丰田证实安全漏洞存在,车载安全开启矛与盾之争!
日前,腾讯旗下科恩实验室指出,目前在售的某些雷克萨斯及丰田车型存在安全漏洞。对于某些搭载了特殊多媒体单元的雷克萨斯和丰田车型,黑客能够利用已识别的蓝牙安全漏洞运行部分车载功能。
随后,丰田证实了漏洞的确存在,单这些安全漏洞尚且无法控制车辆方向盘、制动或油门踏板。随后,针对存在的车辆安全漏洞,丰田汽车采取了相应对策,车主只需升级软件,即可修补。
写在最后:
曾经互联网行业的3Q大战,还记忆犹新。如今,360旗下的汽车安全实验室以及腾讯旗下的科恩实验室,在汽车行业又相遇了。前两年,这两家实验室对特斯拉穷追猛打,挖出不少安全漏洞的猛料,当然也拿了一些奖金慰劳团队。如今,一家已经搞定了奔驰(已经牵手合作),一家估计很快可以搞定丰田。
汽车网联化才刚刚开始,随着汽车由传统硬件驱动变为软硬结合,那么这对矛与盾的斗争将永无止境,相信未来在汽车安全软件领域也会诞生不少巨头,毕竟这块蛋糕足够大。
本文来源于汽车之家车家号作者,不代表汽车之家的观点立场。
因供应商遭受网络攻击 丰田宣布明日起在日16家工厂停产
易车讯 我们从外媒获悉,因旗下一家提供塑料零配件的供应商遭受网络攻击,丰田汽车宣布将从3月1日起暂停日本16座工厂的生产。据悉,这将影响到约1万辆汽车的生产,约占丰田国内月产量的5%。与此同时,丰田已在研究3月2日后能否恢复正常运营。
本次遭受网络攻击的零配件供应商为小岛工业(Kojima Industries)。据小岛工业内部员工的爆料:”我们确实受到了某种网络攻击,目前遭受损失的程度还在统计中,不过首要任务是尽快恢复丰田的生产系统。”
这已不是丰田汽车第一次遭受大规模网络攻击,早在2019年,丰田汽车就遭到黑客攻击,旗下多家在日子公司约310万用户信息受到影响。
速8里黑客怎么控制汽车
《速度与激情8》最近在国内热映,引发各路影迷广泛讨论。在作者看来,影片涉及到的黑客技术主要有两个——天眼(The Eye)和僵尸车队(Zombie Cars),这两个东西其实和现实当中两项比较前沿的安全技术——汽车及物联网安全和攻击者溯源相关。雷锋网摘取了作者针对僵尸车队的技术解读部分并进行了编辑。
▲ 被激活的“僵尸车”
僵尸车队——汽车及物联网安全
首先我们先来说说智能汽车和非智能汽车,智能汽车其实就可以当做一个物联网设备来解决,也就是说智能汽车的攻击面和其他IoT设备的攻击面是差不多甚至更多的。
其实汽车和计算机一样,内部通信依靠总线进行,汽车中的总线就是CAN总线。
CAN网络是由以研发和生产汽车电子产品著称的德国BOSCH公司开发的,并最终成为国际标准(ISO 11898),是国际上应用最广泛的现场总线之一。CAN总线协议目前已经成为汽车计算机控制系统和嵌入式工业控制局域网的标准总线,同时也是车载ECU之间通信的主要总线。当前市场上的汽车至少拥有一个CAN网络,作为嵌入式系统之间互联的主干网进行车内信息的交互和共享。
CAN总线的短帧数据结构、非破坏性总线仲裁技术、灵活的通讯方式等特点能够满足汽车实时性和可靠性的要求,但同时也带来了系列安全隐患,如广播消息易被监听、基于优先级的仲裁机制易遭受攻击、无源地址域和无认证域无法区分消息来源等问题。
特别是在汽车网联化大力发展的背景下,车内网络攻击更是成为汽车信息安全问题发生的源头,CAN总线网络安全分析逐渐成为行业安全专家聚焦点。如2013年9月DEFCON黑客大会上,黑客演示了从OBD-II控制福特翼虎、丰田普锐斯两款车型实现方向盘转向、刹车制动、油门加速、仪表盘显示等动作。汽车车内CAN网络安全问题当前主要通过安全漏洞的分析和各种攻击手段进行挖掘,因为汽车车内网络安全的脆弱性和威胁模型的分析尤为关键。
这么说来,只要抓住了CAN总线,我们就相当于是抓住了汽车的神经,也就能对汽车进行控制。
▲ 影片中自动驾驶状态下的汽车
攻击CAN总线会引发什么后果?
