前段时间,有不少公司瞄准了汽车上的车载诊断接口OBD-II,开发了不少OBD盒子。它们能让普通汽车联网,帮助车主了解燃油使用量,甚至通过研究驾驶习惯,帮助减少保险开支。但有一项研究表明,一些OBD盒子可能令汽车被轻易入侵。
加州大学圣地亚哥分校的研究人员在一辆雪佛兰科尔维特汽车上安装了OBD盒子后,能通过向特定的手机号发送短信,来取得车辆控制权。在入侵后,他们能使用雨刷和刹车,甚至在低速时让刹车失灵。
这一研究也再次提醒我们联网的汽车会有多不安全。此前雷锋网曾报道,两位黑客在试验中利用“零日漏洞”,远程通过车载娱乐系统控制了一辆切诺基吉普车。而特斯拉的Model S也曾被曝存在漏洞。
不过之前的漏洞都是以车载娱乐系统为跳板,远程控制汽车,而利用OBD盒子则可以直接入侵汽车。而且这一漏洞并不仅存在雪佛兰科尔维特汽车上,而是任何使用了不安全的盒子的汽车都存在这种风险。
试验中使用的盒子来自法国公司Mobile Devices,并由保险公司Metromile分售。这些给用户的盒子都处在“开发者模式”,有相同的密钥,而且储存方式并不安全。一旦一台设备被反向工程破解,其它的也能被入侵。另外,这些设备还能收取和执行短信指令,并不需要验证。
现在,Metromile是研究人员唯一测试过的产品,其它盒子可能更安全,也可能同样存在风险。但鉴于他们一下就命中靶心,估计同类产品的安全性堪忧。下次再使用OBD盒子时,作为车主的你,恐怕得多留个心眼了。