GeekPwn大赛预演自动驾驶攻防战,新基建安全不容小觑 马云、邹加怡……对于金融监管,他们这样看 精彩视界丨俄“联盟MS-16”载人飞船返回地球 冰岛一火山湖形如特朗普侧脸 宫斗丑闻、自相残杀! 三星家族豪门恩仇记: 一代奠基业, 二代争权势, 三代而终?丨光说 【落实“六稳六保·优化营商环境”】推进一站式服务 广西稳企利企促“活市” TA凭什么成为“非洲手机之王”? 21世纪的视角:抗美援朝战争启示录 【落实“六稳六保” 优化营商环境】列明清单服务企业 广西北海工业园区瞄准大目标争创最优营商环境 北京市疾控中心:近期如无必要 建议不要前往新疆喀什地区 安徽人防系统近半年来20多名干部被查 原中央党校副校长:中国制定五年规划过程体现对发展经济的探索 广西力推中国—东盟建筑艺术设计交流创新 书写中马友谊新的辉煌篇章 10位国际青年深入重庆乡村 用镜头展现多样中国 【2020·指尖城市】安徽芜湖“城市大脑”赋能长江治理:护长江水清岸绿 南京大学化学学科迎百岁华诞:50余位院士在此求学或任教 湖南:进一步推进县域学前教育普及普惠 辽宁新增3例境外输入确诊病例 均为“布里兹”轮印度籍船员 外交部:希望澳方多做有利于两国互信与合作的事 山西规范行业协会商会收费为企业减负 俄罗斯汉学家阿列克谢·巴拉诺夫——“为双方交往尽心尽力” 31省份新增境外输入确诊病例15例 新增无症状感染者19例 国家卫健委:做好罕见病防治工作对建设健康中国意义重大 原中央党校副校长谈“十四五”规划制定:关系到后面25年的现代化 白酒板块再现“喝酒”行情 洋河股份第三季度业绩向好 灵宝市国资经营公司成功发行2020年非公开发行公司债券(第二期) 财达证券为主承销商 中国金融衍生品行业峰会:场外衍生品业务或成新增长极 易纲:进一步扩大金融业开放是构建新发展格局的必然要求 中央企业区块链合作创新平台正式成立 高端海缆战略布局效益凸显 东方电缆前三季度净利同比增102.85% 中考体育测试将与语数外同分值 体育课真的要翻身了吗? 世界在建最大水电站!白鹤滩水电站地下厂房全线封顶 东西协作助甘肃“就业脱贫” 走向我们的小康生活:乡村更宜居 日子真舒心 南京和平论坛:倾听多元声音 搭建友谊桥梁 新疆喀什地区疏附县报告1例无症状感染者 青岛新增境外输入无症状感染者1例 包头钢铁(集团)原党委副书记孟志泉被开除党籍 内蒙古医科大学原校长杜茂林被开除党籍 外交部:平均每个美国人有100多个口罩来自中国 外交部驳斥蓬佩奥污蔑言论:不要成为逆时代潮流的孤家寡人 阅兵式上飘扬的“白云山团”战旗 背后有着这样的生死故事 内蒙古能源发电投资集团原董事长薛昇旗被双开 2021国考报名截止 最热岗位竞争超过“三千选一” 长三角(上海)互联网医院投入运行 江苏省委常委、政法委书记王立科主动投案接受审查调查 中国传媒大学联合多国智库等成立人类命运共同体海外研究中心 织密“法网”北京严打盗捕盗猎 张国瀛:七次迎接志愿军烈士回国 以最高礼仪接英雄回家 中国减贫成效为全球脱贫事业作出贡献
您的位置:首页 >股票 >

GeekPwn大赛预演自动驾驶攻防战,新基建安全不容小觑

2020-10-25 13:11:41来源:第一财经

“四五十年前的安全问题可以后打补丁,新基建下行不通了。”8月时举办的新基建安全大赛启动会上,邬贺铨院士提出了新基建安全相比传统安全的不同。新基建场景下实现安全前置,预演安全威胁,提早发现问题并解决尤为重要。

