荷兰黑客发现了一种简单的方法来扰乱红绿灯
在像“虎胆龙威4”和“意大利人的工作”这样的电影中,在互联网上劫持红绿灯看起来很容易。但是,安全研究人员在过去几年展示的现实世界中的红绿灯黑客行为被证明是更艰难的,需要有人在每个目标灯的无线电覆盖范围内。现在,两名荷兰研究人员展示了黑客是如何通过任何互联网连接伪造交通数据,轻松扰乱红绿灯的-尽管幸运的是,这不是好莱坞式的,会导致大规模碰撞。
在周四的Defcon黑客大会上,荷兰安全研究人员Rik van Duijn和Wesley Neelen将介绍他们关于智能交通系统漏洞的研究结果,该系统将允许他们通过互联网影响荷兰至少10个不同城市的红绿灯。他们的黑客会欺骗接近十字路口的不存在的自行车,欺骗交通系统给这些自行车开绿灯,并向任何其他试图垂直方向穿越的车辆亮红灯。他们警告说,他们的简单技术可能会被用来惹恼留在空荡荡的十字路口的司机。他们说,这项技术并没有在他们测试的所有情况下都得到修复。或者,如果智能交通系统在更大的规模上实施,甚至可能造成广泛的交通拥堵。
尼伦说:我们能够伪造一个骑自行车的人,这样系统就可以在十字路口看到一个骑自行车的人,我们可以在任何地方这样做。在我家,我们可以在很多红绿灯的同时做同样的把戏,这样你就可以打断城市里的车流了。
尼伦(Neelen)和范杜恩(Van Duijn)是应用安全研究公司Zolder的联合创始人,他们说,今年早些时候,他们对一系列面向荷兰人的智能手机应用程序感到好奇,这些应用程序声称,当应用程序激活时,会给骑自行车的人开更多绿灯。在荷兰各地的试点项目中,各城市已经将交通信号与Schwung和CrossCycle等应用程序相结合,这些应用程序与交通系统共享骑车人的位置,并在可能的情况下,在接近十字路口时将信号灯切换为绿灯。该系统的功能相当于基于智能手机的传感器,长期以来,传感器一直被用来检测等待红灯的车辆的存在,这种传感器经过优化,使得骑自行车的人不必停车。
但鉴于关于骑车人位置的信息来自用户的智能手机,这两名研究人员立即怀疑他们是否可以注入伪造的数据来造成严重破坏。尼伦说:我们只是很惊讶,用户输入竟然被允许进入控制我们交通灯的系统。我想,不知何故,我可以假装这件事。我真的很好奇他们是如何防止这种情况发生的。
事实证明,有些应用程序根本没有阻止它。尼伦和范堆金发现,他们可以对其中一个安卓应用程序进行反向工程--他们拒绝告诉“连线”杂志他们测试了哪些应用程序,因为他们发现的问题还没有解决--并生成他们自己的所谓合作感知信息(CAM)输入。在黑客的笔记本电脑上使用Python脚本发送的伪造CAM数据可以告诉红绿灯,一个携带智能手机的骑自行车的人在黑客选择的任何GPS位置。
最初,其CAM输入Neelen和van Duijn恶搞的应用程序只影响了荷兰蒂尔堡市的几个红绿灯。在下面的视频中,两人演示了根据命令将红灯改为绿灯,尽管在第一个演示中有延迟。(在蒂尔伯格智能手机优化的交通系统中,不存在的自行车并不总是立即得到优先考虑。)。
Neelen和van Duijn后来在另一款实施范围更广的类似应用程序中发现了同样的欺骗漏洞-他们说,这款应用已经在荷兰10个城市的数百个红绿灯上推广,尽管他们只在荷兰西部城市多尔德雷希特进行了测试。尼伦说,这也是同样的漏洞。他们只接受你往他们身上放的任何东西。
侵入红绿灯并不是一件全新的事情,尽管它很少如此简单。安全公司IOActive的研究员塞萨尔·切鲁多(Cesar Cerrudo)在2014年透露,他已经进行了反向工程,可以欺骗交通传感器的通信来影响红绿灯,包括美国主要城市的红绿灯。密歇根大学(University Of Michigan)的研究人员同年发表了一篇关于黑客攻击位于街道交叉口的交通控制盒的论文,这些控制盒接收道路传感器的输入。Cerrudo和密歇根的研究人员发现,与Defcon的荷兰研究人员暴露的漏洞相比,Cerrudo和密歇根的研究人员发现的漏洞可能影响的红绿灯要多得多。Cerrudo还说,在向受影响的传感器公司披露了他的技术一年后,他在旧金山测试了这项技术,发现它仍然在那里有效。
但那些早期的技术需要通过无线电与易受攻击的设备进行通信,因此黑客需要在无线电范围内,将攻击范围限制在最大数千英尺的范围内。Neelen和van Duijn的技术通过互联网远程工作,因此它可以在世界上任何地方同时在多个十字路口进行。Cerrudo说,这种攻击听起来很容易做到。你可以对一款应用程序进行反向工程,然后开始发送关于幽灵自行车的虚假位置,从而造成交通问题,这是非常酷的。
Neelen和van Duijn表示,他们现在已经警告了这两款应用的开发者,他们发现这两款应用很容易受到他们的欺骗。然而,在部署更广泛的系统的情况下,他们就在一个月前告诉了该公司。
但他们表示,即使他们发现的漏洞得到修复,他们的研究也应该成为对智能交通基础设施更普遍风险的警告,因为这些系统的推出是优化城市交通的关键部分,而不仅仅是方便自行车。想象一下,你可以在城市里制造数百辆假冒卡车。如果错误的红绿灯开始变红,你就有麻烦了,这会造成很大的延误,范·杜伊恩(";van Duijn)说。既然我们现在谈论的是建造这些智能交通系统,我们就需要非常确定地更多地考虑安全问题。
🎙️收听“连线”,这是我们关于未来如何实现的新播客。收看最新剧集,订阅📩时事通讯,跟上我们所有节目的最新动态。
🏃🏽♀️想要最好的健康工具吗?看看我们Gear团队挑选的最好的健身跟踪器、跑步装备(包括鞋子和袜子)和最好的耳机
