连接后显示有两名黑客远程侵入上周,菲亚特克莱斯勒(Fiat Chrysler)利用软件漏洞让一辆行驶中的吉普(Jeep)无法动弹有几款吉普、道奇和克莱斯勒的车型装有被黑的Uconnect软件。然而,他们发布补丁的方式可能会让该公司的客户面临更大的风险。
菲亚特克莱斯勒并没有简单地将软件补丁视为传统的召回(即要求他们去服务中心并请专家进行修复),而是将一个u盘邮寄给受影响汽车的车主。在那里,车主可以将USB驱动器插入汽车的USB端口,以修补软件漏洞。对于车主自己可以解决的问题,这似乎是一个方便的召回方式。
然而,任何有网络安全经验的人都知道,这为黑客打开了一个巨大的程序窗口,他们可能倾向于利用这个漏洞来控制汽车。雷声公司Websense的首席安全分析师卡尔•伦纳德表示,这创造了一个简单的社会工程机会,并在USB驱动器中使用了一种众所周知的易受攻击的分发方法。
“菲亚特克莱斯勒决定直接向客户发送u盘以修补最近的漏洞,这在安全上无异于向公牛挥舞红布,”伦纳德说。“黑客们非常擅长在危机时刻利用优柔寡断和社会工程战术,他们可能会利用这个USB修复机会来获取邪恶的利益。”
对于这些汽车的车主来说,如果他们成为黑客的目标,试图修补安全漏洞的努力可能会事与愿违。
伦纳德补充说:“例如,(黑客)可以用自己伪造的字母和u盘来模仿更新,这让他们可以启动多种现实生活中的威胁场景,包括撞车或偷车。”“这甚至还没有考虑USB补丁是否正确应用,不会对车辆的安全操作产生任何负面影响的不确定性。”
考虑到菲亚特-克莱斯勒(Fiat Chrysler)也有同样的遭遇,这一切似乎尤其愚蠢在其网站上提供更新下载,并向其经销商提供服务。因此,邮寄预装USB设备从一开始就不是真正必要的。