本田或遭黑客勒索,北美部分工厂暂停生产
本报记者 付鸿烈
据国外媒体报道,本田汽车公司6月8日表示,本田眼下正在应对一起全球“电脑网络中断事件”,该起事件已迫使本田削减了在北美的部分生产和新车发货作业,这也引发了人们对该公司已被黑客勒索软件侵入的担忧。
“6月7日,本田经历了电脑网络中断,导致信息传输失败,从而影响了我们的业务运营。我们的信息技术团队正在迅速对情况进行评估。”本田在美销售公司——本田(美国)在一份声明中表示,“这次网络中断可能是黑客蓄意攻击的一部分。”
图源:本田官方
英国媒体天空新闻(Sky News)报道称,本次电脑问题对本田位于日本和欧洲的网络也造成了影响。目前还不清楚本田是否是受到勒索软件的影响。所谓勒索软件,即黑客攻入公司IT系统,并且向企业索要赎金,否则企业就无法恢复正常运营。
然而,一些网络安全研究人员认为,本田至少已成为网络犯罪分子的攻击目标。6月8日,他们发现有证据显示,有定制的勒索软件可以锁定本田的一个内部网络。彭博社报道称,由于网络攻击扰乱了内部网络,本田汽车公司也已经暂停了其部分日本工厂的发货。
随后,本田汽车发言人田野武彦(Hidenori Takeyasu)表示,本田正在调查系统是否受到了攻击,昨日下午本田的检查系统恢复正常运行,对日本国内的生产没有产生影响,但对海外工厂的具体影响尚不清楚。
这并不是本田第一次受黑客攻击勒索。据路透社的报道,2017年本田遭遇了全球“想哭(WannaCry)”勒索软件的攻击。当年6月21日本田公司宣布,由于受到勒索病毒的侵袭,位于东京的Sayama工厂19日停产一天。
其实,早在当年5月份勒索病毒刚刚大规模爆发的时候,雷诺和日产就收到了勒索病毒的侵袭,导致雷诺-日产联盟位于日本、英国、法国、罗马尼亚和印度的多个工厂出现停产。
不仅如此,WannaCry还攻陷了澳大利亚的高速路摄像头。据维多利亚警方证实,WannaCry勒索病毒感染了该州55个闯红灯与超速监控摄像头。
不得不说,WannaCry勒索病毒是自“灰鸽子”和“熊猫烧香”以来,影响及破坏力最大的病毒之一。WannaCry勒索病毒的全球大爆发,让至少150个国家30万名用户中招,影响金融、能源、医疗等众多行业,造成数十亿美元的经济损失。
如今,黑客攻击公共网络的事件再次发生,由此给更多汽车企业敲响网络安全的警钟。虽然本田方面已恢复生产作业,但也由此给更多的企业敲响了网络安全的警钟。
本文来源于汽车之家车家号作者,不代表汽车之家的观点立场。
本田系列车辆被曝存在漏洞,可无钥匙启动
本田系列车辆被曝存在漏洞,可无钥匙启动
本田系列车辆被曝存在漏洞,可无钥匙启动,很多搭配无钥匙进入系统的本田汽车(2012年到2022年款)都可以被远程控制打开车门,甚至启动车辆。本田系列车辆被曝存在漏洞,可无钥匙启动。
本田系列车辆被曝存在漏洞,可无钥匙启动1
近日,有海外媒体报道称,部分本田车型存在Rolling-PWN攻击漏洞,该漏洞可能导致汽车被远程控制解锁甚至是被远程启动。Rolling-PWN的基本概念跟之前针对大众汽车和特斯拉及其他设备的攻击类似,即有人使用无线电设备记录来自钥匙的合法无线电信号,然后将其传送到汽车上,进而实现远程启动车辆。
