克莱斯勒这一周很糟糕。周二,《连线》杂志发表了一份精彩而扣人心弦的报告,详细描述了克莱斯勒UConnect系统中的一个公开漏洞,攻击者可以控制变速箱、刹车,甚至转向。文章发表时已经有一个补丁可用,但由于汽车需要物理更新,大多数汽车没有收到它。今天,克莱斯勒加大了赌注,要求140万辆汽车向经销商报告或安装通过USB发送的补丁。这是我们所见过的汽车公司最大的弱点,也是一个第一手的例子,说明一旦问题出现,修补起来有多难。
黑客看起来很糟糕-有线的安迪格林伯格字面上是被迫进入沟黑客-但修补过程是更重要的,克莱斯勒的失败,那里应该有更多的麻烦。bug是软件开发中不可避免的一部分,因此重要的问题是,当不可避免地发现bug时,您的响应速度有多快,从而给攻击者提供尽可能小的窗口来利用新发现的弱点。只要克莱斯勒必须手动更新汽车软件,这个窗口是敞开的-这应该比任何高速公路演示更可怕。
如果Heartbleed这么顺利的话,就没有什么可报道的了
本周的bug虽然令人震惊,但却是安全研究的最佳案例。好人们首先发现了这个***:研究人员查理·米勒和克里斯·瓦拉塞克对利用这个***向敌人复仇或将其卖给暴徒以获取快速回报没有兴趣。当这个漏洞被报告的时候,克莱斯勒已经准备好了补丁,并且没有证据表明有人曾经利用这个漏洞达到邪恶的目的。如果Heartbleed这么顺利的话,就没有什么可报道的了。
一旦克莱斯勒试图在汽车上安装补丁,问题就出现了。由于没有办法自动更新汽车,因此该公司只能亲自更新经销商的信息,在某些情况下,还可以向受影响的客户邮寄U盘。结果是进攻和防守明显不匹配:UConnect使汽车容易受到远程攻击,但克莱斯勒没有办法通过推出补丁来远程防御。克莱斯勒还进行了网络级别的更改,似乎减弱了攻击,但修复该车的软件仍然需要亲自与USB联系。
这在本案中令人尴尬,但在未来几年可能是灾难性的。发表在《连线》上的攻击并不是侵入UConnect的唯一途径——它只是我们所知道的唯一途径。可以肯定的是,未来几年将会发现更多的漏洞,如果克莱斯勒要保证司机的安全,它需要一种快速修补这些漏洞的方法。只要公司坚持手动更新,新的攻击就会比旧的攻击发展得更快,攻击者就会围着防御者转。
修补被认为是汽车最大的单一安全问题
特斯拉在这方面领先,已经提供了无线更新,但即使是经验丰富的软件公司也难以推出补丁。大多数系统中最常见的单一安全缺陷是一台运行过时且易受攻击的Flash或internetexplorer版本的旧计算机,这仅仅是因为没有人费心安装更新。这个问题在移动设备上更为严重。iOS和Android安全性的最大区别在于,苹果可以随时推出自动更新。运营商的意思是,当一个像最近的WebView bug这样的漏洞出现时,谷歌根本没有办法修复它。这是智能**最大的单一安全问题,也可能是汽车最大的单一安全问题。
从我朋友的反应来看,这个弱点让很多人对联网汽车的想法完全没有兴趣。为什么要给汽车一个调制解调器呢?目前的好处相对较小,而不利的一面则是可怕的。为什么不让汽车远离电网呢?
我不相信。网络软件的好处太深刻了,不可能永远切断汽车的连接。但是安全是一个严重的问题,没有局部的解决办法。网络系统总是容易受到网络攻击,这给**商带来了沉重的责任。承担这一责任意味着要维护一整套安全措施,从研究团队到漏洞赏金,再到一个完整且经过考虑的修补系统。在这一障碍消除之前,汽车**商可能会重新考虑给汽车提供一个IP地址来保护的好处。
...Wcry——部分盗用了****局(NSA)上个月发布到野外的一个黑客组织“影子掮客”(Shadow Brokers)。 ...
...变,迫使防病毒开发者保持速度。但是自动化机器学习反黑客系统的未来愿景比你想象的要近得多。 ...
...用端到端加密来保持消息的私密性。然而,针对WhatsApp的黑客攻击可能会损害你的信息和联系人的隐私。 ...
有这么多用户跳槽到网上银行,难怪黑客们在寻找登录信息。然而,让人惊讶的是,黑客为了获取你的财务信息而花费的时间之长。 ...
...读取附近遥控钥匙的信号,然后复制一个副本。这意味着黑客有可能站在特斯拉车主附近,在他们不知情的情况下复制他们的钥匙,然后偷走汽车。特斯拉很快用一种新型的遥控钥匙解决了这个问题,消除了这个漏洞。 ...
你可能听说过一个黑客的发现,它针对iPhone设备通过网站多年。谷歌宣布,作为其零安全分析任务的一部分,谷歌已经发现了这个问题,并显示了黑客如何在两年内访问数千台设备。 ...
...家赌场意外发生数据库漏洞。据一位商业内幕人士报道,黑客通过一个智能温度计成功进入赌场网络,该温度计监测大厅一个水族馆的水温。 ...
是的,蓝牙可能被黑客入侵。虽然使用这项技术给生物带来了很多舒适,但它也使人们暴露在网络攻击之下。 ...
... 像bot这样的工具让黑客能够自动填充,让他们在短时间内对数十个站点测试数百万个登录凭据。以下是您需要了解的有关这次攻击的信息以及保护自己的简单方法。 ...