搜索引擎背后的技术点

来自奇虎360事业部Sky-Go的中国专家团队专门研究汽车黑客行为，发现了奔驰E级轿车中的19个漏洞，其中包括一些可以被攻击者利用以远程入侵车辆的问题。

专家们分析了梅赛德斯E级车型，因为它是具有功能强大的信息娱乐系统和一系列功能的互联汽车。

研究始于2018年，2019年8月，专家向拥有奔驰的戴姆勒报告了他们的发现。

该汽车制造商于2019年12月宣布与360集团建立合作伙伴关系，以加强该行业的汽车IT安全性。

“在2018年，我们开始研究梅赛德斯-奔驰，因为它是世界上最著名的汽车品牌之一，并且是汽车行业的行业基准。我们分析了奔驰汽车的安全性。梅赛德斯-奔驰有很多型号，我们最终选择了梅赛德斯-奔驰E级的研究目标，因为E级的车载信息娱乐系统具有最多的连接功能。”阅读研究论文。

上周，在黑帽网络安全会议上，Sky-Go和戴姆勒的代表透露了他们的研究结果。

专家们避免公开披露问题的技术细节，以防止黑客的恶意利用。专家团队能够利用这些漏洞远程解锁汽车的门并启动梅赛德斯·奔驰E级发动机。

据专家称，该漏洞仅在中国就可能影响200万辆汽车。专家最初从目标设备收集了相关信息，例如网络拓扑，引脚定义，芯片模型以及汽车中的启用信号。然后拆卸汽车的中央面板，以分析电子控制单元(ECU)之间的接线。

他们分析了车辆远程信息处理控制单元(TCU)的文件系统，他们通过获得具有root特权的交互式外壳程序来访问该系统，他们发现了后端服务器的密码和证书。

“如果必须动态调试TCU客户端程序，则需要篡改文件系统以获取具有ROOT特权的交互式Shell。”继续研究。

研究人员还可以通过分析车辆的用于外部连接的嵌入式SIM(eSIM)卡来访问后端服务器。

“汽车后端是互联汽车的核心。只要可以从外部访问Car Backends的服务，就意味着Car Backend有被攻击的风险。连接到此汽车后端的车辆也有危险。因此，我们的下一步是尝试访问Car Backend。”继续研究。

“要访问后端的APN网络，一种可能性是使用汽车部件的电子sim卡，因为sim卡帐户不会自动注销。拆除此eSIM之后，我们将其放入4G路由器中。”

专家们注意到，后端服务器与“ Mercedes me”移动应用程序之间缺乏身份验证，这使用户可以远程控制汽车的多种功能。

研究人员解释说，一旦他们访问了后端，就可以控制中国的任何汽车。专家说，他们没有设法破解被测试车辆的任何关键安全功能。

“在研究和联合研讨会期间，我们看到梅赛德斯-奔驰互联汽车中的安全设计如此之多，这些设计可以保护汽车免受各种攻击。”本文得出结论。“汽车公司与研究人员共同合作的能力有助于我们汽车的整体安全性。”

 

7、Moment.js

在使用API调用时，使用日期和时间常常让研发人员感觉非常麻烦，Moment.js就是来解决这些问题的，无论是验证，解析还是格式化日期或时间，都能轻松处理。

8、Masonry

Masonry是JavaScript的网格布局库，可以使用网格元素，并根据可用的垂直空间放置它们。Masonry库能以不同的方式显示项目，且能和卡片，图像，模态等共同使用。

9、Popper.js

Popper.js是一个JavaScript库，具有零依赖关系，轻量级，仅有3KB大小。它提供了可扩展的定位引擎，能确保所有popper元素都在正确的位置。

10、Screenfull.js

如果是想要一个有全屏功能的库，可以试试Screenfull.js，它具有跨浏览器的效率，而且同样很轻量，压缩后只有0.7KB。

11、Slick

Slick库有完全响应能力，具备滑动功能，无限循环等功能，只需要几行代码，就可以为轮播添加很多功能，也是简单且实用的一个库。

12、TensorFlow.js

TensorFlow 是一个机器学习平台，在该平台上可以：运行现有模型;重新训练现有模型;在浏览器中从头开始创建模型等，感兴趣的朋友可以尝试学习一下。

（编辑：吉安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!