早期廠商、消費者、産業鍊都沒有經驗應對各種黑客攻擊,而經過一個階段的發展,随着經驗的的豐富,攻防雙方的進步,最終會有一個比較可靠的安全方案出來。電腦如此、手機如此,汽車也會如此。
文/徐鑫
2015年8月1日至6日,在美國拉斯維加斯舉行的黑帽信息安全大會上,有兩名研究人員公布了特斯拉ModelS系統存在的六個重大安全漏洞,并通過其中一個漏洞實現對車輛的控制。汽車信息安全由此開始引起多方重視。
實際上,特斯拉系統被黑客攻擊并非特例,就在一個多月前,比亞迪通過官方微博确認,自家車輛雲服務控制系統存在安全漏洞。雖然比亞迪官方稱隻有當用戶手機被木馬、病毒或登陸惡意Wi-Fi熱點被入侵或破解時才會存在一定風險。但由于該車型是量産車,所以這一消息讓人們大吃一驚。
當黑客遇到汽車,我們還有安全嗎?消費者應該何去何從?這個問題得從頭說起。
汽車為什麼會被黑
早年的汽車是一個機械設備,上面沒有多少電子設備,而現在的汽車上幾乎已經不直接通過機械裝置控制汽車。
以加速為例,在踩下油門踏闆之後,結構上并不是直接通過鋼絲來控制節氣門開合,而是通過油門踏闆傳感器把我們踩下的信号傳給行車電腦,行車電腦通過馬達來控制節氣門開合的程度,達到讓汽車加速的目的。現代汽車的開發調試标定,其實很多都是軟件開發工作。所以,在行駛過程中,如果行車電腦的信号被幹擾,駕駛員就被剝奪了汽車的控制權,後果不堪設想。
2007年豐田在美國被爆出“刹車門”事件,美國法院聽取了嵌入式技術專家MichaelBarr的證詞。結論其實很簡單,因為豐田電子系統設計有缺陷,容易出現堆棧溢出同時缺乏足夠的校驗糾正,而這個計算機領域的簡單問題,出現在汽車上就有可能造成油門信号鎖死,車輛一直加速,油門刹車全部失靈,汽車持續加速停不下來,最終車毀人亡。
也就是說,現代汽車的核心是行車電腦,汽車的所有控制信号都是駕駛員通過操作傳遞給行車電腦,然後行車電腦通過電傳信号完成控制和操縱。如果黑客入侵了行車電腦,遠程給行車電腦下達指令,那麼駕駛者就失去了車輛的控制權,而黑客可以完全控制汽車,造成車毀人亡。面對一台油門一直加速,刹車失靈,方向失靈的車子,車上的人除了祈禱還能幹什麼呢?
汽車的行車電腦需要專用的線路或者設備才能連接,這種連接隻有去4S店維修保養的時候才會用到。現在流行的OBD盒子,其實也是連接行車電腦獲取信息。但是,現在汽車廠商轉變策略、為了提高銷量,逐步開始研發車聯網、智能駕駛等功能,而這種功能,先是把汽車的中控系統與互聯網無線連接,同時為了完成一些遠程的故障診斷和操控,又把行車電腦與互聯網連接在一起,這就建立起來一條黑客通過互聯網直接操控汽車的通道,危險随之發生。
危險的現狀
在美國聖路易斯下城區的街道上,一輛以70碼時速行駛的Jeep自由光突然失去了控制。首先是冷風突然調到了最大檔,雨刮噴出清潔劑,然後是加速失去了控制,不管怎麼踩油門踏闆,車速都不再增加,後面的車子路過的時候憤怒地看着它……
這并不是一場意外事故,而是由兩位黑客侵入并控制車輛的測試研究。他們在10英裡以外的地方對車輛實現了無線控制。他們成功利用了JEEP的Uconnect系統的漏洞,對車輛進行控制。
美國馬薩諸塞聯邦議員EdwardJ.Markey的一份汽車安全報告中也提出多數主機廠尚未有意識,或者還不具備能力彙報以往的黑客入侵事件。
從本質上來說,汽車的計算機系統所采取的手段與普通的計算機沒有什麼不同,也要做安全認證,需要防範入侵。但是汽車主機廠應對黑客的經驗遠不如IT企業,對于信息的安全意識也不如IT企業,有些用戶會發現自己的信息莫名其妙的就出現在網上的汽車商城。對黑客來說,大多數汽車廠商的電腦系統不堪一擊。用戶信息輕易就可以獲得,這就是缺乏經驗與意識造成的。
汽車同樣如此,以比亞迪為例,廠家的雲服務并沒有對黑客做太多考慮。手機可以控制汽車,隻是簡單的密碼認證,而手機上的密碼可以輕易被木馬軟件或者盜取密碼的WIFI熱點獲得。而更糟的是比亞迪雲服務系統安全設計過于簡單,黑客隻要編寫一個窮舉手機号的小程序,就可以獲得服務器端全部車主的車主姓名、車牌号、車架号、身份證号、手機号甚至第二聯系人姓名等信息和車輛控制密碼。
車主信息洩露不算,控制密碼也被洩露,汽車就危險了,雖然比亞迪接到通知後即時修補了漏洞,但是這個事情也說明了汽車廠商的安全意識還較為薄弱。
消費者并非避無可避
目前,汽車的安全問題比較嚴重,這是因為整個車聯網還在一個過渡期。現在絕大部分汽車已經有行車電腦,但是行車電腦是不接入車聯網、互聯網的。雖然行車電腦的一個數據錯誤,就可以車毀人亡。但是不聯網,黑客天大的本事也修改不了你的數據,黑不了你的汽車,汽車反而是安全的。而少數先進一些的汽車,直接接入了互聯網,但是在安全防護上沒有經驗,容易被黑客入侵。
從個人電腦和智能手機的安全史可以發現,電腦安全挑戰最大的時代就是互聯網寬帶剛剛流行的階段,廠商也好,用戶也越好,還沒有防範黑客、病毒、木馬的安全意識。而智能手機安全形勢嚴峻也是3G普及,安卓剛剛流行的階段。同樣是用戶和廠商缺乏防護的經驗造成的。早期廠商、消費者、産業鍊都沒有經驗應對各種黑客攻擊,而經過一個階段的發展,随着經驗的的豐富,攻防雙方的進步,最終會有一個比較可靠的安全方案出來。電腦如此、手機如此,汽車也會如此。
汽車的信息安全不僅僅關系到用戶的财産,也關系到用戶的生命。所以對于汽車的選擇,消費者可以保守一點,目前先不要選擇直接接入互聯網的汽車,可以選擇不帶車聯網,不帶輔助駕駛的低配車型,或者斷開與互聯網的連接,确保安全。而等到黑客和汽車廠商互相過招,汽車廠商在安全上逐步成熟起來之後,消費者再選購帶有車聯網和自動駕駛功能的智能汽車,充分享受科技的樂趣,而到那個時候相關的法案,政策也會出台,亂象會成為曆史。雖然目前汽車安全形勢嚴峻,但是消費者可以通過選擇回避風險,有時候落後一點并不是壞事。