大等汽車存被盜軟件漏洞 隱瞞消費者兩年之久

新浪科技訊 北京時間8月17日早間消息，CNN網站周末報導稱，信息安全研究人員兩年多以前發現，在126款汽車中使用的一項技術導致這些汽車很容易遭到黑客攻擊。不過，大通過法律途徑使得這一發現在兩年時間裏一直沒有公之於。

歐洲3名計算機科學家於2012年發現了這些漏洞，並告知了汽車廠商。不過，由於大採取的法律措施，這一發現此前一直處於保密狀態。而直到目前，通過一項法律和解協議，這些檔案才被公佈。

這一漏洞與當前汽車採用的智能鑰匙有關。以往，竊賊需要手動點火才能發動汽車。而目前，汽車鑰匙和點火開關中使用了計算機晶片。只有這兩個晶片相互接近並發出正確的代碼后，汽車才能發動。

這一技術使得竊賊無法盜走汽車。即使他們能複製實體鑰匙，但如果沒有晶片，汽車也無法發動。

然而信息安全研究人員發現，這些晶片中存在漏洞。晶片使用了過時的加密技術。如果有人監聽晶片的通信過程，只需兩次，那麼就可以通過計算機去識別其中的模式，隨后複製鑰匙和晶片。

英國伯明翰大學研究人員弗拉維奧·加西亞(Flavio Garcia)表示：“這就像是你用單詞‘password’作為密碼一樣。”因此，代駕司機將有可能竊取汽車，而用戶在租賃汽車並歸還后也有可能進行盜竊。

研究人員指出，更強大的加密技術將使得竊取代碼更困難。不過令他們感到震驚的是，即使最豪華的汽車也仍在使用過時的加密技術。荷蘭內梅亨大學的洛爾·威爾杜特(Roel Verdult)表示：“你原本可能認為，更昂貴的汽車使用了更好的選擇。”

受影響的汽車來自奧迪、菲亞特、本田、起亞、大和沃爾沃等品牌。這些車型使用了由瑞士EM Microelectronic製造的晶片。

研究論文於上周發表。研究人員上周三在華盛頓特區的Usenix大會上公佈了他們的發現。

這一發現被推遲兩年多發布主要是由於大的阻力。研究人員表示，他們於2012年底對EM Microelectronic表示，將給該公司9個月時間去修復問題，隨后將把這一漏洞公之於。不過2013年，大對這幾所大學和研究者本人提起訴訟，阻止他們公開發布這一發現。英國一家法院最初出於汽車用戶的安全問題對大表示支持，而雙方近期達成了和解。

大在一份公告中承認，該公司的汽車中存在技術漏洞。不過大指出，這樣的攻擊非常複雜，非專業技術人士不太可能使用這種攻擊方式。此外，大最新的高爾夫7和帕薩特B8並不存在這些漏洞。該公司並未對阻止研究者公開研究結果的做法置評。

威爾杜特表示：“我們認為，這些汽車的車主應當知道，他們的汽車並沒有像他們想象中一樣得到保護。我們很驚訝，法官不允許我們公佈這些事實。”奧迪、菲亞特、本田、起亞和沃爾沃也沒有對這一消息置評。(張帆)