汽车作为人们移动的家园,与其相关的车联网、智能驾驶、充电桩占据着新基建的重要领域。在10月24日GeekPwn 2020 国际安全极客大赛上,在数字钥匙、自动驾驶雷达和充电桩的漏洞攻击中,选手们发现还有安全提高的空间。

全球首位获得谷歌安卓赏金的独立极客吴潍浠展示了一种低成本、小型化的升级版攻破方法,实现了自动驾驶汽车的雷达干扰,让自动驾驶“致盲”。

在挑战现场,司机在自动驾驶模式下保持汽车缓慢行驶。该选手利用小型、低成本的雷达干扰枪,实现了对自动驾驶汽车雷达系统更改和设备干扰,使汽车无法识别前方障碍物而及时启动碰撞预警和自动紧急制动系统,从而直撞前方障碍物。据悉,今年4月份该漏洞已提交至该汽车品牌,由于技术原因,目前仍在修复中。

现场评委“老鹰”对第一财经介绍,在正常情况下,自动驾驶汽车是使用毫米波雷达来识别障碍,雷达受到干扰,相当于汽车“被蒙住了眼睛”。因此,当前的自动驾驶仅能实现“辅助驾驶”功能,不代表安全驾驶。厂商也都要求使用“自动驾驶”功能时司机手不能离开方向盘。“开车时还是要保持注意力,自动驾驶只能放松脚部,不意味着可以打瞌睡,尤其是在夜间行驶的场景下。”

来自上海银基信息安全技术股份有限公司的白帽黑客战队利用特定技术对正在行驶中的低速汽车进行攻击也造成了汽车突然停止。

据了解,选手借助汽车后装OBD设备的逻辑漏洞伪造了远程指令,完成行驶中的汽车远程熄火、GPS追踪等危险操作。黑客甚至可以进行无差别攻击,影响不同品牌车辆。

据现场评委介绍,当攻击发生时,会影响附近安装此款OBD设备的所有车型的汽车。比赛结束两周内,GeekPwn会将漏洞细节提交给这款OBD盒子的厂商,并协助其进行修复。

银基战队的负责人对第一财经记者表示,原本OBD盒子的应用目的是起防盗作用,大多应用在租车场景中。在车身后安装这样一款设备,可形成一个电子围栏,超过了GPS地图范围,车子就可以实现远程熄火。但如果OBD盒子设备系统云端存在漏洞,黑客就可以利用这个漏洞进行反攻击。“如果场景发生在高速上,陡然间熄火是非常危险的。”银基战队的负责人说。

中国新能源汽车行业正蓬勃发展,充电桩作为重点领域之一也是新能源汽车最重要的基础设施。来自腾讯的Blade Team参赛队伍的“无感支付”式直流充电桩的漏洞攻击提醒人们其安全性不容小视。

在比赛中,‌Blade Team安全研究员模拟攻击者身份,仅需获得模拟受害者的车辆身份标识,并使用特殊设备连接“无感支付”直流充电桩与汽车,就能利用充电桩通信协议漏洞完成“盗刷”操作。

“目前新能源汽车的车辆身份标识多存在于车身外部,属于公开信息,也有很多黑产渠道会贩卖这类车辆数据,这种方法一旦被黑产掌握,有被大规模恶意利用的风险。”Blade Team高级安全研究员Nicky对包括第一财经在场的媒体介绍道。

当前,即插即充、无感支付成为当前充电桩行业的主流发展趋势,采用该技术的充电桩仅需在初次绑定环节对用户进行身份认证,充电时自动识别车辆身份标识,在充电完成后从绑定账户中进行相应扣款。

据了解,此次Blade Team发现的漏洞是国内首个充电桩行业安全漏洞,属于充电通信协议层面缺陷,采用相同技术方案的“无感支付”式直流充电桩均受其影响。目前Blade Team已通过GeekPwn官方向相关厂商提交漏洞细节,并将协助厂商进行修复。

Blade Team研究员同时表示,新能源汽车的普通用户无需过度恐慌。在厂商修复该漏洞前,尽量选择传统的二维码扫码等充电支付方式,即可规避不利影响。