罗格斯大学和南卡罗来纳大学的研究人员发现,无线新车与轮胎之间的通信可以被拦截甚至伪造
尽管潜在的误用可能很小,但这种脆弱性表明,新车的安全软件开发缺乏严密性,计算机科学徐文源说。南卡罗来纳大学的助理教授是这项研究的共同领导,“如果没有人提到这种缺陷,那么他们就不会担心安全问题,”Xu说。阅读:如何从Windows PC中删除恶意软件]
研究人员将在本周在华盛顿举行的Usenix安全研讨会上发表他们的发现
研究人员测试的系统监测ea的气压在汽车上的轮胎。自2008年以来,美国已经要求这种系统应用于新车上,这要归功于在2000年有可能存在缺陷的费尔斯通轮胎争议之后通过的立法。欧盟将要求新汽车在2012年前拥有类似的监控系统。由于计算机化系统正在越来越多地用于汽车,像徐等批评者正在询问系统制造商采取了什么样的保护措施来防止此类系统中的漏洞,并知道漏洞和安全漏洞总是潜入所有软件中。
丰田受到美国的审查今年早些时候,法律制定者向汽车制造商询问软件缺陷是否会导致车辆无人驾驶的加速,丰田官员否认这一点。
有了这样的系统,“人们只是努力使事情先行,他们并不关心首次设计期间的安全或隐私问题,“Xu说,”轮胎压力监测系统(TPMS)由电池供电的无线电频率每个轮胎上的高级识别(RFID)标签,当通过电子控制单元(ECU)进行无线查询时,该标签可以响应轮胎的空气压力读数。研究人员发现每个传感器都有唯一的32位ID并且标签和控制单元之间的通信未被加密,这意味着它可能被第三方从40米远的地方拦截。
“如果传感器ID在路边追踪点被捕获并存储在数据库中,则第三方可以推断或证明司机已经访问过潜在的敏感位置,例如医疗诊所,政治会议或夜总会,“研究人员在与演示文稿相关的论文中写道,
这些消息也可能是伪造的。研究人员认为,攻击者可能用低压读数控制单元泛滥,反复发出警告灯,导致驾驶员失去对传感器读数的信心。研究人员写道,攻击者也可能向控制单元发送无意义的消息,令人困惑甚至可能破坏设备。“我们观察到,可以说服TPMS控制单元显示明显不可能的读数。在一个案例中,研究人员对控制单元进行了严重混淆,以至于即使在重新启动后,控制单元也无法正常运行,必须由经销商进行更换。
Xu表示,尽管可以通过轮胎跟踪某人ID,这样做的可行性会很低。她说:“有人不得不投资于将接收器放在不同的地点。”多个轮胎制造商也有不同类型的传感器,需要不同的接收器。该测试中的每个接收器的成本为1,500美元。
研究人员总结说,尽管如此,组件制造商可以采取一些简单的步骤来加强这些系统的安全性。通信可以被加密。此外,ECU应该过滤传入的消息,以便任何有意外的有效载荷都应该丢弃,这样它们不会破坏系统。
“消费者可能愿意支付几块钱来使他们的汽车安全,”Xu说。
Joab Jackson为
IDG新闻服务
报道了企业软件和通用技术突发新闻。在@Joab_Jackson的Twitter上关注Joab。 Joab的电子邮件地址是[email protected]