近兩年隨著汽車越來越智能化和聯網化,智能導航、自動駕駛、遠程控制等一系列新型操控方式正在趨于成熟,汽車成了名副其實的“輪子上的電腦”。但隨之而來的是“汽車黑客”這個群體的數量增長,原因是任何技術都存在漏洞,而汽車安全問題也越來越受到重視。
3個月前,美國著名黑客查理 米勒和克里斯 瓦拉塞克利用車載信息服務系統“UConnect”成功從十英里以外入侵了一輛在高速公路上行駛的吉普切諾基,導致汽車行駛途中失靈,翻到了溝里。
這一事件意味著正式將黑客的威脅帶入到生命層面。在此之后,克萊斯勒公司宣布召回約140萬輛存在軟件漏洞的汽車,這也是首例汽車制造商因為黑客風險而召回汽車的事件。
事實上,由于汽車中使用的計算和聯網系統沿襲了既有的計算和聯網架構,也繼承了這些系統天然的安全缺陷,汽車行業因此面臨著PC和互聯網領域一樣日趨惡劣的信息安全形勢,黑客攻擊、安全漏洞、汽車破解和劫持開始頻繁跟汽車關聯。尤其近兩年,就發生過多起汽車安全漏洞事件:
2014年7月,360宣布發現了特斯拉應用程序的缺陷,攻擊者利用這個漏洞,可遠程控制車輛,實現開鎖、鳴笛、閃燈、開啟天窗等操作;
2015年2月,美國通用汽車公司OnStar系統被曝安全漏洞,黑客可以利用來遠程操控汽車;
2015年6月,烏云漏洞平臺、360補天漏洞平臺曾曝光比亞迪云服務存在嚴重安全漏洞,車輛可完全被黑客控制,緊接著比亞迪官方確認漏洞存在。
……
以上只不過是我們所知道的一部分案例。車聯網不停止演進,汽車的技術安全事故就必然再次重演。頻發的安全漏洞和黑客攻擊事件是一種警醒:汽車的信息系統安全正在直接影響汽車安全,危及公共安全、人身和財產安全。
360公司的首席工程師、漏洞實驗室團隊負責人鄭文彬告訴鈦媒體,汽車安全與之前PC、手持設備的安全是有區別的,但最終會有一個交集。“目前大多數汽車品牌都是獨有系統,尤其是控制系統基本上是傳統的,但未來會向手持設備的通用系統靠攏,只要與安卓和iOS系統有連接,汽車的危險性就會增加”,他這樣告訴鈦媒體。
鄭文彬還舉例說,Java號稱目前全球有40億臺設備在運行,如果發現一個漏洞,黑客就有機會一舉攻擊這40億臺設備。汽車也是如此,裝載同一個系統安全等級和危害性都是一致的,城門倘若失火,必將殃及池魚。
移動互聯時代,安全已經突破了軟件、內容、服務等界限,傳統的安全防護思路已經無法解決真正的安全問題了。
那么,這是否意味著只要是智能聯網的東西,在黑客眼中都是漏洞百出?我們可以做些什么?尤其對于與我們生命戚戚相關的汽車安全?
不久前,在2015 SyScan360國際前瞻信息安全會議上,入侵吉普切諾基的兩位黑客查理 米勒和克里斯 瓦拉塞克的現身說法,給我們提供了一種思路。
他們稱自己為“白帽子”黑客,并不會主動去攻擊別人的汽車,反而會對汽車安全性繼續進行研究。在他們看來,入侵吉普切諾基正是作為一名黑客可以影響真實世界的例子,他們希望借助這次事件促使搭載智能設備的汽車廠商對安全產生足夠的重視,這樣汽車廠商們才會在安全上投入更多的努力。
這恰恰也驗證了,網絡黑客和安全人才與汽車相關廠商的合作,正成為保證車聯網安全的重要發展方向。在今年9月份的時候,Uber就聘請了查理 米勒和克里斯 瓦拉塞克加盟,宣稱將為Uber自動化駕駛打造世界級的安全項目。
除此之外,據鈦媒體了解,國內外一些汽車廠商也邀請黑客為汽車安全進行“把關”。比如,加拿大軍方的合同就包括黑客對于2015年的輕型皮卡車系統的破解分析,合同中明確提到黑客們必須找出其中的漏洞,并展示汽車是如何被黑客入侵的。
通過這種方式,如果能夠提前發現系統漏洞,并且及時修復,那么有心做壞事的黑客就沒法利用這個漏洞損害企業以及用戶利益了。
“不過,即便能夠主動防御和規避漏洞,也無法百分之百阻擋黑客的攻擊,在與病毒制作者你來我往的交手,這是一個博弈的過程”,鄭文彬毫不掩飾他對汽車安全的擔憂。鄭文彬還提到,車聯網存在安全隱患還有一個重要的原因是行業車載智能系統和智能硬件層出不窮,但并未建立一個標準。
我們知道,Google和蘋果紛紛推出了Android Auto和CarPlay,雙方都在籌備大規模推廣,試圖給用戶的汽車帶來一個安全和友好的移動體驗。雖然在國外也取得了一定的進展,但關照國內的市場環境,狀況堪憂。整個汽車市場,都太需要一個機構去推動汽車系統的統一、解決潛在的安全隱患。
去年的時候,美國汽車制造商聯盟(AAA)就首次達成協議,將制定抵制黑客侵襲的隱私保護政策。預計今年年底,由美國汽車制造商聯盟和全球汽車制造商協會牽頭,美國多家汽車廠商也將聯合成立信息分享和分析中心(Information Sharing and Analysis Center,簡稱ISAC),以共同對抗汽車黑客攻擊。
在國內,我們也看到了這樣一種機構誕生的苗頭。日前360總裁齊向東曾透露,360目前正在聯合多家機構和車企,籌備成立中國車聯網安全聯盟,想要集合全社會的網絡安全能力,共同面對和解決汽車的信息系統安全,吸收和幫助第三方的安全研究人員一起參與汽車信息系統安全問題的研究和解決。
不過,即便有了行業的推動,作為智能時代的用戶我們自己也必須培養自主安全意識。如果說之前我們在云端損失的是個人隱私以及部分財產,那么隨著車聯網時代的到來,我們就該學著對自己的生命負責了。
京公網安備 11010502049343號