近日，安全研究人員發(fā)現(xiàn)，大眾和奧迪汽車中存在多處安全漏洞，這些漏洞可能允許攻擊者發(fā)起遠(yuǎn)程攻擊行為。其中，部署大眾汽車集團(tuán)部分車型的車載信息娛樂（IVI）系統(tǒng)中的漏洞可能會(huì)允許攻擊者遠(yuǎn)程訪問麥克風(fēng)、揚(yáng)聲器以及導(dǎo)航系統(tǒng)。換句話說，攻擊者可以打開或關(guān)閉大眾汽車麥克風(fēng)、竊聽對(duì)話內(nèi)容并實(shí)時(shí)跟蹤汽車動(dòng)態(tài)。

車輛WiFi成為入侵入口

來自荷蘭Computest公司的安全研究人員 Daan Keuper 和 Thijs Alkemade 在對(duì)大眾 Golf GTE 和奧迪 A3 Sportback e-tron 車型進(jìn)行測(cè)試后發(fā)現(xiàn)，其車載信息娛樂（IVI）系統(tǒng)中的漏洞可以通過互聯(lián)網(wǎng)實(shí)現(xiàn)遠(yuǎn)程訪問利用。

攻擊者可以利用汽車的WiFi連接來遠(yuǎn)程利用一個(gè)暴露的接口，并獲得由電子產(chǎn)品供應(yīng)商 Harman制造的汽車IVI。研究人員在新聞稿中警告稱，

“在某些情況下，攻擊者可以通過車載套件收聽司機(jī)正在進(jìn)行的談話，并且可下載完整的對(duì)話記錄；打開和關(guān)閉麥克風(fēng)，以及訪問完整的地址簿和對(duì)話歷史記錄。此外，利用該漏洞，攻擊者還可以通過導(dǎo)航系統(tǒng)精準(zhǔn)地發(fā)現(xiàn)駕駛員的位置，并實(shí)時(shí)地跟蹤汽車動(dòng)態(tài)。”

研究人員在發(fā)布的研究論文中指出，

“我們通過常見的車載WiFi設(shè)備成功連接了汽車，將車輛連接到自己設(shè)置的WiFi 網(wǎng)絡(luò)環(huán)境中，利用車載信息娛樂系統(tǒng)（IVI）的漏洞，便可以向IVI CAN bus總線發(fā)送任意CAN（ControllerAreaNetwork，控制器局域網(wǎng)絡(luò)）信息。隨后，我們就能夠控制中央屏幕、揚(yáng)聲器以及麥克風(fēng)等。”

經(jīng)過測(cè)試，研究人員發(fā)現(xiàn)，攻擊者完全有能力通過互聯(lián)網(wǎng)管理遠(yuǎn)程代碼執(zhí)行，控制RCC（車輛遠(yuǎn)程管理系統(tǒng)），并發(fā)送任意的CAN信息。接下來，攻擊者很有可能會(huì)試圖實(shí)際地控制汽車的關(guān)鍵安全部件（如控制車輛制動(dòng)和加速系統(tǒng)的安全部件等），因?yàn)镮VI系統(tǒng)與汽車的加速和制動(dòng)系統(tǒng)是間接相連的。

Computest公司表示，

“經(jīng)過慎重考慮，我們不準(zhǔn)備再深入研究IVI系統(tǒng)與汽車的加速和制動(dòng)系統(tǒng)之間相互影響的可能性，因?yàn)檫@可能會(huì)侵犯大眾汽車制造商的知識(shí)產(chǎn)權(quán)，甚至可能觸犯法律。”

據(jù)悉，Computest公司研究人員已于2017年7月向大眾汽車外聘律師報(bào)告了這些漏洞信息，因?yàn)樵摴緵]有在其網(wǎng)站上發(fā)布漏洞披露政策，無法獲得漏洞披露的途徑，所以只能聯(lián)系律師上報(bào)情況。該公司研究人員還于2017年8月參加了與汽車制造商的會(huì)議。

在與大眾的會(huì)談中，Computest研究人員了解到，對(duì)于其所上報(bào)的漏洞信息，尤其是研究人員所使用的漏洞利用方式，大眾方面仍然一無所知。盡管該IVI系統(tǒng)已經(jīng)部署在全球數(shù)千萬輛汽車上，但是卻并沒有經(jīng)過任何正式的安全測(cè)試，其脆弱性仍然不為人知。不過，經(jīng)過此次會(huì)談后，大眾方面表示已經(jīng)對(duì)漏洞信息有了基本了解。

大眾方面的回應(yīng)

在研究這些漏洞之后，大眾汽車公司在2017年10月告訴研究人員稱，它“不會(huì)發(fā)表公開聲明”。相反地，大眾汽車表示愿意審查研究人員的論文并檢查事實(shí)。據(jù)悉，該審查過程已于2018年2月完成。

Computest研究人員表示，

“2018年4月，在向公眾發(fā)布正式聲明之前，大眾汽車向我們提供了一封確認(rèn)這些漏洞的信函，并提及這些漏洞已在信息娛樂系統(tǒng)（MIB）的軟件更新中得到了修復(fù)。這也就意味著自更新后生產(chǎn)的汽車不會(huì)再受到我們發(fā)現(xiàn)的漏洞的影響。不過根據(jù)我們的經(jīng)驗(yàn)，系統(tǒng)更新前生產(chǎn)且已經(jīng)分銷到經(jīng)銷商處的汽車并不會(huì)自動(dòng)更新，因此仍然易受上述攻擊的影響。”

想要深入了解漏洞信息的用戶，可以前往查看研究人員發(fā)布的研究論文，其中深入介紹了他們的攻擊策略和技術(shù)系統(tǒng)細(xì)節(jié)，但是論文中并未充分披露該遠(yuǎn)程可利用漏洞的細(xì)節(jié)，因?yàn)閷?duì)研究人員來說，過度的披露可能會(huì)給他人帶來風(fēng)險(xiǎn)，是“不負(fù)責(zé)任的”行為。

研究人員表示，存在漏洞的汽車模型生產(chǎn)于2015年，所以如果你有奧迪或大眾汽車，請(qǐng)立即聯(lián)系經(jīng)銷商并咨詢軟件更新細(xì)節(jié)。