新闻快讯
< >

JEEP有漏洞?美国团伙利用黑客工具偷了150辆牧马人

JEEP有漏洞?美国团伙利用黑客工具偷了150辆牧马人-E安全

据《华盛顿邮报》网站报道,美国司法部本周早些时候宣布,在一起与《速度和激情》情节类似的跨境汽车盗窃案中,墨西哥提华纳一家摩托车俱乐部的9名成员,被指控利用窃取的计算机代码和车钥匙设计,盗窃了150辆吉普牧马人汽车。

美国律师马克·康诺弗在一次新闻发布会上表示,被称作Hooligans的这个犯罪团伙,过去数年一直在圣地亚哥盗窃吉普汽车,把整车或零件偷运到墨西哥销售。这些被盗窃的吉普汽车价值450万美元(约合人民币3063万元)。

《华盛顿邮报》表示,据起诉书称,在获得汽车的车辆识别码前,Hooligans会对目标汽车进行数天的监视。掌握车辆识别码后,嫌疑人能够获得制作汽车钥匙的资料,以及对钥匙进行编程所需要的代码。汽车钥匙设计和代码存储在一个专有数据库中,但执法官员不清楚Hooligans是如何获得这一数据库访问权限的。

警方称,在调查过程中,他们了解到墨西哥卡波圣卢卡斯的一家吉普汽车经销商提出近20次复制钥匙的请求。

康诺弗表示,犯罪嫌疑人盗窃一辆汽车只需数分钟。在利用复制的钥匙进入汽车后,Hooligan成员利用一款手持式电子设备,把钥匙与汽车上的车载计算机进行配对,启动发动机,把车开跑。

虽然康诺弗没有提到车辆盗窃活动中使用的确切设备名称,塔夫茨大学计算机科学教授和安全研究人员凯思琳·菲舍尔(Kathleen Fisher)表示,这样的钥匙编程设备相对便宜,有些价格不到100美元(约合人民币681元),网上就有销售。

汽车公司或它们的合作伙伴维护存储钥匙信息的数据库,编程代码本身也没有什么特别之处。菲舍尔说,毕竟,如果钥匙丢了,合法的车主也需要这些信息才能复制新钥匙。但在这一案件中,数据库的完整性似乎存在缺陷。犯罪分子窃取信息的一个途径是潜入有访问数据库权限的网络中;另外一个途径是使合法用户获得信息,然后把信息分享给不应当获得它们的其他人。

专家表示,汽车大范围遭到攻击可能很快成为现实。《连线》刊文称,2015年,研究人员查理·米勒(Charlie Miller)和克里斯·瓦拉塞克(Chris Valasek)进行的展示表明,他们能通过无线方式控制一辆2014年款吉普切诺基汽车。研究人员能松开汽车刹车装置,引起传动系统故障,破坏发动机。

《华盛顿邮报》称,黑客工具很容易在网上传播,要修正普遍存在的软件缺陷代价高昂。菲舍尔说,汽车公司还面临向客户证明增加安全成本必要性的挑战。与动力和汽车内部空间相比,要在广告中宣传汽车的电脑安全性能也不容易。除来自监管机构或保险公司的全行业压力外,单个汽车公司可能不愿意增加安全投资,虽然汽车被劫持或攻击会带来严重威胁。菲舍尔说,“在宣传糟糕的安全的代价方面,我们做得不够好。”