切（Karl Koscher）说，“可以肯定将来会继续存在远程漏洞。如果通过这些漏洞获得正确的CAN总线，就可以使用这些技术来对车辆进行控制。例如，Miller和Valasek用于禁用吉普车刹车的诊断模式不能以每小时五英里以上的速度工作，自动停车辅助功能只能在车辆反向运行并以相同的低速行驶时才起作用。

汽车黑客的攻击新方法

虽然Miller和Valasek还没有找到一种远程执行攻击的新方法，但是并不难想象黑客可以通过远程访问吉普的CAN网络或其他车辆的方式找到新的途径。 2011年，加利福尼亚大学圣地亚哥分校和华盛顿大学的研究人员找到了一个雪佛兰的漏洞，其中包括从OnStar连接到连接到其信息娱乐系统的黑客智能手机的所有内容，通过蓝牙连接到包含恶意文件的CD 进入其CD播放器。去年，一些同样的UCSD研究人员显示，插入车辆仪表板的常见的互联网保险保险套可能会产生相同的远程黑客攻击漏洞。

Miller和Valasek认为，简单地保护车辆免受远程攻击并不是汽车制造商需要的唯一防御。制造商还应该假设黑客最终会找到一个遥远的立足点，并建立系统来减少任何违规的灾难性影响。 Miller说：“你需要知道黑客将要下一步做什么，如何缓解这些事情，以及一些缓解措施如何运作，这正是我们所展现的。”

车被控制已成现实

据外媒报道，以色列网络安全公司Argus在检验过程当中发现了博世的Drivelog Connector电子狗和与之相适配的App之间存在漏洞，并于4月14日演示了如何通过蓝牙连接轻易入侵使用博世Drivelog Connector OBD-II电子狗（Dongle）的汽车。这个安全漏洞出现在Drivelog Connect 1.1.1及其更低的版本，以及Dongle固件4.8.0至4.9.2。

在研究中，Argus公司使用了一款通过蓝牙连接车辆的设备Drivelog Connector，帮助检查车辆健康状况、追踪里程等。并通过演示“闯过安全系统的服务ID限制”，证明了在这之后黑客能执行哪些操作。

研究人员发现两个漏洞：

l Drivelog Connector 电子狗和Drivelog Connect智能手机应用程序之间的认证过程存在信息泄露漏洞

l Drivelog Connector电子狗中的消息过滤器存在安全漏洞

信息泄露漏洞允许研究人员快速暴力破解PIN码，并通过蓝牙功能连接到电子狗。一旦连接到电子狗，消息过滤器中的安全漏洞就允许他们在车辆CAN总线中注入恶意代码，之后他们便能够在蓝牙范围内关闭移动车辆的引擎。

界小编结语

近年来，随着汽车联网技术飞速发展，汽车联网用户面临的威胁，尤其是漏洞远程关闭目标车辆引擎问题尤为突出，在自驾车被挟持之前，如何防护汽车被远程劫持，保护乘客的生命财产安全将成为人们关注的焦点。正如Miller和Valasek所说，简单地保护车辆免受远程攻击并不是汽车制造商需要的唯一防御。制造商还应该假设黑客最终会找到一个遥远的立足点，并建立系统来减少任何违规的灾难性影响。

本文由网安视界（网络空间安全情报站和智库）独家创作整理，转载请注明出处。更多精华文章请观看公众号：网安视界