摘要:頻發(fā)的安全漏洞和黑客攻擊事件,也恰恰警醒著我們,汽車的信息系統(tǒng)安全正在直接影響汽車安全,危及公共安全、人身和財產(chǎn)安全。這是否意味著,對于與我們生命戚戚相關(guān)的汽車安全,在黑客眼中也是漏洞百出?
近兩年隨著汽車越來越智能化和聯(lián)網(wǎng)化,智能導(dǎo)航、自動駕駛、遠(yuǎn)程控制等一系列新型操控方式正在趨于成熟,汽車成了名副其實的“輪子上的電腦”。但隨之而來的是“汽車黑客”這個群體的數(shù)量增長,原因是任何技術(shù)都存在漏洞,而汽車安全問題也越來越受到重視。
3個月前,美國著名黑客查理 米勒和克里斯 瓦拉塞克利用車載信息服務(wù)系統(tǒng)“UConnect”成功從十英里以外入侵了一輛在高速公路上行駛的吉普切諾基,導(dǎo)致汽車行駛途中失靈,翻到了溝里。
這一事件意味著正式將黑客的威脅帶入到生命層面。在此之后,克萊斯勒公司宣布召回約140萬輛存在軟件漏洞的汽車,這也是首例汽車制造商因為黑客風(fēng)險而召回汽車的事件。
事實上,由于汽車中使用的計算和聯(lián)網(wǎng)系統(tǒng)沿襲了既有的計算和聯(lián)網(wǎng)架構(gòu),也繼承了這些系統(tǒng)天然的安全缺陷,汽車行業(yè)因此面臨著PC和互聯(lián)網(wǎng)領(lǐng)域一樣日趨惡劣的信息安全形勢,黑客攻擊、安全漏洞、汽車破解和劫持開始頻繁跟汽車關(guān)聯(lián)。尤其近兩年,就發(fā)生過多起汽車安全漏洞事件:
2014年7月,360宣布發(fā)現(xiàn)了特斯拉應(yīng)用程序的缺陷,攻擊者利用這個漏洞,可遠(yuǎn)程控制車輛,實現(xiàn)開鎖、鳴笛、閃燈、開啟天窗等操作;
2015年2月,美國通用汽車公司OnStar系統(tǒng)被曝安全漏洞,黑客可以利用來遠(yuǎn)程操控汽車;
2015年6月,烏云漏洞平臺、360補天漏洞平臺曾曝光比亞迪云服務(wù)存在嚴(yán)重安全漏洞,車輛可完全被黑客控制,緊接著比亞迪官方確認(rèn)漏洞存在。
……
以上只不過是我們所知道的一部分案例。車聯(lián)網(wǎng)不停止演進(jìn),汽車的技術(shù)安全事故就必然再次重演。頻發(fā)的安全漏洞和黑客攻擊事件是一種警醒:汽車的信息系統(tǒng)安全正在直接影響汽車安全,危及公共安全、人身和財產(chǎn)安全。
360公司的首席工程師、漏洞實驗室團(tuán)隊負(fù)責(zé)人鄭文彬告訴鈦媒體,汽車安全與之前PC、手持設(shè)備的安全是有區(qū)別的,但最終會有一個交集。“目前大多數(shù)汽車品牌都是獨有系統(tǒng),尤其是控制系統(tǒng)基本上是傳統(tǒng)的,但未來會向手持設(shè)備的通用系統(tǒng)靠攏,只要與安卓和iOS系統(tǒng)有連接,汽車的危險性就會增加”,他這樣告訴鈦媒體。
鄭文彬還舉例說,Java號稱目前全球有40億臺設(shè)備在運行,如果發(fā)現(xiàn)一個漏洞,黑客就有機會一舉攻擊這40億臺設(shè)備。汽車也是如此,裝載同一個系統(tǒng)安全等級和危害性都是一致的,城門倘若失火,必將殃及池魚。
移動互聯(lián)時代,安全已經(jīng)突破了軟件、內(nèi)容、服務(wù)等界限,傳統(tǒng)的安全防護(hù)思路已經(jīng)無法解決真正的安全問題了。
那么,這是否意味著只要是智能聯(lián)網(wǎng)的東西,在黑客眼中都是漏洞百出?我們可以做些什么?尤其對于與我們生命戚戚相關(guān)的汽車安全?
