新闻链接：http://www.2cto.com/News/201609/545424.html
新闻时间：2016-09-06
新闻正文：
    目前的大多数在售车型都搭载着一些不为人知的秘密。这些原型软件功能虽然被默认禁用，但恶意人士却能够找到将其解锁的办法。

    作为业界首次全面的安全性分析结论，纽约大学坦登学院计算机科学与工程系助理教授Damon McCoy与乔治·梅森大学的学生们发现了MirrorLink漏洞，这套规则系统允许车辆与智能手机进行通信。

    MirrorLink由联网汽车联盟创建(这一联盟包含目前全球约八成汽车制造商)，这同时也是车载信息娱乐系统的首套领先智能手机连接行业标准。然而，部分汽车制造商决定在 车辆出厂时将其禁用，其理由可能是选择使用其它连接标准或者希望MirrorLink版本更为成熟后通过升级进行激活。

    E安全百科：MirrorLink™是由一些国际性知名手机厂商和汽车制造商联合发起建立的一种“车联网”标准，旨在规范智能手机和车载系统的有效连接，并形成良好的用户体验。采用此标准进行手机车机互联时，可以实现对特定应用软件的手机和车机的双向控制，目标使用户在汽车行驶过程中，不用看着手机屏幕、触摸手机屏幕或操作手机按键，只需要用车载上的物理按键或语音命令来控制手机，包括接听/拨打电话、听手机音乐、用手机导航等等，当然此时手机本身也具有可操作性。

    目前该跨行业联盟已经有NOKIA、三星、MOTO、LG、SONY、HTC等手机厂商，以及宝马、丰田、本田、大众、三菱、标致等众多汽车制造商。

    MirrorLink架构示意图

    McCoy和他的组员们发现，MirrorLink相对易于启用，而且在解锁时允许黑客利用联网手机控制车辆内的多种关键性安全组件，包括其防抱死制动系统。McCoy解释称，生产此类车辆的厂商可能在无意中为黑客提供了可乘之机。

    “恶意人士会对这些原型设计进行研究，并在实施难度较低的情况下将其解锁，”他表示。“另外，目前已经出现了部分公共资料，用于指导人们解锁MirrorLink。YouTube上公布的相关教学视频之一已经得到了超过6万条评论。”研究人员们遵循视频指导，顺利解锁了他们在eBay买来的一辆2015年产车辆的MirrorLink。

    各汽车制造商与供应商仍然拒绝为其发布安全补丁——这也反映出他们从未启用MirrorLink这一事实。McCoy指出，这可能会给已经启用了MirrorLink的驾驶员们带来巨大风险。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课