今天上午10点开始,受360“Hack Pwn2015”安全极客狂欢节黑客破解SHOW影响,多家所涉公司将云服务系统暂时关闭,其中包括汽车领域的比亚迪。下午2点左右,360网络安全攻防实验室资深安全技术顾问刘健皓称,由于比亚迪已经将云服务关闭,所以现场破解比亚迪秦的原计划搁浅,“从这件事可以看出比亚迪对我们的态度”。下午3点左右,比亚迪官方向车云菌证实,秦的云服务系统确实已经关闭,原因是检测到车辆被拆解或完整性被破坏。一位不愿透露姓名的知情者透露,此次比亚迪关闭云平台事件确实和360“Hack Pwn2015”有关,此前360曾在非公开场合破解过比亚迪秦,且试图和比亚迪达成某种层面上的合作,但比亚迪对此没有表示出太大的兴趣。
“Hack Pwn2015”现场的比亚迪秦
事发:比亚迪关闭云服务应对360黑客破解
今天上午10点,360“Hack Pwn2015”安全极客狂欢节在北京举行,关于O2O业务、智能交通、智能娱乐、智能终端、智能生活的设备成为HackPwn关注的五大类智能设备。车云菌发现,作为智能汽车的代表,一辆比亚迪秦和一辆Tesla Model S不幸“中招”,被360方面选中,并作为破解SHOW的演示车型。根据原定计划,比亚迪秦的破解SHOW被定在下午1点半,包括刘健皓在内的几名工程师将仅通过一台笔记本,在不拆车的情况下,以尽可能快的速度完成包扩寻车、解锁、着车在内的一系列汽车破解动作。车云菌从不同渠道获悉,比亚迪官方对此次破解非常关注。不过,当破解SHOW开始时,360方面发现比亚迪已将相关云服务停用,导致破解无法继续。可以佐证的是,当刘健皓拿出手机打开比亚迪云服务的手机APP时,页面显示内容为“登录失败,服务异常”的字样。刘健皓称,360其实在上午就发现比亚迪已经将云服务关闭了,并且在车主端的说法是“服务需进行升级”,这一方面表达了比亚迪对360的态度,一方面也表达了比亚迪对自己产品存在问题的意识。上述知情人向车云菌透露,这种因黑客潜在攻击而主动关闭云服务的行为在车企中非常罕见,因为云服务停用会导致所有比亚迪秦的车主在该时间段内都受到影响。
回应:云服务平台关闭因检测到车辆被拆解
下午3点左右,车云菌从比亚迪官方证实,秦的云服务平台确实已经关闭,原因是“云服务系统检测到车辆被拆解或完整性被破坏,为了用户的安全和信息安全,系统自动关闭了通讯通道”。
比亚迪官方向车云菌提供的一份名为《关于比亚迪车辆云服务控制劫持漏洞声明》显示,已经知晓360漏洞平台曝光比亚迪云服务破解事宜,但此操作是通过物理拆车或手机端木马等其它工具捕获用户手机上云服务通讯密文数据包后才能实现。因此,只要云服务用户确保手机不使用非法或木马应用,保证自己的信息不被恶意盗取,将不会受到影响。另外,比亚迪自主研发的云服务均已经过反复安全测试与验证,且会不定期的进行服务器系统升级,对非法数据包攻击有针对性的防御处理,因此可以保障用户安全。不过,车云菌在现场看到,一辆被贴满LOGO的比亚迪秦仅仅被打开了发动机舱盖,并没有发现被物理拆解的迹象。
背景:智能汽车安全隐患已从虚拟走向现实
车云菌曾现场目击黑客现场破解,将汽车任意摆布的情况,且记忆犹新。关于对该类黑客破解事宜的防范话题,今年来也不绝于耳。例如,刘健皓就曾发表出题为《智能汽车安全威胁分析与建议》的技术分享,指出智能汽车存在的安全隐患正从虚拟向现实世界扩散,应当受到足够的重视。无独有偶,在现实层面,近日通用、宝马、奔驰、克莱斯勒、Tesla均被曝出遭遇黑客袭击和破解的实际案例,例如白帽黑客Samy Kamkar用一个叫做Ownstar的小工具打开了通用Onstar的手机应用RemoteLink的安全防线,成功获取到了车主的验证信息并远程控制了车辆的点火、解锁功能。此次360“Hack Pwn2015”现场,著名黑客会议SyScan创始人Thomas Lim、车联网安全公司VisualThreat创始人兼CEO严威等专家悉数到场。根据360官方介绍,“Hack Pwn”希望吸引更多白帽子黑客专注于智能硬件,帮助厂商发现并解决存在的漏洞。不过,互联网公司和车企在该领域的合作,想真正落地,目前来看仍需要一定时间。