小心!無處不在的黑客可能已經(jīng)把手伸向了你的汽車

責(zé)任編輯:editor007

作者:宋長樂

2015-10-28 21:42:43

摘自:鈦媒體

頻發(fā)的安全漏洞和黑客攻擊事件,也恰恰警醒著我們,汽車的信息系統(tǒng)安全正在直接影響汽車安全,危及公共安全、人身和財(cái)產(chǎn)安全。

摘要:頻發(fā)的安全漏洞和黑客攻擊事件,也恰恰警醒著我們,汽車的信息系統(tǒng)安全正在直接影響汽車安全,危及公共安全、人身和財(cái)產(chǎn)安全。這是否意味著,對于與我們生命戚戚相關(guān)的汽車安全,在黑客眼中也是漏洞百出?

近兩年隨著汽車越來越智能化和聯(lián)網(wǎng)化,智能導(dǎo)航、自動(dòng)駕駛、遠(yuǎn)程控制等一系列新型操控方式正在趨于成熟,汽車成了名副其實(shí)的“輪子上的電腦”。但隨之而來的是“汽車黑客”這個(gè)群體的數(shù)量增長,原因是任何技術(shù)都存在漏洞,而汽車安全問題也越來越受到重視。

3個(gè)月前,美國著名黑客查理 米勒和克里斯 瓦拉塞克利用車載信息服務(wù)系統(tǒng)“UConnect”成功從十英里以外入侵了一輛在高速公路上行駛的吉普切諾基,導(dǎo)致汽車行駛途中失靈,翻到了溝里。

這一事件意味著正式將黑客的威脅帶入到生命層面。在此之后,克萊斯勒公司宣布召回約140萬輛存在軟件漏洞的汽車,這也是首例汽車制造商因?yàn)楹诳惋L(fēng)險(xiǎn)而召回汽車的事件。

事實(shí)上,由于汽車中使用的計(jì)算和聯(lián)網(wǎng)系統(tǒng)沿襲了既有的計(jì)算和聯(lián)網(wǎng)架構(gòu),也繼承了這些系統(tǒng)天然的安全缺陷,汽車行業(yè)因此面臨著PC和互聯(lián)網(wǎng)領(lǐng)域一樣日趨惡劣的信息安全形勢,黑客攻擊、安全漏洞、汽車破解和劫持開始頻繁跟汽車關(guān)聯(lián)。尤其近兩年,就發(fā)生過多起汽車安全漏洞事件:

2014年7月,360宣布發(fā)現(xiàn)了特斯拉應(yīng)用程序的缺陷,攻擊者利用這個(gè)漏洞,可遠(yuǎn)程控制車輛,實(shí)現(xiàn)開鎖、鳴笛、閃燈、開啟天窗等操作;

2015年2月,美國通用汽車公司OnStar系統(tǒng)被曝安全漏洞,黑客可以利用來遠(yuǎn)程操控汽車;

2015年6月,烏云漏洞平臺(tái)、360補(bǔ)天漏洞平臺(tái)曾曝光比亞迪云服務(wù)存在嚴(yán)重安全漏洞,車輛可完全被黑客控制,緊接著比亞迪官方確認(rèn)漏洞存在。

……

以上只不過是我們所知道的一部分案例。車聯(lián)網(wǎng)不停止演進(jìn),汽車的技術(shù)安全事故就必然再次重演。頻發(fā)的安全漏洞和黑客攻擊事件是一種警醒:汽車的信息系統(tǒng)安全正在直接影響汽車安全,危及公共安全、人身和財(cái)產(chǎn)安全。

360公司的首席工程師、漏洞實(shí)驗(yàn)室團(tuán)隊(duì)負(fù)責(zé)人鄭文彬告訴鈦媒體,汽車安全與之前PC、手持設(shè)備的安全是有區(qū)別的,但最終會(huì)有一個(gè)交集。“目前大多數(shù)汽車品牌都是獨(dú)有系統(tǒng),尤其是控制系統(tǒng)基本上是傳統(tǒng)的,但未來會(huì)向手持設(shè)備的通用系統(tǒng)靠攏,只要與安卓和iOS系統(tǒng)有連接,汽車的危險(xiǎn)性就會(huì)增加”,他這樣告訴鈦媒體。

鄭文彬還舉例說,Java號稱目前全球有40億臺(tái)設(shè)備在運(yùn)行,如果發(fā)現(xiàn)一個(gè)漏洞,黑客就有機(jī)會(huì)一舉攻擊這40億臺(tái)設(shè)備。汽車也是如此,裝載同一個(gè)系統(tǒng)安全等級和危害性都是一致的,城門倘若失火,必將殃及池魚。

移動(dòng)互聯(lián)時(shí)代,安全已經(jīng)突破了軟件、內(nèi)容、服務(wù)等界限,傳統(tǒng)的安全防護(hù)思路已經(jīng)無法解決真正的安全問題了。

那么,這是否意味著只要是智能聯(lián)網(wǎng)的東西,在黑客眼中都是漏洞百出?我們可以做些什么?尤其對于與我們生命戚戚相關(guān)的汽車安全?

