隨著智能汽車,車聯(lián)網(wǎng)的普及,關(guān)于黑客威脅汽車安全的討論也越來越多,但是大多數(shù)討論和文章沒有技術(shù)基礎(chǔ),討論往往隔靴搔癢,結(jié)論自然也就不靠譜,那么黑客到底能不能威脅我們的汽車安全呢,我們來做個(gè)深度解讀。在現(xiàn)在的汽車上,我們幾乎已經(jīng)不直接通過機(jī)械裝置控制汽車了,我們踩下油門之后,并不是直接通過鋼絲來控制節(jié)氣門開合,而是油門踏板傳感器把我們踩下的信號(hào)傳給行車電腦,行車電腦根據(jù)感應(yīng),通過馬達(dá)來控制節(jié)氣門開啟的程度,達(dá)到讓汽車加速的目的。
汽車被入侵的危險(xiǎn)性
現(xiàn)代汽車的開發(fā)調(diào)試標(biāo)定,其實(shí)很多都是軟件開發(fā)工作。
這行駛過程中,如果行車電腦的信號(hào)被干擾,駕駛員就被剝奪了汽車的控制權(quán),后果不堪設(shè)想。
2007年豐田在美國(guó)出現(xiàn)剎車門,美國(guó)法院聽取了嵌入式技術(shù)專家Michael Barr的證詞,Michael Barr一位擁有20年以上行業(yè)經(jīng)驗(yàn)的嵌入式系統(tǒng)工程師。在十八個(gè)月中,包括Michael Barr在內(nèi)的12位嵌入式系統(tǒng)專家,受原告訴訟團(tuán)所托,被關(guān)在馬里蘭州一間高度保安的房間內(nèi)對(duì)豐田動(dòng)力控制系統(tǒng)軟件(主要是2005年的凱美瑞)源代碼進(jìn)行深度審查。
最后的調(diào)查結(jié)果被寫入一份800頁(yè),13章的詳細(xì)報(bào)告。而鑒于保密協(xié)議,調(diào)查內(nèi)容一直沒有公布,直至俄克拉荷馬庭審才首度部分公開。
結(jié)論其實(shí)很簡(jiǎn)單,因?yàn)樨S田電子系統(tǒng)設(shè)計(jì)有缺陷,容易出現(xiàn)堆棧溢出且缺乏足夠的校驗(yàn)糾正,而這個(gè)計(jì)算機(jī)領(lǐng)域的簡(jiǎn)單問題,出現(xiàn)在汽車上就有可能造成油門信號(hào)鎖死,車輛一直加速,油門剎車全部失靈,汽車持續(xù)加速停不下來,最終車毀人亡。
熟悉信息安全領(lǐng)域的都知道,利用數(shù)據(jù)溢出,是黑客攻擊系統(tǒng)一個(gè)常用辦法。在計(jì)算機(jī),手機(jī)上。黑客可以是取得控制權(quán),獲取權(quán)限,盜取密碼。而在汽車上,如果黑客獲得了行車電腦的控制區(qū),一個(gè)指令就可以讓全車人死于非命。
面對(duì)一臺(tái)油門一直加速,剎車失靈,方向失靈的車子,車上的人除了祈禱還能干什么呢?
今年一月份,德國(guó)權(quán)威汽車機(jī)構(gòu)ADAC發(fā)布的關(guān)于寶馬互聯(lián)駕駛?cè)毕莸膱?bào)告,報(bào)告說黑客可以利用這漏洞可在幾分鐘內(nèi)無線開啟寶馬、Mini和勞斯萊斯等品牌汽車的車門。但是即使這個(gè)漏洞被利用,汽車被黑掉,車主最多也不過是丟車,而不會(huì)造成事故。
既然汽車黑客能造成車毀人亡的事故,為什么我們從來沒有聽說類似的報(bào)道呢?這是因?yàn)椋壳败嚶?lián)網(wǎng)和自動(dòng)駕駛還在初級(jí)階段,在信息上落后的汽車行業(yè)反而保護(hù)了汽車安全。
在電腦上,技術(shù)落后的時(shí)代,電腦之間是不聯(lián)網(wǎng)的,即使有病毒,也限于軟盤、光盤傳播。只要屏蔽光驅(qū)、軟驅(qū)、就可以保證電腦的信息安全。這是一種物理隔離。
而現(xiàn)在的汽車行業(yè)也是如此,絕大部分汽車都有行車電腦,但是行車電腦是不接入車聯(lián)網(wǎng)、互聯(lián)網(wǎng)的。雖然行車電腦的一個(gè)數(shù)據(jù)錯(cuò)誤,就可以車毀人亡。但是不聯(lián)網(wǎng),黑客天大的本事也修改不了你的數(shù)據(jù),黑不了你的汽車,汽車反而是安全的。
不過,落后的終歸要變成先進(jìn)的。隨著特斯拉,蘋果、谷歌這種硅谷企業(yè)進(jìn)入汽車行業(yè),汽車行業(yè)最終會(huì)進(jìn)入車聯(lián)網(wǎng)和無人駕駛時(shí)代,而車聯(lián)網(wǎng)和無人駕駛時(shí)代就意味著汽車行車電腦直接聯(lián)入互聯(lián)網(wǎng),信息安全出問題,黑客是真的可以黑死人的。
