克莱斯勒汽车系统漏洞 黑客可以远程控制行驶车辆

克莱斯勒低调发布了一项吉普车软件更新，修补一个容易遭黑客远端挟持车辆的安全漏洞。

这项漏洞将影响汽车仪表板里的连网功能，称为Uconnect,它可选择性决定是否升级，并非克莱斯勒车辆的标准配备。

这项漏洞由研究员Charlie Miller和Chris Valasek发现，他们能从远端黑入吉普车。这两位研究员为科技媒体Wired记者Andy Greenberg做了一次亲身示范，让记者体验驾车时遭遇车辆被黑的实际经历。

不过，两位研究员事先保证不会做出任何有生命危险的实验。他们坐在Miller约10哩远的地下室，而记者驾着吉普车在St. Louis公路，开始了这项实验。

Charlie Miller (左) 和Chris Valasek（右）。照片来自Wired。

记者表示，虽然他并未触碰仪表板，但是吉普车的冷气口却开始吹送强风，然后音响转台到当地嘻哈电台，他关掉音响开关也没用。接着挡风玻璃上的雨刷开始运作、喷水…。当然这一切只是开端。黑客表示，他们现在正在研究方向盘，目前能做到当汽车回转时，挟持汽车轮胎等等。

“这种系统Bug很可能就会杀人”Charlie Miller说。Uconnect车载系统是基于美国Sprint公司的蜂窝网络进行连接的，所以Miller能够扫描到车上射出特殊光谱带的设备，从而在别处定位切诺基（Cherokee）。而且，Uconnect系统没有明显的防火墙。一旦定位好了设备的IP地址，黑客就能事先改写这款系统的固件，然后就坐在家里的沙发上，像开《极品飞车》似的远程超控别人的爱车。

值得注意的，这次入侵跟以往完全不同的是，车辆并未连接电脑、笔记本，黑客仍能执行这项攻击。Miller和Valasek表示，他们在8月的黑帽技术大会（Black Hat）中，将进一步释放更多漏洞的细节。

当然现在拥有 Uconnect 功能的车主，可以尽快地安装更新软件。这项漏洞所影响的车型包括：2013-2014 models of Dodge Ram、the 2013-2014 Dodge Viper、the 2014 Jeep Cherokee、Jeep Grand Cherokee、Dodge Durango、the 2015 Jeep Cherokee、Jeep Grand Cherokee、2015 Chrysler 200s。