发现该漏洞的研究人员使用相关设备重现了这一场景,据称,存在这一安全漏洞的车辆包括本田思域2012、本田X-RV2018、本田C-RV 2020、本田雅阁2020/2021、本田奥德赛2020、本田英仕派 2021、本田飞度 2022、本田思域 2022、本田VE-1 2022、本田皓影2022。
针对此事,本田中国相关负责人回应称:“我们已经关注到相关报道,经确认,报道中所指出的漏洞,利用复杂的工具和技术手段,的确可以通过模拟远程无钥匙指令,获取车辆访问权限。”
“但即便技术上可行,这种特殊的攻击方式需要近距离接近车辆,并连续多次捕捉无线钥匙发送给汽车的RF信号,而且哪怕是可以打开车门,智能钥匙不在车内的话也无法开走车辆。”
该负责人还表示,“在投放新产品时,本田也致力于定期提升车辆的安全性能,以防止此种或类似的情况发生。”
本田系列车辆被曝存在漏洞,可无钥匙启动2
现在的车辆基本都配备了远程无钥匙进入系统(RKE)。
但是这些RKE系统在给我们提供方便的同时,也带来了很多潜在的危险,比如,被黑客直接把车开走。
一个专门评估RKE系统的报告发现了一个漏洞,很多搭配无钥匙进入系统的本田汽车(2012年到2022年款)都可以被远程控制打开车门,甚至启动车辆。
受影响的车辆包括:
本田 思域2012
本田 X-RV 2018
本田 C-RV 2020
本田 雅阁2020
本田 奥德赛2020
本田 激励2021
本田 飞度2022
本田 思域2022
本田 VE-12022
本田 微风2022
尽管本田认为其关键芯片中的技术“不允许该漏洞”,但是推特上发布的现场演示视频已经证实了漏洞确实存在。
一个漏洞,影响到无数车主,或许不止本田
之所以这个漏洞被称为Rolling-PWN而不是Honda-PWN,漏洞的发现者表示,因为这种缺陷可能也存在于其他品牌的汽车中。
如果研究属实,这将影响到无数使用无钥匙进入技术的车主。
发现该漏洞后,“黑客”们也试图联系到本田,但是他们在本田官方网站无法找到任何报告漏洞的联系信息,似乎本田汽车没有一个为他们的产品处理安全相关问题的部门。
一位在本田工作的人告诉我们:“报告本田漏洞的最好方法是联系客服。”
因此,他们提交了一份报告给本田客户服务,但还没有得到任何答复。此外,他们还发现了一篇来自Bleping-Computer的文章,看起来本田并不关心这一安全问题:
目前来看,解决这一问题并不容易。通用的解决方案是将车辆带回当地经销商处进行召回,但是这样或许成本过高,而可能的缓解策略是,在可行的情况下,通过空中升级(OTA)升级易受攻击的BCM固件,但是,一些老旧的车辆可能根本不支持OTA。
在接受媒体采访时,本田发言人表示,该公司无法确定这份报告是否可信。
“我们已经调查了过去的类似指控,发现它们缺乏实质内容,”本田发言人在给媒体(The Drive)的一份声明中说。 “虽然我们还没有足够的信息来确定这份报告是否可信,但参考车辆中的关键开关都配备了滚动代码技术,不会出现报告中所述的漏洞。此外,作为没有滚动代码的证据提供的视频也没有包含足够的证据来支持这些说法。”
幸运地是,尽管该漏洞能够启动并解锁汽车,但由于钥匙链的近距离功能,攻击者无法将汽车开走。
Rolling-PWN如何工作?
