隨著智能汽車,車聯(lián)網(wǎng)的普及,關(guān)于黑客威脅汽車安全的討論也越來越多,那么黑客到底能不能威脅我們的汽車安全呢,我們來做個深度解讀。在現(xiàn)在的汽車上,我們幾乎已經(jīng)不直接通過機械裝置控制汽車了,我們踩下油門之后,并不是直接通過鋼絲來控制節(jié)氣門開合,而是油門踏板傳感器把我們踩下的信號傳給行車電腦,行車電腦根據(jù)感應(yīng),通過馬達來控制節(jié)氣門開啟的程度,達到讓汽車加速的目的。
汽車被入侵的危險性
現(xiàn)代汽車的開發(fā)調(diào)試標定,其實很多都是軟件開發(fā)工作。
這行駛過程中,如果行車電腦的信號被干擾,駕駛員就被剝奪了汽車的控制權(quán),后果不堪設(shè)想。
2007年豐田在美國出現(xiàn)剎車門,美國法院聽取了嵌入式技術(shù)專家Michael Barr的證詞,Michael Barr一位擁有20年以上行業(yè)經(jīng)驗的嵌入式系統(tǒng)工程師。在十八個月中,包括Michael Barr在內(nèi)的12位嵌入式系統(tǒng)專家,受原告訴訟團所托,被關(guān)在馬里蘭州一間高度保安的房間內(nèi)對豐田動力控制系統(tǒng)軟件(主要是2005年的凱美瑞)源代碼進行深度審查。
最后的調(diào)查結(jié)果被寫入一份800頁,13章的詳細報告。而鑒于保密協(xié)議,調(diào)查內(nèi)容一直沒有公布,直至俄克拉荷馬庭審才首度部分公開。
結(jié)論其實很簡單,因為豐田電子系統(tǒng)設(shè)計有缺陷,容易出現(xiàn)堆棧溢出且缺乏足夠的校驗糾正,而這個計算機領(lǐng)域的簡單問題,出現(xiàn)在汽車上就有可能造成油門信號鎖死,車輛一直加速,油門剎車全部失靈,汽車持續(xù)加速停不下來,最終車毀人亡。
熟悉信息安全領(lǐng)域的都知道,利用數(shù)據(jù)溢出,是黑客攻擊系統(tǒng)一個常用辦法。在計算機,手機上。黑客可以是取得控制權(quán),獲取權(quán)限,盜取密碼。而在汽車上,如果黑客獲得了行車電腦的控制區(qū),一個指令就可以讓全車人死于非命。
面對一臺油門一直加速,剎車失靈,方向失靈的車子,車上的人除了祈禱還能干什么呢?
今年一月份,德國權(quán)威汽車機構(gòu)ADAC發(fā)布的關(guān)于寶馬互聯(lián)駕駛?cè)毕莸膱蟾?,報告說黑客可以利用這漏洞可在幾分鐘內(nèi)無線開啟寶馬、Mini和勞斯萊斯等品牌汽車的車門。但是即使這個漏洞被利用,汽車被黑掉,車主最多也不過是丟車,而不會造成事故。
既然汽車黑客能造成車毀人亡的事故,為什么我們從來沒有聽說類似的報道呢?這是因為,目前車聯(lián)網(wǎng)和自動駕駛還在初級階段,在信息上落后的汽車行業(yè)反而保護了汽車安全。
在電腦上,技術(shù)落后的時代,電腦之間是不聯(lián)網(wǎng)的,即使有病毒,也限于軟盤、光盤傳播。只要屏蔽光驅(qū)、軟驅(qū)、就可以保證電腦的信息安全。這是一種物理隔離。
而現(xiàn)在的汽車行業(yè)也是如此,絕大部分汽車都有行車電腦,但是行車電腦是不接入車聯(lián)網(wǎng)、互聯(lián)網(wǎng)的。雖然行車電腦的一個數(shù)據(jù)錯誤,就可以車毀人亡。但是不聯(lián)網(wǎng),黑客天大的本事也修改不了你的數(shù)據(jù),黑不了你的汽車,汽車反而是安全的。
