隨著克萊斯勒因為黑客風險在美國召回140萬輛汽車的事件發生，車聯網安全逐漸成為人們關心的話題。

時下，車聯網技術已經成為科技、汽車公司發力的新領域，通過具有互聯網連接能力的車載平臺，為駕駛者提供更加智能的駕駛體驗。然而，當汽車與互聯網親密接觸后，似乎并不能幸免，與其他設備一樣存在被黑客入侵、遠程控制的風險。當然，汽車不同于電腦，入侵行為會對駕駛者構成生命危險，這也是為什么“黑客入侵汽車”聽上去要更加可怕。

近日，在美國拉斯維加斯召開的DEF CON黑客大會上，舉行了關于車聯網安全的主題會議，包括特斯拉首席技術官、安全公司技術人員、白帽黑客都參與了討論，包括汽車是如何被入侵、安全隱患根源以及汽車廠商應該如何防范， 下面一起來了解一下。

CAN總線是關鍵

幾乎所有的汽車都擁有一個板載網絡，也就是俗稱的“CAN”（Controller Area Network architecture，控制器區域網絡架構），這是20世紀80年代所誕生、已經成為汽車標準的一項技術。雖然各大汽車廠商最初都在研發自有CAN標準，但在2007年后已經逐漸統一，底層均遵循國際標準化ISO 11898-1的常用配置。

那么，CAN究竟是做什么的呢？它能夠控制發動機控制器、點火器、防抱死制動系統、主要儀表盤以及其他關鍵部件，甚至包括轉向系統，所以極為關鍵。通常來說，CAN會被設定為只讀形式，所以早期汽車并不存在入侵問題。但是，隨著越來越多的車聯網系統開始對權限有更高要求，CAN權限也被開放，雖然是極為有限的開放，但如果黑客破解了具有CAN權限的車載系統，那么自然也獲得了對CAN的控制權。

除了調用CAN權限、具有3G/4G蜂窩網絡連接能力的智能車載系統容易被攻擊外，OBD II車載診斷設備也是一個入口。事實上，當汽車接入OBD II設備、提取診斷數據時，已經進入了汽車的CAN總線。目前，一些OBD II設備自身也具有聯網能力，所以汽車入侵正在從物理形式入侵，逐漸轉向為互聯網入侵。

DEF CON黑客大會的主題演講舉出了三個例子

在DEF CON黑客大會上，三個實際的汽車入侵案例被提及，供研究人員參考。首先，是特斯拉Model S，研究人員發現將以太網交換機插入汽車的網絡接口，便可獲取一定的儀表盤和中央信息數據，從而提取口令文件分析特斯拉的安全令牌，從而實現減速、遙控關機等操作。

第二個例子則是近日沸沸揚揚的克萊斯勒Uconnect車載系統，通過掃描其手機應用程序的667端口TCP/IP，可進入汽車車載系統，破解CAN，從而控制汽車雨刷器、空調、剎車、轉向、電臺及車載屏幕顯示等。

第三個例子則是Uber的OBD II設備，可以通過網絡搜索特定的SSH服務器及區號獲得設備信息，向其發送短信獲得軟件Root權限，從而訪問CAN總線。至于危害，與克萊斯勒Uconnect相似，能夠實現遠程控制雨刷、關閉和啟動剎車等。

尚需更有效的解決方案

顯然，車聯網系統和設備具有被入侵的可能性，這讓汽車安全面對新的挑戰。DEF CON黑客大會創始人及相關技術人員在面對這個問題時，提出了幾個觀點，或許能夠改善其安全隱患。當然，這還需要汽車廠商、安全公司等多方協同合作，通過何種方式實現也是需要探討的。

首先，汽車廠商需要不斷總結、完善汽車平臺的技術安全性，這需要廠商們建立一個共同探討的平臺，而不是將其視為“商業機密”而故步自封。其次，第三方協作的引入是必要的，如網絡安全公司、白帽黑客組織等，對車載系統的安全性進行廣泛評估。第三，適當的數據采集是必要的，可以通過分析數據來提升安全性，當然這需要經過用戶的同意。第四，及時進行安全更新，但汽車擁有其特殊性，這是目前的難點之一。最后，是否應該在汽車系統中加入關鍵區域的隔離措施，則是需要探討的，因為這可能會影響一部分配件的市場。

總而言之，關于車聯網完全的話題顯然僅僅只是一個開始，畢竟這是一個技術發展方向，廠商們不會因噎廢食放棄研究。但同時，汽車入侵和黑客行為往往是致命的，這是與傳統互聯網攻擊最大的不同，為了避免一切隱患和悲劇發生，作為用戶也許應該暫時觀望，而汽車廠商和科技公司則應該加大研發力度，保障消費者的安全。