老式车辆的无钥匙进入使用的是静态代码,这些静态代码本质上是脆弱的,因为一旦有人破解了该密码,那么就获得了锁定和解锁车辆的永久权限。
骑车制造商后来引进滚动代码,以改善车辆安全。
滚动代码通过使用伪随机数生成器(PRNG)来工作。当配对钥匙链上的锁或解锁按钮被按下时,钥匙链会通过无线方式向信息封装中的车辆发送唯一的代码。 然后,车辆根据PRNG生成的有效代码的内部数据库检查发送给它的代码,如果代码有效,汽车就会授予锁、解锁或启动车辆的请求。
该数据库包含几个允许的代码,因为当按下按钮时,钥匙可能不在车辆的范围内,可能传输的代码与车辆预期的下一个按时间顺序传输的代码不同。 这一系列的代码也被称为“窗口”,当车辆接收到新的代码时,它通常会使之前所有的代码失效,以防止重放攻击。
Rolling-PWN正是利用了这一点,Rolling-PWN的工作原理是窃听成对的钥匙链,并捕获由钥匙链发送的几个代码。
之后,攻击者可以重放有效的代码序列并重新同步PRNG。 这允许攻击者重新使用通常无效的旧代码,甚至在代码被破解几个月之后。
本田系列车辆被曝存在漏洞,可无钥匙启动3
据外媒The Drive报道称,部分本田车型存在安全漏洞,使得黑客可以远程解锁汽车。报道指出,此次安全问题在于本田重复使用数据库中的解锁验证代码,使得黑客能够通过及时捕捉并重放汽车钥匙发送的代码来解锁车辆,这项安全漏洞称为Rolling-PWN攻击漏洞。
如果连续通过钥匙向本田车辆发送命令,安全系统中的`计数器将重新同步,使得前一个命令数据再次有效,该数据如果被记录可以在日后随意解锁车辆。
简单理解,即有人使用无线电设备记录来自钥匙的合法无线电信号,然后将其传送到汽车上,因此这项漏洞可能导致汽车被远程控制解锁甚至是被远程启动。
这项漏洞涉及的车型包括2012-2022年发布的多款车型,包括本田思域 2012、本田X-RV 2018、本田C-RV 2020、本田雅阁2020/2021、本田奥德赛2020、本田英仕派 2021、本田飞度 2022、本田思域 2022、本田VE-1 2022、本田皓影 2022等,而之所以会发生这一安全漏洞,是因为2012年至2022年期间生产的部分本田汽车的无钥匙进入系统存在漏洞。
随后本田发言人在回应The Drive的一份声明中表示:“我们已经调查了过去的类似指控,发现它们缺乏实质内容。虽然我们还没有足够的信息来确定相关漏洞报告是否可信,但上述车辆的钥匙扣配备了滚动代码技术,不可能出现报告中所说的漏洞。”
据媒体介绍,在车主使用无钥匙进入系统解锁车辆时,老式车辆会使用静态代码,这些代码并不安全,因为任何人都能够捕捉并重新发射该代码信号,从而解锁车辆。基于此,制造商采用滚动代码来提高车辆安全性。
不过,一博主ROB STUMPF通过测试证实了这一漏洞,ROB STUMPF称,这一漏洞确实能够解锁和启动车辆,但攻击者无法开走车辆。针对此事,本田中国相关负责人回应称:
“我们已经关注到相关报道,经确认,报道中所指出的漏洞,利用复杂的工具和技术手段,的确可以通过模拟远程无钥匙指令,获取车辆访问权限。但即便技术上可行,这种特殊的攻击方式需要近距离接近车辆,并连续多次捕捉无线钥匙发送给汽车的 RF 信号。但即便可以打开车门,智能钥匙不在车内的话也无法开走车辆。”
另外,该负责人还表示:“在投放新产品时,本田也致力于定期提升车辆的安全性能,以防止此种或类似的情况发生。”
实际上,目前很多车辆也会使用Rolling钥匙系统进行解锁,与上述漏洞有所不同的是,正常的Rolling钥匙系统解锁会采用一次性的信号,也就是说,同一信号无法使用两次,即使黑客成功记录后也无法再次使用。
针对上述安全漏洞,截至目前,尚不清楚本田将如何解决这一问题。
奥迪抄袭之后,本田也被指抄袭,此事给当事人造成了哪些伤害?
