博世发现智能手机应用程序安全威胁后推出补丁
在Argus Cyber Security的研究人员发现一个可以控制车辆通讯的漏洞之后,Robert Bosch将为其售后连接加密狗和智能手机应用程序发布补丁。
总部位于以色列的网络安全公司Argus发现了博世Drivelog Connector软件狗和相应的智能手机应用程序之间的身份验证过程中的漏洞,该软件允许驾驶员检查车辆诊断并跟踪油耗和驾驶行为。
利用这一弱点,研究人员在他们的实验室中进行了仿真,演示了如何通过蓝牙连接将命令发送到汽车,然后在停车场中行驶的车辆上重复执行该命令。在这些测试中,Argus能够发送一条消息,迫使车辆停车。
阿格斯没有使用在公共道路上行驶的车辆来测试漏洞,而是利用了模拟。这家网络安全公司立即在一次披露中告知博世黑客入侵,允许供应商立即发布修复程序。供应商正在跟进补丁程序,以防止类似的通信攻击。
Argus首席技术官Yaron Galula在一份声明中说:“博世的发现表明,即使是由业内领先者设计的基于加密技术的解决方案也不是万无一失,而且需要多层防御才能有效地保护车辆免受网络威胁。”
博世表示,它欢迎外部安全研究人员的合作,并允许任何人向其产品安全事件响应小组报告漏洞。如果内部对问题进行了验证,则供应商将发布公共建议并确认最初报告该问题的一方。
汽车制造商还认识到需要共享信息以防止网络攻击或在问题发生时立即解决。
特斯拉(Tesla Inc.),通用汽车(General Motors)和菲亚特克莱斯勒汽车(Fiat Chrysler Automobiles)运行“漏洞赏金”程序,奖励发现并报告其车辆或网站存在漏洞的黑客。2015年,汽车制造商和供应商组建了汽车信息共享和分析中心,共同研究汽车网络安全的最佳做法。