近年来,智能农业正加速重塑传统农耕模式,以提升作业效率、减少人工成本并精准调配资源。越来越多农机设备配备了 GPS、惯导、传感器和 AI 模块,不仅能实现路径规划、自动转向,甚至可在特定场景下自主作业。即使仍有人机协作,设备也常通过云平台接入天气、定位、作业参数等实时数据,成为名副其实的“联网终端”。
然而,智能化的另一面,是“失控”的风险。奥地利网络安全公司 Limes Security 的研究人员近日披露,一款名为 FJD AT2 的自动转向系统存在严重安全漏洞,已让全球超 4.6 万台智能拖拉机暴露于被远程操控、监听甚至“变砖”的风险之中。
一次“操控全球拖拉机”的演示
研究人员 Felix Eberstaller 和 Bernhard Rader 在一次现场演示中,仅通过一个概念验证脚本,就实现了对全球多个地区拖拉机位置的实时追踪,甚至具备远程操控能力。
他们利用 MQTT 协议中的通配符订阅机制,扫描到全球范围内约 46,000 台部署 FJD AT2 系统的拖拉机,其中 60% 位于亚洲、33% 位于欧洲,美国也有 335 台暴露设备。通过这一机制,他们能够实时获取拖拉机的地理位置与系统状态,轻松在地图上切换“跳跃”至不同国家的目标设备。
后装自动驾驶系统成最大短板
FJD AT2 是一款后装自动驾驶转向系统,安装于拖拉机后可实现路径规划、转向自动化等功能。然而,正是这款设备的设计失误,造成了潜在的全球性安全危机。
该系统基于 Android 操作系统,组件包括 APK 应用程序、OTA 固件更新机制与硬件设备(转向轮、卫星接收器等)。研究人员指出:
OTA 更新机制没有 TLS 加密、没有签名校验,攻击者可伪造更新包并注入恶意固件,轻松获取 root 权限。
APK 应用程序仅使用 MD5 校验值识别更新文件,意味着任意应用只要通过简单计算就能伪装为“合法更新”。
获得 root 权限后,攻击者可以执行多种恶意操作:远程操控方向盘、使设备无法启动、实时追踪位置数据、甚至收集农户的 IP 和作业信息。
Limes Security 表示,他们早在 2024 年 3 月 6 日就向生产厂商报告了这些安全问题,直到今年 6 月 20 日,厂商才声称漏洞已修复。但在 6 月 23 日的复测中,研究人员并未发现任何修复迹象。
生产厂商尚未就此作出明确回应。
更令人担忧的是,即便厂商建议用户在公共道路上关闭该系统,但研究人员实地观察发现,大量用户并未遵守操作指引,使这一隐患可能延伸至公共交通领域。
智能农业加速,安全治理滞后
该事件并非孤例,近年来,随着智能农业技术快速落地,越来越多拖拉机、联合收割机等农用设备接入云端和远程控制平台,网络攻击面急剧扩张。然而,这一领域的安全治理远落后于工业制造和智能汽车行业。
Eberstaller 警告称:“攻击者可以在关键农时瘫痪系统,影响农民收成,也可能在复杂地形下制造安全事故,比如坡地翻车、误入公路等。”他强调,“智能农业不是问题,问题在于这些设备在安全设计上的‘先天不足’,而监管尚未跟上。”
此次事件暴露了多个深层次问题:后装智能系统的安全性无人问责,其供应链、更新机制、协议设计均未经过系统性审计;物联网协议如 MQTT 的设计便利性也带来了严重的订阅漏洞,一旦被滥用可形成批量操控能力;农机设备作为关键基础设施,未来应被纳入更严格的网络安全监管体系。
对农业企业与设备制造商而言,这起事件是一个清晰警示:智能化不是安全的替代,只有构建“可信设备 + 安全协议 + 透明响应机制”的全链路安全体系,才能真正收获“智慧农业”的红利。
消息来源:
https://www.darkreading.com/cloud-security/hackers-hay-smart-tractors-vulnerable-takeover
推荐阅读
|
01 |
|
02 |
|
03 |
安全KER
安全KER致力于搭建国内安全人才学习、工具、淘金、资讯一体化开放平台,推动数字安全社区文化的普及推广与人才生态的链接融合。目前,安全KER已整合全国数千位白帽资源,联合南京、北京、广州、深圳、长沙、上海、郑州等十余座城市,与ISC、XCon、看雪SDC、Hacking Group等数个中大型品牌达成合作。
注册安全KER社区
链接最新“圈子”动态
原文始发于微信公众号(安全客):拖拉机也能被黑?全球4.6 万台农机曝远程操控漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论