拉斯维加斯 – 上次我们遇见Charlie Miller和Chris Valasek是在卡巴斯基实验室安全分析师峰会上，当时讨论了如何保护汽车免受一系列的攻击（他们正在开发中）。昨天，这个”二人组”在内达华州拉斯维加斯举办的Black Hat安全大会上又一次出现。会上，他们又带来了更广泛的最新研究成果，即针对不同车型的各类共计。 从一开始，来自推特的Miller和IOActive公司的Valasek就致力于打造一款类似于入侵检测系统的反病毒软件，可阻止各种他们自己开发的各种独特攻击，包括：禁用刹车系统、开启全自动倒车系统以及在行驶中让汽车猛地冲向一边等。 更令人感兴趣的是，他们对自己开发的攻击方式还不断进行改进。就在一年前他们首次公布这些研究成果时，所有的攻击方式都基于本地操作。换句话说，Miller和Valasek必须在后排座椅位置用笔记本电脑接入之前”已做过手脚”的丰田普锐斯后才能控制该车的一些功能，使得参与测试的记者则根本无法驾驶失控的汽车。 而现在，Miller和Valasek新开发出的攻击方式则是通过远程操作进行的。他们不再需要将笔记本电脑接入汽车系统，也无需事先在修车厂对汽车做好手脚。此类新型攻击利用了类似蓝牙的无线通信协议中漏洞，通过访问经过车载计算机系统的传输讯息并最终得以完全操控汽车。 “相比于TPMS漏洞利用程序，更多的黑客擅长编写网页漏洞利用程序。许多黑客都会编写恶意应用或使浏览器弹出广告。如果你的刹车或转向装置也在同一个网络的话，那情况就有些糟糕了。” 会上，他们演示的一部分内容是关于不同厂商和车型的安全性讨论，在研究人员发布对奥迪、本田、英菲尼迪、Jeep、道奇和其他品牌车长达95页的检测报告后，我们将为您带来更多的相关报道。 Miller是这样解释问题的关键的，入侵一部汽车虽然可能看起来有些新奇和与众不同，但事实上却与传统的网络入侵并无太多差异。不外乎先找到漏洞，然后再加以利用。但为汽车打补丁比浏览器打补丁要麻烦得多。 Valasek进一步解释道，为汽车打补丁之所以价格高昂，原因在于汽车厂商不仅需要自己花钱制作新补丁，还需要通知客户，让他们依次前往经销商处进行软件更新。 “当漏洞利用程序出现，要修复每一名车主的漏洞将十分困难。”Valasek说道。 #BlackHat安全大会：@0xCharlie和@nudehaberdasher目前#远程入侵汽车并开发类似反病毒软件的保护程序 针对最新车型的可能遭入侵功能可以列出一长串名单；有些比较有趣，有些则让人恐惧。可能将被利用的功能有：全自动倒车系统、主动车道控制、预碰撞系统以及自适应巡航控制，所有这些都需要在传感器和刹车，加速或转向装置之间存在一定级别的通信，通常是通过蓝牙或另一些无线电讯号发送的。网络犯罪分子更”偏爱”的功能还有：被动反盗窃系统、轮胎压力监控系统或远程无钥匙门控。然后，研究人员解释道，后面这些功能的受攻击范围有限，原因在于其中没有太多数据交换或只有近距离才能通信。 由于蓝牙功能、无线电数据系统和telematics系统允许使用蜂窝或Wi-Fi功能，显然扩大了汽车受攻击的范围。随着车内应用和其他网络连接功能的越来越普及，相关情况将变得更加糟糕。 “相比于TPMS漏洞利用程序，更多的黑客擅长编写网页漏洞利用程序。许多黑客都会编写恶意应用或使浏览器弹出广告。如果你的刹车或转向装置也在同一个网络的话，那情况就有些糟糕了。” 请在这里或访问Threatpost继续关注更多有关Black Hat安全大会的报道。