第一个后果是失控:CAN总线主要应用之一是支持主动安全系统的通信。车辆行驶的时候,主动安全系统将是一把双刃剑,它们确实发挥着不可替代的作用,但是考虑到主动安全系统的可操作和有能力调整正确的输入,也会引起驾驶者对主动安全系统的完全依赖。因此一个突然的故障会引起不可预知的危险后果。
为了引发一个危险的条件,恶意攻击者将会在CAN总线中注入错误帧,让主动安全系统失灵。例如,在牵引力控制系统里安装一个攻击,会造成车辆失去控制等危险。如果攻击者的目标是自适应巡航系统,将会导致汽车不会按驾驶者预期的那样停止。
此外,为了最大可能地伤害汽车驾驶者,假如数据可以直接从CAN总线上获取,攻击者可以根据特定的条件,触发一个DoS攻击。例如汽车某一特定速度、特定的节气门百分比或者是某一确切的GPS位置等。
第二个后果就是勒索:一个恶意攻击者在CAN总线中某一目标帧中设置攻击,这将会导致驾驶者无法控制节气门的位置从而不能让汽车移动。尽管这些不一定会诱发危险状态,但一个以金钱为目的的攻击者,将会利用车载娱乐系统的漏洞,迫使汽车停止,并在娱乐系统屏幕上显示消息,让车主为了重新获取汽车的操控权而去付赎金。
第三个可能是盗窃:现在,大部分昂贵的汽车门锁是通过CAN连接到ECU来控制,通常通过OBD-II端口连接。隔离负责控制锁/解锁车门的数据帧比逆向主动安全设备更简单、更快捷。因此,攻击者可以在几分钟左右隔离负责锁车门的数据帧,编写他的设备程序-特定帧的DoS攻击,然后把设备插入到OBD-II的接口,阻止车门锁住。对于一个攻击者来说,这个攻击结果是可能的。通过低成本的花费就能进入到车内,随后就能够窃取车内任何贵重物品。
长期以来,几乎整个汽车界都有这样的共识:CAN总线是没法保护的。
两方面的原因,其一,ECU的计算处理能力不足;其二,车载网络的带宽有限。有些LIN总线使用的MCU甚至是16bit或8bit,但AES使用的加密算法只能处理16字节区块的数据,这意味着很多时候LIN总线根本就是处在“裸奔”的状态。
所以汽车安全未来肯定是炙手可热的一部分。
丰田将暂停所有日本工厂的生产,此举的背后有哪些原因?
据传,原因是丰田的供应商遭到了网络攻击,所以才宣布从3月1日开始暂停日本所有工厂的生产。
丰田曾在一份对外的声明中表示,由于日本本土供应商的系统故障,他们决定在3月1号暂停日本14家工厂的运营生产。据悉,这14家工厂共有28条生产线。小岛冲压工业是此次遭受网络攻击的公司之一,它是丰田的供应商,现在已经确认该公司的服务器中毒,并存在很多危险信息。这些信息有可能是具有强攻击性的病毒,也非常容易传染给其它电脑。这家公司已经报警,并抓紧时间抢修设备。据日本媒体报道,现在不清楚这家工厂到底为何受到网络攻击,幕后黑手是谁也不知道。事件除了会对日本本土公司造成负面影响,对海外生产也会有一定影响。
据悉,这是丰田首次因供应商遭到网络攻击而导致停产。有日本专家透露,从目前的情况来看,受到网络攻击的风险还在升高。另外,有业内人士称,遭遇黑客攻击,导致供应链出现问题的情况实属少数,一般情况下日本都是由地震或者海啸等原因,才导致供应链出现问题。这肯定会给日企带来负面的影响,应该及时采取提高警备水平、升级无服务器、对软件进行杀毒、提高电脑防火墙性能等措施。
除了此次事件,由于全球疫情一直处在不断爆发,没有完全好转的局面,加上汽车行业曾遭遇全球芯片短缺的事件,所以丰田这两年的生产也是断断续续。虽然他们一直在做最大的努力,试图在2022年实现全面生产,但意外总是不断降临。在各种不确定因素的影响下,丰田减产也是意料之中。
丰田日本14家工厂全部停产,是否会间接性影响中国市场?
短期内,14家工厂停产很难对中国市场造成影响。
日本丰田公司具备了非常强大的影响力,并且,它在世界各国建立了销售平台。可是,为丰田公司提供零部件及关键设备的小岛冲压工业公司却面临着网络攻击。根据相关媒体报道的内容,该公司的网站疑似被勒索病毒攻击。事情发生后,小岛冲压公司立刻进行报警,网站正在进一步的修复中。就目前的情况来看,日本丰田14家工厂全部停产,包括28条生产线。
网络病毒也会影响公司发展
许多企业为了进一步保障关键技术与网络安全,他们都会邀请专业的工作人员设计公司网站。工作人员会安装各种各样的防护工具,从而减少病毒与黑客的攻击。事实上,网络病毒攻击公司网站也会影响公司正常发展,尤其是信息化十分发达的今天。众多企业依靠优质的网络体系获得大量的订单与影响力。当公司网站崩溃后,该公司的生产和供应也会发生问题。
小岛冲压公司被病毒攻击是导致日本丰田公司工厂停工的主要原因
一辆汽车从设计到生产需要多个步骤与零件,如此一来,国际间的公司就会进行相互合作。某些公司为汽车企业提供系统支持,某些公司为汽车公司提供零部件,而小岛冲压工业公司刚好属于后者。可是该公司的网站却遭到病毒攻击,无法保持正常的运行,丰田间接受到影响。与此同时,相关媒体也对此进行了采访,丰田公司表示:短期内,日本丰田工厂停产不会对中国市场造成影响。
总的来说,全球化发展已经成为一大潮流。当某一个地区的公司或工厂发生停工后,其他国家的产品供应和销售也会受到影响。从目前的情况来看,我国市场中的丰田汽车销售充足,即便日本14家丰田工厂停产,也很难对中国市场造成影响。
汽车实现自动驾驶将对我们的生活造成什么影响?
