#1 楼
由于我不知道您的汽车型号,但是您似乎担心信息安全以及可能的攻击者选择了您的汽车这一事实,因此我假设您汽车中的USB端口并非仅用于供电。电话可以在此USB端口上执行任何操作,因为每个USB设备都可以将自己标识为任何设备(存储,键盘,网络,显示器等)。搜索错误的USB。
最关键的攻击媒介是汽车中的总线系统。 CAN是最广为人知的协议,但是还有其他一些基于它的协议,例如UDS(从安全角度来看仍然很薄弱)。您可以将其想象成汽车中的网络,所有组件都可以或多或少地相互限制。
以下是一些可能的情况:
USB端口可以双重用作维护端口,从而可以完全访问汽车总线系统。
汽车媒体系统可能存在漏洞,可以允许将特权升级到总线系统。 (通过设计,媒体系统应与总线上的关键组件隔离开来,但实际上所有供应商都不能这样做。)
如果您的汽车支持某种用于解锁和启动的无线功能,则可能是其中一部分
汽车可以用作攻击者设备和手机之间的桥梁(如果它通过蓝牙或WiFi与汽车配对),可以对手机进行某种攻击。
汽车媒体系统可能感染了针对您的智能手机或其他已连接设备的某种恶意软件。
也可能存在直接针对您汽车的恶意软件(例如勒索软件),但我真的希望该行业不会目前还没有。
只是偷偷摸摸地了解一些细节,或者由于某种原因而分散您的注意力。
仅举几个。然而。这是一个非常有趣的问题和攻击方案。也许我会给这个人100美元,只是为了知道他们的真正意图,以换取不立即打电话给警察的事情。
评论
#8:好老的USB杀手。数据线上的-220V电压对您的汽车无济于事。
– John Dvorak
16-4-9的7:31
选项7绝对是我的第一个猜测-分散您的注意力以进行盗窃是简单而普遍的。
–Rory Alsop♦
16年4月9日在8:33
“也许我会给这个人100美元只是为了知道他们的真实缩进”-嗯,所以如果我能提出一些听起来有些可疑的请求,可能是某种骗局,或者是无辜的,那么我就可以从你身上赚100美元。足够的不确定性让您感兴趣?听起来像是一场很棒的演出;-)
–史蒂夫·杰索普(Steve Jessop)
16-4-9在13:42
也许他的真正意图是为手机充电?
– gnasher729
16年4月9日在21:58
@BenjiWiebe:确实。对于那些希望成为考特妮的人,以及那些认为粗略的人不希望在分散注意力的情况下抢劫他们的人来说,它们通常被称为“ USB安全套”。或者,您可以断开USB扩展电缆上的某些引脚。但是我不随身携带,因为从我的USB数据端口为某些不信任的陌生人的手机充电的机会对我来说不足以证明这一努力的合理性。
–史蒂夫·杰索普(Steve Jessop)
16-4-10在1:04
#2 楼
无法研究车辆漏洞,我们无法真正告诉您。您的车辆的USB处理中肯定有某种自动播放漏洞。我们需要知道您的特定型号,然后我们必须去购买/测试车辆。之后,我们需要运行大量测试。但是,考虑到安全性是大多数开发人员的事后考虑,我想肯定是有可能的。
最重要的是,我不允许人们这样做。
评论
您还需要知道它运行的软件版本。甚至我的2006年模型车都没有这些奇特的功能(USB端口?真的吗?),但有时仍会进行软件更新。
–用户
16年4月9日在18:42
@MichaelKjörling那是哪辆车?不幸的是,2006年以来一辆仍在进行软件更新的汽车令人惊讶。
–AndréBorie
16年4月10日在22:47
我1996年的汽车很幸运能换油。电脑似乎工作正常。我通过卡带插槽接口运行简单的MP3播放器。
–user82913
16-4-11在1:50
@AndréBorie这是Volvo V702006。我可以肯定的是,我在2014年夏季为它提供服务时已对其进行了软件更新(但我很容易承认,我在发表之前的评论之前并没有真正查看过文书工作),在2015年夏季没有软件更新,并且尚未收到2016年的服务。 (是的,我疯了要花钱定期维修复杂的机器。)
–用户
16年4月11日在6:13
#3 楼
