2024年11月02日 星期六
昨天,360公司的安全團(tuán)隊(duì)補(bǔ)天平臺(tái)公布,比亞迪多款汽車搭載的云服務(wù)存在安全漏洞,在HackPWN安全極客狂歡節(jié)上,360安全專家還現(xiàn)場(chǎng)演示了利用該漏洞如何破解和控制汽車。
比亞迪云服務(wù)是部分比亞迪汽車搭載的服務(wù)、可通過(guò)手機(jī)和汽車聯(lián)動(dòng)的平臺(tái),能實(shí)現(xiàn)遠(yuǎn)程汽車控制(開(kāi)空調(diào)、解鎖、上鎖)、導(dǎo)航及定位、整車體檢、汽車上網(wǎng)、應(yīng)用商店、電話通訊等功能。比亞迪秦、思銳、唐、S7等多款車型都搭載云服務(wù)功能。
據(jù)補(bǔ)天平臺(tái)公布的漏洞信息,比亞迪的云服務(wù)在傳輸加密和訪問(wèn)控制方面存在安全隱患,可以實(shí)現(xiàn)未經(jīng)車主授權(quán)劫持控制會(huì)話、控制車輛、開(kāi)車門、鳴笛、啟動(dòng)車輛等功能。
據(jù)介紹,之前360就曾經(jīng)破解了特斯拉的系統(tǒng),以及奔馳、寶馬、奧迪等品牌汽車的鑰匙射頻系統(tǒng)。
對(duì)此,比亞迪回應(yīng)稱,360補(bǔ)天平臺(tái)公布的“比亞迪云服務(wù)可以實(shí)現(xiàn)未經(jīng)車主授權(quán)劫持控制會(huì)話,從而控制比亞迪汽車、開(kāi)車門、啟動(dòng)等漏洞”的描述有不實(shí)之處,此操作需要通過(guò)手機(jī)端木馬或其他工具捕獲用戶手機(jī)上云服務(wù)通訊密文數(shù)據(jù)包后才能實(shí)現(xiàn),相當(dāng)于在用戶的手機(jī)上把用戶的密碼盜取了。比亞迪認(rèn)為,只要云服務(wù)用戶確保手機(jī)不使用非法或木馬應(yīng)用,保證自己的信息不被惡意盜取,將不會(huì)受到影響。云服務(wù)近期將升級(jí)安全策略,對(duì)此種非法操作進(jìn)行屏蔽。(記者古曉宇)