创新总会改变社会,但是很少会有创新像自动驾驶汽车(AVs)这样,对我们的生活产生巨大影响。作为 Lyft 的早期投资者,我的 Mayfield 团队对创新如何影响交通运输有着浓厚的兴趣,但我们也有着以人为本的技术变革观。
这就是为什么我们与汽车生态系统的主要参与者,就自动驾驶车辆对未来的影响举行一系列公开讨论的原因。讨论组包括来自 Lyft,Peloton,Tesla 和 Zoox 等创新型公司的企业家; 来自宝马,奔驰,日产和丰田等公司的自动汽车创新者; 来自博世(Bosch)等技术开发商的参与者; 还有一位旧金山市政交通管理局的主要立法者。
下面是我们讨论产生的一些主要结论。
告别汽车所有权, 迎来运输服务 (TaaS)
美国大约有 2.53 亿辆汽车和卡车,它们有 95% 的时间是停放着的。这相当于一个康涅狄格州那么大的停车场里面停满了未使用的汽车。
这种情况应该得到改善,这就是为什么像 Lyft 这样的公司在 AV 上投入数百万美元的原因。但是它的意义远远不止是用人工智能车取代人类驾驶者。
多数人认为汽车将变成共享资产,众多汽车拥有者将成为过去。其中可能的例外情况是一些需要为车辆配备特殊配件的人,如配备自行车架,婴儿座椅或残疾人膳宿设施等。汽车拥有量的下降可能对汽车业乃至整个社会产生深远的影响。
货运业将永远不会相同
全自动驾驶车辆交付货物可能会远早于用于乘坐的自动驾驶汽车的实现。这就是为什么第一个受 TaaS 影响的产业可能是商业配送和长途运输。
今天, 很少有货主直接租用卡车;相反,他们聘请经纪人为他们服务。这导致像 Uber Freight 这样的网络经纪的兴起。由于自动化和有效的实时数据, AVs 将进一步加速经纪人的崛起。
随着人类的疲劳不再是一个影响因素,卡车可以运行全年全天地运输,从而更快的运输货物。它们可以聚集在最需要的地方, 从而实现更高效的调度。天气,交通和路况的实时数据可以优化卡车的路线,速度和燃油效率。AVs 甚至可以淘汰掉许多仓库,货物可以只储存在卡车里,直到到达目的地。
规模经济表明,AV 将为大公司提供更大的优势,并可能导致行业进一步整合。这可能会扰乱美国经济的一个重要组成部分。
自动驾驶车辆将首先出现在亚洲大城市
完全自动驾驶汽车何时会成为标准,它将首先发生在哪里?我们讨论小组的共识是:人口密集的特大城市。在那里,交通拥堵已经成为影响生活质量的严重障碍。这最快有可能在 2025 年发生。
原因何在?当汽车是共享资源时,我们将需要更少的汽车,这将减少交通流量。此外,汽车到汽车(car-to-car)的通信将允许 AVs将车距拉的更近,这将实现更窄的车道和更快的交通流量。这可能会改变城市基础设施的最终设计和管理方式。
但是,这种现象更可能最先发生在中国的特大城市或新加坡-这要归功于其众多的人口和专制政府 -而不是伦敦,纽约或旧金山等地。
安全和监管问题可能会带来阻碍
有几个因素可能会减缓全自动驾驶汽车的扩张速度。高度公开的涉及 AVs 的死亡人数可能会使公众舆论对它们不利,即使在统计上它们比人类司机安全得多。
另一个阻碍采用 AV 的因素是网络安全 - 没有人希望一个以 65 英里/小时的速度行驶的 2000 磅重的物体,受到黑客的控制。AV的安全问题距离解决还有很长的路要走。
但是,最大的阻碍可能是来自监管方面的担忧。我们的团队认为,一些监管机构对 AVs 能够减少拥堵,提高环境质量,或为所有公民提供更好的商品和服务的说法表示怀疑。
美国能源部关于 AVs 对环境影响的预测都在地图上 - 从燃料消耗减少 90% 到增加 250% 不等。
总而言之:随着数十亿美元的公共和私人投资涌入到自动驾驶技术中,这可能是交通运输的亨利·福特(Henry Ford)式时刻。我们的 Mayfield 团队认为,关注这个时刻很重要:要确保公司以改善人类生活的目的来实现自动化运输。
集在最需要的地方, 从而实现更高效的调度。天气,交通和路况的实时数据可以优化卡车的路线,速度和燃油效率。AVs 甚至可以淘汰掉许多仓库,货物可以只储存在卡车里,直到到达目的地。规模经济表明,AV 将为大公司提供更大的优势,并可能导致行业进一步