奥迪抄袭之后,本田也被指抄袭,此事不仅伤害了当事人的商业利益,而且也伤害了当事人在此次事件当中的感情经历。当事人是在具体的村落生活以及发展品牌的,但是本田这种大厂直接未经他人同意就将场景和故事直接原封不动照搬,这就是一种侵权。
广告抄袭在大厂之间其实也算正常的事情,然而常态化的事情未必就意味着合法合理,在奥迪涉嫌抄袭小满文案以后,本田也被一个知名博主指出抄袭,这些公司不仅连地点抄了,而且连故事都抄了,这简直就是没法没天了。在抄袭背后,除了商业利益以外,还有就是对被抄袭者本人感情的伤害。
奥迪抄袭之后,本田也被指抄袭
奥迪此前曾经被一个博主指出抄袭自己的小满文案,除了里面的人变成了刘德华以外,还有就是加上了奥迪汽车的广告,其他的文案一模一样。在奥迪和刘德华对外发表了道歉声明之后,本田汽车也被指出了抄袭,本田汽车推出了关于和明月春的故事这一广告,但随即便被博主宁远宁不远指出这是抄袭,本田汽车这次的抄袭除了对其故事原封不动照搬以外,同时还将地点挪到了明月村,甚至雇佣了相应的演员展示本田汽车的特色。这种广告金泉行为一般都是需要下架短视频的,同时还必须发表道歉声明,因为本来就破坏了市场基本的秩序。
此事给当事人造成的伤害:商业利益以及感情的伤害
这件事对当事人造成的伤害是巨大的抄袭,除了能够获得巨大的商业利益并且损害他人的商业利益之外,同时还会伤害到他人的情感。明月村的故事是举报博主与明月春之间发生的故事,但是这个故事最后却套到了本田汽车的广告上,这是谁也想不到的同时也令人感到郁闷,这是感情上的伤害,这是没有办法弥补的。
因企业泄密而造成负面影响,该如何降低?
数据泄密的手法多种多样,是企业不得不面临的严峻现实。数据一旦泄密,就像泼出去的水一样无法收回,产生的负面影响也让中小企业难于承受。因此很多企业会准备好一项数据泄密响应计划,但是层出不穷的数据泄密事件丝毫没有停下来的迹象,企业怎样才能最有效地尽量减小数据泄密事件带来的负面影响?下面,华夏联盟网给大家介绍9个办法:
1、落实一项由内到外的信息安全计划
据全球泄密事件分析报告显示,2011年的数据泄密事件中绝大多数是由内鬼引起的;而在2012年的上半年,新的泄密事件似乎多半也是由内鬼泄密引起的。
2、企业员工设置强密码
企业里许多员工的用户名、密码、电子邮件地址、电话号码和密码都是简单的设置,如112112或pass如果说它们还算是真正的密码的话。更有一些公司是由IT管理员将所有密码统一手动发给了员工,而这名管理员使用一组同样的密码。
3、隐藏泄密风险
据路透社报道,在黑客泄露诺顿软件源代码事件两周后,赛门铁克就坦白承认:旗舰产品诺顿软件的代码早在2006年就被窃取了,这个隐藏的泄密风险带来多种泄密可能,诺顿源代码早被利用侵入赛门铁克。
4、建立泄密事件发生反应机制
企业发现泄密事件后,企业必须尽快收集大量信息来评估明白泄密事件的影响范围,最后再及时发布内容明确的通告。
5、事前模拟泄密事件
6、对数据进行加密
对企业内部流转的数据分等级进行加密后,保证他们在生成、流转、传输等各个环节的安全,就算被泄露,也无法使用,这就需要部署一套加密软件了。
7、让你自己的数据过期作废
去年黑客窃取了过时的客户信息后,去年加拿大本田公司和索尼的黑客事件中,因为这两家公司都没有及时删除失窃信息导致案件违反加拿大隐私法。
8、警防社会工程学盗取
9、追查数据服务
随着泄密后数据导出流转于各个网络或他人之手,很多企业假想若能追查到数据,就能有机会清除这些碎片信息,所以Pingree说过:将来的策略就是请服务商追查泄密的数据,并且让企业客户了解数据位于何处。
本田遭受黑客攻击了?!全球多家工厂停工,究竟怎么回事?