落后是一種保護(hù),但是這種保護(hù)正在隨著時(shí)代發(fā)展而失效。
危險(xiǎn)的漠視
2014年四季度,在中國(guó)頂級(jí)黑客“華山論劍”的GeekPwn(極棒)大會(huì)現(xiàn)場(chǎng),中國(guó)KeenTeam團(tuán)隊(duì)在全球首次實(shí)現(xiàn)了黑客侵入特斯拉。 KeenTeam安全研究團(tuán)隊(duì)負(fù)責(zé)人王琦隨機(jī)邀請(qǐng)觀眾上臺(tái),利用自己的微信,通過點(diǎn)擊某微信特定頁(yè)面上的特斯拉畫面,就實(shí)現(xiàn)了特斯拉的自動(dòng)開車門、后備廂,甚至在“無人駕駛”情況下的突然倒車和熄火失控,引來現(xiàn)場(chǎng)觀眾驚呼。
特斯拉ModelS是一款高度車聯(lián)網(wǎng)和智能化的汽車,可以實(shí)現(xiàn)互聯(lián)網(wǎng)遠(yuǎn)程控制空調(diào)等功能,它的行車電腦接入互聯(lián)網(wǎng),然后黑客們就顯示了自己制造事故的能力。
同樣,2015年一季度, 國(guó)內(nèi)著名的漏洞報(bào)告平臺(tái)“烏云”也曝光了比亞迪智能汽車的一個(gè)嚴(yán)重漏洞。通過這個(gè)漏洞,黑客可以查看車主的信息,遠(yuǎn)程解鎖、發(fā)動(dòng)汽車,開啟空調(diào),查看油量、胎壓信息,甚至完全控制汽車。
其實(shí),早在2013年,美國(guó)馬薩諸塞聯(lián)邦議員Edward J. Markey就通過征集多家汽車企業(yè)意見整理出具的一份汽車安全報(bào)告表明,提出多數(shù)主機(jī)廠尚未有意識(shí),或者還不具備能力匯報(bào)以往的黑客入侵事件。
寶馬也好、比亞迪也好、特斯拉也好,它們還沒有具備互聯(lián)網(wǎng)企業(yè)一樣應(yīng)對(duì)黑客的經(jīng)驗(yàn)和能力,但是它們的汽車已經(jīng)暴露在黑客的火力之下。
而更糟的是,隨著車聯(lián)網(wǎng)和無人駕駛的發(fā)展,越來越多的汽車廠商正在聯(lián)入互聯(lián)網(wǎng),正在開發(fā)各個(gè)級(jí)別的自動(dòng)駕駛,這就讓更多的汽車面臨被黑客入侵的風(fēng)險(xiǎn)。而汽車被入侵后,后果的嚴(yán)重性遠(yuǎn)超智能手機(jī)和個(gè)人電腦。
消費(fèi)者的選擇
雖然汽車安全的形勢(shì)嚴(yán)峻,但是對(duì)于消費(fèi)者來說,保護(hù)自己的安全并不困難。
我們看一下個(gè)人電腦和智能手機(jī)的安全歷史,最亂的時(shí)代都是互聯(lián)網(wǎng)流行的前期。電腦安全形勢(shì)嚴(yán)峻是互聯(lián)網(wǎng)寬帶剛剛流行的階段,智能手機(jī)安全形勢(shì)嚴(yán)峻是安卓剛剛流行的階段。
早期廠商,消費(fèi)者,產(chǎn)業(yè)鏈都沒有經(jīng)驗(yàn)應(yīng)對(duì)各種黑客攻擊。而經(jīng)過一個(gè)階段的發(fā)展,隨著經(jīng)驗(yàn)的的豐富,最終會(huì)有一個(gè)比較可靠的安全方案出來。
對(duì)于消費(fèi)者來說,在混亂期落后一點(diǎn)可以保護(hù)休息安全。大家用寬帶的時(shí)候,涉及到重要信息的電腦不聯(lián)網(wǎng);在大家用智能機(jī)的時(shí)候,先用功能機(jī)來接收銀行的信用卡消費(fèi)短信。
避開混亂期,等到各方面安全措施基本成熟時(shí),再跟上時(shí)代就可以避開風(fēng)險(xiǎn)。
汽車的信息安全不僅僅關(guān)系到用戶的財(cái)產(chǎn),也關(guān)系到用戶的生命。所以對(duì)于汽車也可以做類似的選擇,現(xiàn)在車聯(lián)網(wǎng),無人駕駛,輔助價(jià)值方興未艾,安全保護(hù)還不成熟,消費(fèi)買車可以選擇不帶車聯(lián)網(wǎng),不帶輔助駕駛的低配車型,或者斷開與互聯(lián)網(wǎng)的連接,確保安全。
而過一段時(shí)間,等黑客和汽車廠商互相過招,汽車廠商在安全上逐步成熟起來之后,消費(fèi)者可以選購(gòu)帶有車聯(lián)網(wǎng)和自動(dòng)駕駛功能的智能汽車。
汽車安全形勢(shì)嚴(yán)峻,但是消費(fèi)者可以通過選擇回避風(fēng)險(xiǎn)。
評(píng)論
查看更多