不久前,在2015 SyScan360國際前瞻信息安全會(huì)議上,入侵吉普切諾基的兩位黑客查理 米勒和克里斯 瓦拉塞克的現(xiàn)身說法,給我們提供了一種思路。

他們稱自己為“白帽子”黑客,并不會(huì)主動(dòng)去攻擊別人的汽車,反而會(huì)對汽車安全性繼續(xù)進(jìn)行研究。在他們看來,入侵吉普切諾基正是作為一名黑客可以影響真實(shí)世界的例子,他們希望借助這次事件促使搭載智能設(shè)備的汽車廠商對安全產(chǎn)生足夠的重視,這樣汽車廠商們才會(huì)在安全上投入更多的努力。

這恰恰也驗(yàn)證了,網(wǎng)絡(luò)黑客和安全人才與汽車相關(guān)廠商的合作,正成為保證車聯(lián)網(wǎng)安全的重要發(fā)展方向。在今年9月份的時(shí)候,Uber就聘請了查理 米勒和克里斯 瓦拉塞克加盟,宣稱將為Uber自動(dòng)化駕駛打造世界級的安全項(xiàng)目。

除此之外,據(jù)鈦媒體了解,國內(nèi)外一些汽車廠商也邀請黑客為汽車安全進(jìn)行“把關(guān)”。比如,加拿大軍方的合同就包括黑客對于2015年的輕型皮卡車系統(tǒng)的破解分析,合同中明確提到黑客們必須找出其中的漏洞,并展示汽車是如何被黑客入侵的。

通過這種方式,如果能夠提前發(fā)現(xiàn)系統(tǒng)漏洞,并且及時(shí)修復(fù),那么有心做壞事的黑客就沒法利用這個(gè)漏洞損害企業(yè)以及用戶利益了。

“不過,即便能夠主動(dòng)防御和規(guī)避漏洞,也無法百分之百阻擋黑客的攻擊,在與病毒制作者你來我往的交手,這是一個(gè)博弈的過程”,鄭文彬毫不掩飾他對汽車安全的擔(dān)憂。鄭文彬還提到,車聯(lián)網(wǎng)存在安全隱患還有一個(gè)重要的原因是行業(yè)車載智能系統(tǒng)和智能硬件層出不窮,但并未建立一個(gè)標(biāo)準(zhǔn)。

我們知道,Google和蘋果紛紛推出了Android Auto和CarPlay,雙方都在籌備大規(guī)模推廣,試圖給用戶的汽車帶來一個(gè)安全和友好的移動(dòng)體驗(yàn)。雖然在國外也取得了一定的進(jìn)展,但關(guān)照國內(nèi)的市場環(huán)境,狀況堪憂。整個(gè)汽車市場,都太需要一個(gè)機(jī)構(gòu)去推動(dòng)汽車系統(tǒng)的統(tǒng)一、解決潛在的安全隱患。

去年的時(shí)候,美國汽車制造商聯(lián)盟(AAA)就首次達(dá)成協(xié)議,將制定抵制黑客侵襲的隱私保護(hù)政策。預(yù)計(jì)今年年底,由美國汽車制造商聯(lián)盟和全球汽車制造商協(xié)會(huì)牽頭,美國多家汽車廠商也將聯(lián)合成立信息分享和分析中心(Information Sharing and Analysis Center,簡稱ISAC),以共同對抗汽車黑客攻擊。

在國內(nèi),我們也看到了這樣一種機(jī)構(gòu)誕生的苗頭。日前360總裁齊向東曾透露,360目前正在聯(lián)合多家機(jī)構(gòu)和車企,籌備成立中國車聯(lián)網(wǎng)安全聯(lián)盟,想要集合全社會(huì)的網(wǎng)絡(luò)安全能力,共同面對和解決汽車的信息系統(tǒng)安全,吸收和幫助第三方的安全研究人員一起參與汽車信息系統(tǒng)安全問題的研究和解決。

不過,即便有了行業(yè)的推動(dòng),我們每個(gè)人也都應(yīng)該培養(yǎng)自主安全意識,如果說之前我們在云端損失的是個(gè)人隱私以及部分財(cái)產(chǎn),那么隨著車聯(lián)網(wǎng)時(shí)代的到來,我們就該學(xué)著對自己的生命負(fù)責(zé)了。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號