不久前,在2015 SyScan360國際前瞻信息安全會議上,入侵吉普切諾基的兩位黑客查理 米勒和克里斯 瓦拉塞克的現(xiàn)身說法,給我們提供了一種思路。
他們稱自己為“白帽子”黑客,并不會主動去攻擊別人的汽車,反而會對汽車安全性繼續(xù)進(jìn)行研究。在他們看來,入侵吉普切諾基正是作為一名黑客可以影響真實世界的例子,他們希望借助這次事件促使搭載智能設(shè)備的汽車廠商對安全產(chǎn)生足夠的重視,這樣汽車廠商們才會在安全上投入更多的努力。
這恰恰也驗證了,網(wǎng)絡(luò)黑客和安全人才與汽車相關(guān)廠商的合作,正成為保證車聯(lián)網(wǎng)安全的重要發(fā)展方向。在今年9月份的時候,Uber就聘請了查理 米勒和克里斯 瓦拉塞克加盟,宣稱將為Uber自動化駕駛打造世界級的安全項目。
除此之外,據(jù)鈦媒體了解,國內(nèi)外一些汽車廠商也邀請黑客為汽車安全進(jìn)行“把關(guān)”。比如,加拿大軍方的合同就包括黑客對于2015年的輕型皮卡車系統(tǒng)的破解分析,合同中明確提到黑客們必須找出其中的漏洞,并展示汽車是如何被黑客入侵的。
通過這種方式,如果能夠提前發(fā)現(xiàn)系統(tǒng)漏洞,并且及時修復(fù),那么有心做壞事的黑客就沒法利用這個漏洞損害企業(yè)以及用戶利益了。
“不過,即便能夠主動防御和規(guī)避漏洞,也無法百分之百阻擋黑客的攻擊,在與病毒制作者你來我往的交手,這是一個博弈的過程”,鄭文彬毫不掩飾他對汽車安全的擔(dān)憂。鄭文彬還提到,車聯(lián)網(wǎng)存在安全隱患還有一個重要的原因是行業(yè)車載智能系統(tǒng)和智能硬件層出不窮,但并未建立一個標(biāo)準(zhǔn)。
我們知道,Google和蘋果紛紛推出了Android Auto和CarPlay,雙方都在籌備大規(guī)模推廣,試圖給用戶的汽車帶來一個安全和友好的移動體驗。雖然在國外也取得了一定的進(jìn)展,但關(guān)照國內(nèi)的市場環(huán)境,狀況堪憂。整個汽車市場,都太需要一個機構(gòu)去推動汽車系統(tǒng)的統(tǒng)一、解決潛在的安全隱患。
去年的時候,美國汽車制造商聯(lián)盟(AAA)就首次達(dá)成協(xié)議,將制定抵制黑客侵襲的隱私保護(hù)政策。預(yù)計今年年底,由美國汽車制造商聯(lián)盟和全球汽車制造商協(xié)會牽頭,美國多家汽車廠商也將聯(lián)合成立信息分享和分析中心(Information Sharing and Analysis Center,簡稱ISAC),以共同對抗汽車黑客攻擊。
在國內(nèi),我們也看到了這樣一種機構(gòu)誕生的苗頭。日前360總裁齊向東曾透露,360目前正在聯(lián)合多家機構(gòu)和車企,籌備成立中國車聯(lián)網(wǎng)安全聯(lián)盟,想要集合全社會的網(wǎng)絡(luò)安全能力,共同面對和解決汽車的信息系統(tǒng)安全,吸收和幫助第三方的安全研究人員一起參與汽車信息系統(tǒng)安全問題的研究和解決。
不過,即便有了行業(yè)的推動,我們每個人也都應(yīng)該培養(yǎng)自主安全意識,如果說之前我們在云端損失的是個人隱私以及部分財產(chǎn),那么隨著車聯(lián)網(wǎng)時代的到來,我們就該學(xué)著對自己的生命負(fù)責(zé)了。
京公網(wǎng)安備 11010502049343號