[汽车之家 新闻]? 日前,据海外媒体报道,本田汽车表示,为了应对全球“电脑网络中断”,该公司暂停了部分工厂的生产和新车发货。本田美国公司表示,这次网络中断可能是黑客蓄意攻击的一部分。
据悉,此次网络攻击影响了本田旗下11家工厂,其中包括美国的5家。外媒报道表示,本次网络攻击也对本田位于日本和欧洲的网络造成了影响。
目前,本田没有具体透露哪些工厂生产中断,也没有透露哪些业务可能受到了影响。该公司正在对网络中断进行调查,并未排除遭遇网络攻击的可能性。此外,尚不清楚本田是不是勒索软件的受害者,而勒索软件需要向黑客支付一定的赎金后,才能恢复正常。
本田汽车发言人Hidenori Takeyasu表示,当前公司正在调查受影响的范围。当下日本市场没有受到影响,但海外工厂的具体影响还不清楚。最新报道称,本田宣布恢复了美国汽车工厂的生产,但是土耳其的汽车部门以及印度和巴西的摩托车生产部门仍处于调查当中,无法正常工作。(消息来源:Autotimesnews;编译/汽车之家 李娜)
不管数据是否被盗,本田皓影安全性差是板上钉钉?
最近,关于本田皓影中保研成绩的事情,闹得沸沸扬扬。我先给大家梳理一下事情经过。
6月13日,中保研对本田皓影进行碰撞测试,有关皓影的碰撞测试视频开始在网络上进行流传,网友对于皓影A柱弯折等问题开始产生质疑,舆论不断发酵。
6月19日,中保研方面曾发布了广汽本田皓影的碰撞测试结果。根据该结果,皓影在车内乘员安全指数上获得了G(Good)的评价。网友普遍认为最终获得G的评价存在问题。
6月20日,中保研方面发布《声明》,表示“网传的本田皓影保险汽车安全指数测试数据并非本公司发布”。声明中还指出,中保研的测试结果(包括本土皓影保险汽车安全指数测试结果)被盗。
因此本来就是一款车的碰撞测试成绩,结果引发了一系列的问题。目前很多吃瓜群众普遍猜测是几种情况。
1. 广汽本田买通了中保研,中保研发布了好的碰撞结果,舆论哗然之后翻然悔过。
2. 中保研内部腐败,被利益相关方收买,中保研内部纠察,不承认之前的碰撞结果。
3. 中保研网站被黑客攻击,发布了皓影的好成绩,中保研不知情,于是发布声明喊冤。
当然除了以上几种情况之外,或许还有其他的结果,但是不管如何,本田皓影的碰撞结果绝对是今年汽车圈里最具话题性的新闻了。不管是之前的帕萨特,还是现在的皓影,想给自己洗白是难了。
因为皓影也有前车之鉴,就是帕萨特。上汽大众帕萨特的洗白过程很简单,就是在C-NCAP再碰撞一次。由于C-NCAP的碰撞标准与中保研不同,没有正面25%偏置碰撞,因此帕萨特在C-NCAP获得了5星好评。
很显然这种洗白的方式,没有得到消费者的认可,最终帕萨特在2020年5月的销量只有5000多辆,比竞争车型少一半以上。帕萨特的形象和口碑从此会一蹶不振。
因此要想重拾品牌形象,最重要的就是从源头杜绝不安全问题的发生。要么重新在中保研碰撞一次,要么想办法修改中保研成绩,这或许就是中保研结果先后不同的根本原因吧。
由于此前公布的视频和碰撞图片中,本田皓影A柱出现弯折、导致驾驶舱的溃缩区域比较小。我们能明显的发现假人的膝盖已经与中控台发生了明显的接触,可以预测的是乘客的膝盖会受到伤害。
其实帕萨特和皓影给中国合资厂商提了个醒,那就是不管你的品牌多么高端,不管之前的车型品质多么好。只要是偷工减料,安全性不好,就会被市场抛弃。作为广汽本田十分畅销的SUV,皓影给广汽本田也是上了一课。也是给本田敲响了警钟,因为本田旗下的inspire,思域的安全性同样都很糟糕。
本文来源于汽车之家车家号作者,不代表汽车之家的观点立场。
0条大神的评论