隨著智能汽車,車聯網的普及,關于黑客威脅汽車安全的討論也越來越多,那么黑客到底能不能威脅我們的汽車安全呢,我們來做個深度解讀。在現在的汽車上,我們幾乎已經不直接通過機械裝置控制汽車了,我們踩下油門之后,并不是直接通過鋼絲來控制節氣門開合,而是油門踏板傳感器把我們踩下的信號傳給行車電腦,行車電腦根據感應,通過馬達來控制節氣門開啟的程度,達到讓汽車加速的目的。
汽車被入侵的危險性
現代汽車的開發調試標定,其實很多都是軟件開發工作。
這行駛過程中,如果行車電腦的信號被干擾,駕駛員就被剝奪了汽車的控制權,后果不堪設想。
2007年豐田在美國出現剎車門,美國法院聽取了嵌入式技術專家Michael Barr的證詞,Michael Barr一位擁有20年以上行業經驗的嵌入式系統工程師。在十八個月中,包括Michael Barr在內的12位嵌入式系統專家,受原告訴訟團所托,被關在馬里蘭州一間高度保安的房間內對豐田動力控制系統軟件(主要是2005年的凱美瑞)源代碼進行深度審查。
最后的調查結果被寫入一份800頁,13章的詳細報告。而鑒于保密協議,調查內容一直沒有公布,直至俄克拉荷馬庭審才首度部分公開。
結論其實很簡單,因為豐田電子系統設計有缺陷,容易出現堆棧溢出且缺乏足夠的校驗糾正,而這個計算機領域的簡單問題,出現在汽車上就有可能造成油門信號鎖死,車輛一直加速,油門剎車全部失靈,汽車持續加速停不下來,最終車毀人亡。
熟悉信息安全領域的都知道,利用數據溢出,是黑客攻擊系統一個常用辦法。在計算機,手機上。黑客可以是取得控制權,獲取權限,盜取密碼。而在汽車上,如果黑客獲得了行車電腦的控制區,一個指令就可以讓全車人死于非命。
面對一臺油門一直加速,剎車失靈,方向失靈的車子,車上的人除了祈禱還能干什么呢?
今年一月份,德國權威汽車機構ADAC發布的關于寶馬互聯駕駛缺陷的報告,報告說黑客可以利用這漏洞可在幾分鐘內無線開啟寶馬、Mini和勞斯萊斯等品牌汽車的車門。但是即使這個漏洞被利用,汽車被黑掉,車主最多也不過是丟車,而不會造成事故。
既然汽車黑客能造成車毀人亡的事故,為什么我們從來沒有聽說類似的報道呢?這是因為,目前車聯網和自動駕駛還在初級階段,在信息上落后的汽車行業反而保護了汽車安全。
在電腦上,技術落后的時代,電腦之間是不聯網的,即使有病毒,也限于軟盤、光盤傳播。只要屏蔽光驅、軟驅、就可以保證電腦的信息安全。這是一種物理隔離。
而現在的汽車行業也是如此,絕大部分汽車都有行車電腦,但是行車電腦是不接入車聯網、互聯網的。雖然行車電腦的一個數據錯誤,就可以車毀人亡。但是不聯網,黑客天大的本事也修改不了你的數據,黑不了你的汽車,汽車反而是安全的。
不過,落后的終歸要變成先進的。隨著特斯拉,蘋果、谷歌這種硅谷企業進入汽車行業,汽車行業最終會進入車聯網和無人駕駛時代,而車聯網和無人駕駛時代就意味著汽車行車電腦直接聯入互聯網,信息安全出問題,黑客是真的可以黑死人的。
落后是一種保護,但是這種保護正在隨著時代發展而失效。
危險的漠視
2014年四季度,在中國頂級黑客“華山論劍”的GeekPwn(極棒)大會現場,中國KeenTeam團隊在全球首次實現了黑客侵入特斯拉。 KeenTeam安全研究團隊負責人王琦隨機邀請觀眾上臺,利用自己的微信,通過點擊某微信特定頁面上的特斯拉畫面,就實現了特斯拉的自動開車門、后備廂,甚至在“無人駕駛”情況下的突然倒車和熄火失控,引來現場觀眾驚呼。
特斯拉ModelS是一款高度車聯網和智能化的汽車,可以實現互聯網遠程控制空調等功能,它的行車電腦接入互聯網,然后黑客們就顯示了自己制造事故的能力。
同樣,2015年一季度, 國內著名的漏洞報告平臺“烏云”也曝光了比亞迪智能汽車的一個嚴重漏洞。通過這個漏洞,黑客可以查看車主的信息,遠程解鎖、發動汽車,開啟空調,查看油量、胎壓信息,甚至完全控制汽車。
其實,早在2013年,美國馬薩諸塞聯邦議員Edward J. Markey就通過征集多家汽車企業意見整理出具的一份汽車安全報告表明,提出多數主機廠尚未有意識,或者還不具備能力匯報以往的黑客入侵事件。
寶馬也好、比亞迪也好、特斯拉也好,它們還沒有具備互聯網企業一樣應對黑客的經驗和能力,但是它們的汽車已經暴露在黑客的火力之下。
而更糟的是,隨著車聯網和無人駕駛的發展,越來越多的汽車廠商正在聯入互聯網,正在開發各個級別的自動駕駛,這就讓更多的汽車面臨被黑客入侵的風險。而汽車被入侵后,后果的嚴重性遠超智能手機和個人電腦。
消費者的選擇
雖然汽車安全的形勢嚴峻,但是對于消費者來說,保護自己的安全并不困難。
我們看一下個人電腦和智能手機的安全歷史,最亂的時代都是互聯網流行的前期。電腦安全形勢嚴峻是互聯網寬帶剛剛流行的階段,智能手機安全形勢嚴峻是安卓剛剛流行的階段。
早期廠商,消費者,產業鏈都沒有經驗應對各種黑客攻擊。而經過一個階段的發展,隨著經驗的的豐富,最終會有一個比較可靠的安全方案出來。
對于消費者來說,在混亂期落后一點可以保護休息安全。大家用寬帶的時候,涉及到重要信息的電腦不聯網;在大家用智能機的時候,先用功能機來接收銀行的信用卡消費短信。
避開混亂期,等到各方面安全措施基本成熟時,再跟上時代就可以避開風險。
汽車的信息安全不僅僅關系到用戶的財產,也關系到用戶的生命。所以對于汽車也可以做類似的選擇,現在車聯網,無人駕駛,輔助價值方興未艾,安全保護還不成熟,消費買車可以選擇不帶車聯網,不帶輔助駕駛的低配車型,或者斷開與互聯網的連接,確保安全。
而過一段時間,等黑客和汽車廠商互相過招,汽車廠商在安全上逐步成熟起來之后,消費者可以選購帶有車聯網和自動駕駛功能的智能汽車。
京公網安備 11010502049343號