脆弱的支持使IVI系统面临被黑客攻击的风险

文章作者:Julien Happich

对于汽车制造商来说，通过智能手机将可信的第三方应用程序与车载信息娱乐(IVI)系统集成并不是没有先例的，通常是通过两个应用程序——一个在智能手机上运行，另一个在与汽车CAN总线相连的IVI上运行。

“在多大程度上是这些应用程序,协议和强调新易受攻击者可能实现增益控制驱动的智能手机吗?”问了领导的研究小组达蒙真品,助理教授,纽约大学计算机科学与工程经脉工程学院。

研究人员将他们的努力集中在一个IVI系统上，该系统包含在一家主要汽车制造商的至少一辆2015年的车型上，他们发现，基于公开可用的信息，对MirrorLink协议的残余支持可以很容易地启用。然后他们开发了一个概念证明的恶意智能手机应用程序，并能够利用在IVI上的MirrorLink实现中发现的堆溢出漏洞。

这些漏洞,他们声称,可以允许攻击者获得特权进程的控制流执行新和他们的观点是,同样的漏洞可以被攻击者利用,控制驱动的智能手机,发送恶意车辆内部的can总线上的消息。

研究人员写道，目前，MirrorLink默认情况下并没有启用，需要一个物理USB连接，这需要在黑客入侵之前做一些准备。

但是IVI硬件包括一个802.11适配器，而且在未来，MirrorLink可能会支持Wi-Fi作为替代链路层协议。他们担心，如果Wi-Fi连接成为标准的一部分，它将扩大远程攻击的范围，攻击目标车辆方圆100英尺内，或者那些能够控制车辆附近支持802.11标准的设备的人。

这是在汽车制造商计划向更大的应用开发者开放其IVI应用平台的背景下发生的。

调查结果最初是私下向相关汽车制造商披露的，而有关黑客攻击的关键细节没有在推迟发布的报告中公布。这篇文章没有提到任何名字，因为MirrorLink已经被汽车制造商广泛采用，文章中披露的漏洞代表了一个系统性的问题，可能会影响许多使用应用程序的IVI平台的制造商和供应商。