通过USB和其他汽车接口(例如立体声)进行攻击是现代汽车已知的风险。有研究表明,可以通过各种输入(包括娱乐系统)损害证明汽车的安全性。请考虑以下来自IT World的文章:
他们找到了许多闯入的方法。实际上,通过蓝牙,
蜂窝网络,恶意音乐文件以及经销店中使用的诊断工具
进行攻击,即使很难进行,< br Savage说。他说:“最简单的方法仍然是我们在第一篇论文中所做的:
插上汽车,然后再做。”上一篇文章的链接)描述了有关“意外加速”的一些研究。其中的一些例子包括能够执行以下操作,例如关闭制动器,关闭发动机,篡改车速表读数以及锁上车门。汽车。他们更有可能想要抢劫您,或者抢夺任何容易从仪表板/座椅上抢下来的东西,或者甚至试图偷走汽车本身。
评论
公平地说,我怀疑他们真的只是想给手机充电。大多数人不是罪犯。
–emory
16年4月9日在15:48
@emory但认真的说,善意的情况是什么?那个家伙把手机留在我的车里,在那里充满电,而我可能要离开几个小时。他如何取回电话?他必须在我的车旁等我,才能在三十秒钟内赶回我并开车离开。 -更糟糕的是:他可能几个小时都没有电话
–哈根·冯·埃森(Hagen von Eitzen)
16-4-9在15:52
@HagenvonEitzen一个诚实的假设是他只需要足够的费用就可以致电SO以接他。另一个真诚的情况是,他因手机电池没电而感到恐慌,他并没有真正想到您提出的实际问题。说他可能是出于真诚行事,并不鼓励OP同意要约。如果甚至有0.1%的可能性是骗局,则5美元是不值得的。
–emory
16年4月9日在16:48
@emory:X-Y问题的经典案例。那个第一个诚实但粗略的人应该给提问者5美元,让他打电话给他;-)
–史蒂夫·杰索普(Steve Jessop)
16-4-10在1:12
您应该至少记住您的SO和保释担保人的人数。
–JDługosz
16年4月10日在8:09
#4 楼
这取决于您使用的USB端口类型。如果您具有仅电源的USB端口(即点烟器适配器中的端口),则无法采取任何措施来攻击车辆。另一方面,如果USB端口是某些设备的数据端口,则漏洞可能非常广泛。在评估风险时,请考虑具有USB数据的设备的功能。例如,如果您只有带有USB数据端口的立体声系统,则只有立体声系统容易受到攻击。但是,如果您的数据端口允许您将设备连接到运行任何用于汽车的安全系统的计算机,那么风险就非常大。可能导致这些风险发生的确切漏洞将取决于您的计算机制造商和汽车制造商的策略,包括更新策略,操作系统漏洞等。连接时请务必谨慎。连接到汽车主计算机的USB数据端口的奇怪设备。
评论
请注意,在现代汽车中,OEM立体声可以完全集成到汽车计算机系统中。
– Peter Green
16年4月9日在1:50
谢谢。我认为,售后立体声系统可能不会如此集成到汽车的计算机系统中。
–布伦特·柯克帕特里克(Brent Kirkpatrick)
16-4-9在1:59
“如果您只有电源USB端口,那么就无法采取任何措施来攻击车辆”-过电压?
– John Dvorak
16-4-9的7:33
@JanDvorak说实话,可能发生的最坏情况是炸毁了充电适配器。我怀疑像电话这样的小东西是否有足够的功率来实际超过汽车的电池并通过更轻的端口提供-12V的电压。
–AndréBorie
16-4-9的12:55
它可能是一种使很多本来非常聪明的人浪费大量时间进行投机和争论而不是做任何有用的事情的设备,从而降低了经济效益。但这只是我的推测。小时候,我会问哥哥“那是什么?”他会回答:“这是为了让像您这样的人提出愚蠢的问题。”因此,这确实是一个古老的漏洞利用,我们应该一直都知道。 (如果您有一个哥哥。)
–user82913
16年4月11日在1:44
评论
我只给他提供我数量惊人的电池之一!在电话关闭的情况下,您不能通过打火机端口免费进行此操作吗?
这听起来像是劫持汽车的设置。正如@Pranab所建议的,较轻的端口将是最佳选择。明显的预防措施是在充电时仅将窗户保持一半打开,并且将门锁上。
似乎他只是想通过不太先进的方法来偷车。
我认为社会工程学比技术工程学更重要