不過,落后的終歸要變成先進的。隨著特斯拉,蘋果、谷歌這種硅谷企業(yè)進入汽車行業(yè),汽車行業(yè)最終會進入車聯(lián)網(wǎng)和無人駕駛時代,而車聯(lián)網(wǎng)和無人駕駛時代就意味著汽車行車電腦直接聯(lián)入互聯(lián)網(wǎng),信息安全出問題,黑客是真的可以黑死人的。
落后是一種保護,但是這種保護正在隨著時代發(fā)展而失效。
危險的漠視
2014年四季度,在中國頂級黑客“華山論劍”的GeekPwn(極棒)大會現(xiàn)場,中國KeenTeam團隊在全球首次實現(xiàn)了黑客侵入特斯拉。 KeenTeam安全研究團隊負責(zé)人王琦隨機邀請觀眾上臺,利用自己的微信,通過點擊某微信特定頁面上的特斯拉畫面,就實現(xiàn)了特斯拉的自動開車門、后備廂,甚至在“無人駕駛”情況下的突然倒車和熄火失控,引來現(xiàn)場觀眾驚呼。
特斯拉ModelS是一款高度車聯(lián)網(wǎng)和智能化的汽車,可以實現(xiàn)互聯(lián)網(wǎng)遠程控制空調(diào)等功能,它的行車電腦接入互聯(lián)網(wǎng),然后黑客們就顯示了自己制造事故的能力。
同樣,2015年一季度, 國內(nèi)著名的漏洞報告平臺“烏云”也曝光了比亞迪智能汽車的一個嚴重漏洞。通過這個漏洞,黑客可以查看車主的信息,遠程解鎖、發(fā)動汽車,開啟空調(diào),查看油量、胎壓信息,甚至完全控制汽車。
其實,早在2013年,美國馬薩諸塞聯(lián)邦議員Edward J. Markey就通過征集多家汽車企業(yè)意見整理出具的一份汽車安全報告表明,提出多數(shù)主機廠尚未有意識,或者還不具備能力匯報以往的黑客入侵事件。
寶馬也好、比亞迪也好、特斯拉也好,它們還沒有具備互聯(lián)網(wǎng)企業(yè)一樣應(yīng)對黑客的經(jīng)驗和能力,但是它們的汽車已經(jīng)暴露在黑客的火力之下。
而更糟的是,隨著車聯(lián)網(wǎng)和無人駕駛的發(fā)展,越來越多的汽車廠商正在聯(lián)入互聯(lián)網(wǎng),正在開發(fā)各個級別的自動駕駛,這就讓更多的汽車面臨被黑客入侵的風(fēng)險。而汽車被入侵后,后果的嚴重性遠超智能手機和個人電腦。
消費者的選擇
雖然汽車安全的形勢嚴峻,但是對于消費者來說,保護自己的安全并不困難。
我們看一下個人電腦和智能手機的安全歷史,最亂的時代都是互聯(lián)網(wǎng)流行的前期。電腦安全形勢嚴峻是互聯(lián)網(wǎng)寬帶剛剛流行的階段,智能手機安全形勢嚴峻是安卓剛剛流行的階段。
早期廠商,消費者,產(chǎn)業(yè)鏈都沒有經(jīng)驗應(yīng)對各種黑客攻擊。而經(jīng)過一個階段的發(fā)展,隨著經(jīng)驗的的豐富,最終會有一個比較可靠的安全方案出來。
對于消費者來說,在混亂期落后一點可以保護休息安全。大家用寬帶的時候,涉及到重要信息的電腦不聯(lián)網(wǎng);在大家用智能機的時候,先用功能機來接收銀行的信用卡消費短信。
避開混亂期,等到各方面安全措施基本成熟時,再跟上時代就可以避開風(fēng)險。
汽車的信息安全不僅僅關(guān)系到用戶的財產(chǎn),也關(guān)系到用戶的生命。所以對于汽車也可以做類似的選擇,現(xiàn)在車聯(lián)網(wǎng),無人駕駛,輔助價值方興未艾,安全保護還不成熟,消費買車可以選擇不帶車聯(lián)網(wǎng),不帶輔助駕駛的低配車型,或者斷開與互聯(lián)網(wǎng)的連接,確保安全。
而過一段時間,等黑客和汽車廠商互相過招,汽車廠商在安全上逐步成熟起來之后,消費者可以選購帶有車聯(lián)網(wǎng)和自動駕駛功能的智能汽車。