车载导航提示“路上有枪战” 可能是系统BUG或黑客攻击

行业观察

车载导航提示“路上有枪战” 专业人士:

可能是系统BUG或黑客攻击

你正在开车,突然车机屏幕里跳出一条提示:路上有枪战。你信还是不信?

8月23日,上海辟谣平台官方发布消息称,上海有不少车主遭遇车内显示屏出现“路上有枪战”的交通警告提示。

对于车辆导航的错误提示,有业内人士认为可能是翻译问题,不排除黑客攻击可能。

“很可能是车载系统出现了故障或者遇到黑客攻击。在正常情况下,导航软件不会推送这类信息,因为绝大多数导航软件本身并不撰写信息,如果进行推送,也是推送权威渠道的信息。”某导航软件技术人员向上海辟谣平台介绍。

该技术人员说,目前依据只有部分 友提供的车载系统屏幕照片,不能判断车型和运行状态,所以无法确定到底是哪个环节出现了问题。

但从技术基础看,大部分车载系统使用的都是第三方导航软件,导航及推送信息的准确性与是否联 运行、是否及时升级有关。

部分系统若没有及时升级或使用的第三方供应商本身存在瑕疵,那么可能在导航准确性上出现问题。

根据目前 传信息看,相关“枪战”信息没有出处且并非出现在所有车型上,所以大概率是系统故障(bug)或黑客攻击。

美国拟立法禁止采购有漏洞软件,

“引爆” 络安全行业

  • 处于立法进程中的《2023财年国防授权法案》提出,国土安全部新签和现有政府合同,软件供应商应保证产品中不存在已知漏洞;
  • 有安全专家担心,如果严格执行该项法案,美国政府后续将无法部署任何软件/服务;
  • 原因有多方面:任何代码都存在漏洞,美国漏洞库的部分漏洞并非安全风险,软件提供商可能隐瞒漏洞信息,竞争对手将极力挖掘对手产品漏洞以赢得合同等。

    • 安全内参8月22日消息,美国立法者希望立法改善政府的部分 络安全防御措施,但却引发了信息安全专家们的质疑和不满。

    《2023财年国防授权法案》,对应着划拨给美国军队和政府各关键领域的数十亿美元财政预算。目前法案已经在众议院通过,接下来需要经参议院批准,最后由拜登总统签字执行。

    今天要讨论的争议,集中在该法案草案看似合理的条款:管理国土安全部及其应用程序/在线服务供应链的软件级攻击风险。

    这份拟议法案要求,对于新签和现有政府合同,软件供应商应保证“提交软件物料清单中列出的所有项目,均不存在影响最终产品或服务安全性的已知漏洞或缺陷,并给出证明。”

    所谓“已知漏洞或缺陷”,是指美国国家标准与技术研究院(NIST)发布的国家漏洞数据库,以及 络安全与基础设施安全局(CISA)指定的用于“跟踪各开源或第三方开发软件内安全漏洞/缺陷”的数据库内列出的条目。

    换句话说:国土安全部不得采购任何包含已知、已登记安全漏洞的软件

    这项要求的出发点是好的,旨在防止恶意黑客利用Log4j之类的漏洞破坏政府敏感系统。但法案中的具体措辞却令行业专家颇感沮丧。一方面,任何代码都存在bug,这一条款基本上切断了政府军工部门原本强大的采购流程。另一方面,漏洞数据库中相当一部分漏洞并不属于安全风险

    总而言之,如果严格执行该项法案,那么美国政府后续将无法部署任何软件/服务。

    软件供应链安全厂商Chainguard的联合创始人兼CEO Dan Lorenc表示,“这项要求往好了说是受到误导,往坏了想肯定会引发大麻烦。”

    不过,这项要求也有回旋空间。如果合同内包含“关于所列出各项安全漏洞或缺陷的缓解、修复或解决方法”,政府一方就可购买包含已知缺陷的软件。换句话说,只要可以缓解或修复措施,就不会影响各部门的正常采购。

    争议过大引发行业热议

    这个问题在推特上掀起了争论热潮。有人担心软件供应商为了正常向政府客户出售软件,故意对漏洞信息知情不 (不再注册CVE编 )。另一方面,各家企业在争夺合同的过程中,也可能会挖其他竞争者产品的漏洞作为“黑料”

    安全厂商Rapid7的高级政策主管Harley Lorenz Geiger律师在推文中提到,“立法者起草的条文相当于在说:要么放弃继续上 软件漏洞,要么被排除在软件投标范围之外,你们自己选。”

    “这里我要提醒一句,并不是所有安全漏洞都有严重危害,或者能够/应该缓解。感谢立法者,祝好。”

    漏洞协调与众测厂商Luta Security的CEO Katie Moussouris等行业专家,则呼吁安全专家们先别反应过激。她在Twitter上写道,新法案其实允许政府官员“采购那些虽包含CVE,但已有缓解方法的软件产品”,同时提醒政府方面“在部署之前必须缓解或接受这些风险”。

    市场研究公司Dell”Oro Group负责 络安全的研究主管Mauricio Sanchez也在采访中提到,虽然他理解立法者们的善意动机,但在技术采购方面设置的种种要求,很可能会阻断政府的正常部署流程。

    他提到,“很遗憾,这就是我们立法者的典型做法,只提要求、不讲方法。”

    在Sanchez看来,这项法案的最终走向恐怕只有以下三种。

    第一:立法者服软。技术游说部门等各方提出有力的反对意见,宣扬这项要求根本就无法实现(也确实无法实现),于是立法者选择删除这部分条文。

    第二:做出澄清。立法者对条文“做出修正”,把这项过于理想的要求修改得更加实际。

    最后:直接摆烂。立法者可能懒得费脑筋,强行出台这项新政,然后向选民们宣扬自己支持 络安全、改善美国风险水平的姿态。至于收拾这个烂摊子需要投入多少时间、精力和金钱,那就是各联邦机构和法院自己的问题了。

    而且Sanchez本人的看法比较悲观。“如果让我押个宝,那我赌立法者会选择最后这条。”

    参考资料:theregister.com

    声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

    上一篇 2022年7月28日
    下一篇 2022年7月28日

    相关推荐

    首页
    软件超市
    企服市场
    会员中心