汽车的CAN协定遭爆安全漏洞,可让骇客关闭安全气囊或感应器
趋势科技于本月揭露 ,受到汽车制造商重用的控制器区域网路协定含有一安全漏洞,可带来阻断服务攻击,而使车上的安全气囊或停车感应器失效。
在1986年正式发表的CAN协定规范了包括停车感应器、安全气囊、主动安全系统、防煞车锁死系统与车载系统之间的通讯与互动标准。不过,最近趋势科技发现了该协定的设计含有一个安全漏洞,将允许骇客切断基于CAN的系统功能,幸好骇客必需实际接触车辆才可能实现攻击。
美国国土安全部旗下的工业控制系统紧急应变小组已提前取得了该研究报告 并于7月提出警告 。根据ICS-CERT的说法,CAN协定不只应用在汽车产业,也被广泛应用在关键制造商、健康照护产业与交通系统。
由于该漏洞属于CAN协定的设计漏洞,因此现阶段只能纾缓而无法完全或立即被修补。其攻击可能性则视CAN被部署的方式与OBD-II传输埠遭存取的难易度而定,例如ICS-CERT便建议汽车制造商应限制OBD-II的存取能力。
然而,趋势科技警告,就算该漏洞必须要可实际碰触汽车才能被开采,但这仍然是个可能危及生命安全的严重漏洞,而且,在共乘或汽车租赁成为主流之后,将让许多人得以接触同一部车,进一步扩大了该漏洞的安全风险。