研究人员通过黑客攻击脆弱的汽车加密狗来远离动车的发动机
OpenReach倍增全光纤宽带推出
戴尔在PC上取Intel的提示,将企业放在议程之上
亚马逊成为第二家公开交易公司,达到$ 1TN市场上限
Facebook更新工作场所,因为企业合作再次变热
加密敏捷是后量子安全的关键
在采矿用户数据中,美国ISP必须权衡现金与隐私
早期炒作后,智能手表慢慢地出现企业用途
与较小的企业相比,大型组织对云安全性不太自信
网络攻击者越来越多地利用RDP,警告FBI
Comcast Business提供直接连接IBM云网络
政府表示,数据有可能提高英国经济和生产力的潜力
Apple称气候变化“不可否认,”绿色和平地说修理问题
三个即将到来的政府服务使用Gov.uk验证
供应链攻击击中手刹视频转换器应用程序的Mac用户
AI提供了对严重的眼部条件进行立即诊断,研究发现
YouTube电视在这里 - 但这是人们想要的东西吗?
议程上的公平贸易软件,但荷兰企业尚未准备购买它
DWP IT首席Carank Prakash退出政府外部新工作
配对Galaxy S8与Microsoft Apps视为商业客户的好处
洛杉矶在灯光上测试枪声传感器
Aiops杀死了它的支持之星
Dixons Carphone UPS数据泄露图为1000万
微软推出了一个星期延迟的关键闪存播放器补丁
英特尔的PC首席谈判约5G,芯片设计的变化
诺基亚,Sprint展示了一个巨大的MIMO天线来提升细胞服务
Apple获取自动化应用程序工作流程 - 但它的计划是什么?
在Linux内核中发现并修补了11岁的根缺陷
据报道,抓住一个无人机 - 以史诗般的自拍呢?
5G即将到来,但没有被带走,T-Mobile USA的CTO说
为什么Pintereses最终针对视力受损的特征
英特尔尚未使用x86智能手机芯片完成
谷歌在电子邮件加密工具上转移,留下其命运不清楚
此iPhone案例实际上是Android手机
16个月后,YouTube音乐仍然是一个错过的机会
所有急性NHS现在都在英格兰使用电子推荐信任英格兰
Ignite 2018的Microsoft Azure的新云存储服务
Equifax被ICO罚款,用于安全失败
Samsung Mulls在智能手机上扫描仪器以登录Windows PC
谷歌镀铬缺陷将隐私危险
超越智能手机,三星希望其Exynos 9芯片在VR耳机中
BFI在PB级数字化项目中部署Spectralogic磁带
尽管5G,LTE甚至从现在开始五年
Facebook确认对Messenger的不喜欢表情符号
2018/19年BEIS研发预算近8亿英镑
Akyumen的鹰智能手机包装投影机
单人所有者复古Apple-1出售
英国上面的平均水平使用分析
索尼的Xperia XZ Premium有一个4k HDR屏幕,超级慢动作
Levi's和Google的智能夹克 - 价格,发布日期和它可以做的事情
您的位置:首页 >产品 > 商业评论 >

研究人员通过黑客攻击脆弱的汽车加密狗来远离动车的发动机

2021-08-12 20:44:14 [来源]:

以色列公司Argus Cyeber安全最近报道说,由于博世驱动器连接OBD-II加密狗,它已经能够远程“通过蓝牙控制一辆汽车”。

虽然黑客不会影响90%的汽车并产生一支“僵尸汽车”的军队,就像被网络恐怖主义密码(Charlize Theron)拉出的速度和激情系列,Argus研究人员能够远程杀死移动车的发动机。

着名的汽车 - 黑客查理米勒对这一点来说并不是担心愤怒的汽车的命运。糟糕的家伙通过黑客攻击控制汽车可能目前只有我们在电影中看到的东西,但中央情报局对骚扰汽车有兴趣,为维克利克被声称的追求者可以用来撤离“几乎不可检测的暗杀”。

Argus解释了这次遥控攻击为:

在我们的研究中,我们能够在蓝牙范围内关闭移动车的发动机。由于令人不安的是,在更一般的意义上,由于我们可以使用加密狗将恶意信息注入CAN总线,我们可能已经能够操纵网络上的其他ECU。如果攻击者在野外实施这种攻击方法,我们估计他今天可能对大多数车辆造成物理影响。

研究人员发现了两个安全缺陷。一个涉及DriveLog的消息过滤器中的安全漏洞连接加密狗,这将允许攻击者向汽车发送未经授权的消息。另一个是身份验证过程中的信息泄漏;它影响了“只有作品”蓝牙配对和加密狗和应用程序之间的身份验证过程。

DriveLog将Dongle对与应用程序连接,并显示汽车诊断,“实时驾驶行为”,一个路线的日志,服务中心的位置和汽车查找器选项,以防您忘记了停放位置的位置。

由于加密狗证书泄露了信息,攻击者可以连接到加密狗,然后使秘密引脚离线。PIN有八位,这意味着有1亿可能的引脚,但研究人员表示,“现代笔记本电脑可以在大约30分钟内运行1亿SHA256计算和加密。”同时运行多个Brutcing服务器将快速确定销钉。

通过蓝牙连接到加密狗后,它们在加密狗的消息过滤器中利用漏洞将恶意消息注入车辆的CAN总线。

新闻稿读取:

Dongle和DriveLog之间的认证过程中发现的漏洞连接智能手机应用程序启用了Argus研究人员,以便在分钟内揭示安全码,并从Dongle从标准蓝牙设备通信,例如智能手机或笔记本电脑。在获得通信通道的访问之后,Argus研究人员能够复制消息命令结构并将恶意消息注入车载网络。有效地绕过旨在仅允许特定消息的安全消息过滤器,这些漏洞使Argus研究组能够控制移动车,通过远程停止发动机来证明。

BOSCH通过为已注册设备上的任何其他用户添加两步验证来缓解身份验证漏洞。它是在服务器端实现的,因此用户无需采取任何操作。

博世咨询说:“重要的是要注意潜在恶意攻击的可扩展性受到这种攻击需要对加密狗的物理障碍的事实受到限制。这意味着攻击装置需要在车辆的蓝牙范围内。“

至于注入恶意可以信息,该公司正在研究加密狗固件更新。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。