专栏名称: 侠客岛
但凭侠者仁心,拆解时政迷局。
目录
相关文章推荐
瞭望智库  ·  看似简单,实则也不难? ·  2 天前  
中国政府网  ·  央行开展3000亿元MLF操作 ·  3 天前  
51好读  ›  专栏  ›  侠客岛

智能网联汽车的信息安全,就是那头“灰犀牛”

侠客岛  · 公众号  · 政治  · 2017-07-29 00:32

正文


老大哥正在看着你


万物互联互通时代,奥威尔在《1984》里传递的这种被监视的恐惧,开始变得真实可感——在网站上浏览过什么东西,下次其他网页上会弹出类似货物;接起陌生电话,知道你的身份工作甚至银行卡号;就连家里的电视,都可能被CIA用来当作监视用的摄像头……


换句话说,这种被监视被操控的感觉,主体可能是多变的,可能是CIA这样的情报机构,也可能是贩卖个人信息的内鬼;但都是在技术上占据了高地的人。


时代变得真是快。李彦宏坐着无人驾驶的车奔上五环被交警盯上还没多久,小伙伴就告诉我,就连你开的车,都有可能被黑客远程操控了。


这就很尴尬了。



1


拿目前在互联汽车上走得最远的特斯拉来说吧。毕竟,在目前的上市车辆里,特斯拉的互联网接入功能非常全面。


去年,腾讯旗下的科恩实验室宣布发现了特斯拉的安全漏洞。近两日,他们再次公布视频称,通过特斯拉车机浏览器的漏洞,利用Linux系统的缺陷,就可以获得车辆的最高权限。之后,理论上说,黑客就可以对这辆车为所欲为了。


这并不是黑客第一次发现智能车辆的漏洞。


2015年,两名黑客在美国做了一场试验:利用互联网技术侵入一辆行驶中的切诺基吉普车电子系统,远程操控加速、制动系统、电台和雨刷器等装置,甚至让汽车冲进路旁沟里。这一试验,引发了全球汽车企业对智能汽车安全问题的关注。2016年,二人再次黑掉了Jeep自由光的ECU系统。这意味着,入侵者可以随意控制这台车辆的加速、制动以及转向等操控行为。



幸运的是,这两名黑客,和科恩团队一样,属于白帽黑客。仅2015年的试验,就让菲亚特召回140万辆已售出的轿车和卡车,给每个消费者寄软件升级U盘,或者引导后者去服务中心升级软件,前后花了几个月和上亿美元,以防黑客通过互联网远程控制操控车辆。


高端的无钥匙点火系统,也一样不安全。美国国家保险犯罪局(NICB)就发现,黑客可以利用特制设备,复制车辆的钥匙信号,解锁并开走汽车。


NICB测试,35辆不同的汽车当中,有19辆可以解锁,其中18辆能够开动。包括2017款丰田凯美瑞、2016款雪佛兰Impala2015款福特锐界和2013款混合动力大众捷达等在内的多款流行车型,都属于易受黑客攻击的范畴。


这还是自动驾驶远未真正实现的条件下。如果是自动驾驶的汽车,诸如超声波雷达、毫米波雷达、高清摄像头等核心传感器和识别设备,也都完全可能被技术攻击,造成智能网联汽车偏行、紧急停车等。


所以,对黑客、汽车新技术和安全的担忧,绝对不是杞人忧天。特斯拉创始人埃隆-马斯克就表示,网络安全已是他的首要关注点。他同时警告其他汽车公司,网络安全可能会成为一大问题。



2


最近,腾讯汽车在美国搞了个沙龙,名字很有趣,叫破坏,为了更伟大的创新


像科恩实验室这样的白帽黑客,努力找出特斯拉这样标杆产品的漏洞,看起来是破坏,其实是为了让其更好地改进产品,提高安全系数。


在我们去年攻破特斯拉之前,大家都觉得问题很难发生,我们说的威胁也难以实现。直到我们的视频让大家看到,原来远程刹车、远程控汽车是可以做到的。科恩实验室总监吕一平如是说。


对攻破JEEP的全球顶级黑客查理·米勒来说,发现漏洞并非是炫耀技术,而是希望车企采取更多的措施去加密CAN总线。他建议,各家车企应该建设一套恶意攻击监控系统,当整车系统被侵入时,监控系统就可以第一时间发现并采取相应措施进行控制。



大家可能觉得智能网联车辆还稍微有点遥远,但在业内人士看来,这一大潮其实已经很难逆转。如果类比一下的话,特斯拉就好比是最初的iphone;黑客能在老的翻盖手机上做的事总是有限的,但在智能机时代,远程控制的可能性和影响力就大得多。


回想一下前阵子的勒索病毒。物联网时代虽然刚起步,黑客居然已经可以通过入侵电站,造成大面积停电;再早几年,黑客就曾通过控制核心元件,毁掉了伊朗的核浓缩设施。


就拿车上最常被触摸的方向盘说。五到十年前,车上很多都是液压助力方向盘,很难控制;但最近五年,大家都倾向于使用电助力方向盘,一旦车被攻击者拿到,就有可能容易被控制。


当然,和手机阵营的ios和安卓、PC端广泛使用windows的情况不同的是,汽车的软硬件复杂,车型多元,系统亦有linuxQUX、安卓等,因此短时间内,如果黑客要批量化、大规模地攻击汽车,可能还有难度。但由于汽车的特性不仅涉及财产安全,还包括个人隐私与生命安全,一旦发生勒索事件,很可能首先就是针对车厂形象、安全漏洞的勒索。


3


技术的进步,往往伴随着巨大的争议,之后不断解决新问题,从而取得进步。


当越来越多的车开始联网、搭载越来越复杂的车载系统时,随之而来的就是网络安全问题。即使是非常重视网络安全的特斯拉,也依然被挖出了严重漏洞——更何况,目前很多传统车企尚未组建专门的网络安全团队,其车载系统受攻击的危险系数可想而知。


汽车工业,长期以来就是相当封闭的工控系统。在特斯拉这样的企业带动下,汽车行业也开始利用互联网的高效来提升效率。比如,特斯拉在后台推送更新补丁,而菲亚特则将客户召至门店或者寄送U盘。在传统汽车厂商那里,出现软件问题,基本上要把车拿到车行重新刷一遍硬件才能够实现,构成成本上的劣势。


也有很多人担心,如果汽车核心控制系统接入互联网,或者保留接入互联网的物理通道,是非常危险的。毕竟,个人安全怎么强调也不为过。


有趣的是,花大力气攻破特斯拉的科恩实验室属于腾讯旗下,腾讯则同时是特斯拉的第五大股东。像这样的汽车厂商与安全团队的合作模式,未来会否成为汽车行业的流行模式,未来也有待观察。



在我的预判里,大概在未来三到五年,我们就会陆续看到智能网联的汽车走进大家的生活,甚至步伐更快。我们其实预测,大概三年之后,2020年,汽车的智能网联信息安全问题会集中爆发出来。所以,我们希望在这样的节点上,让整个行业关注安全问题。腾讯汽车总编辑王秋凤说,这就是为什么要跑到美国黑客大会上做这样的沙龙的原因。


和传统互联网一样,物联网时代,安全也一样是用户的核心关切,也是整个行业和社会面临的共同挑战。这几年很多创业者和厂商喊着要搞智能汽车,虽然并不知道他们是否做好了足够的心理和技术准备。


对行业乃至社会来说,智能网联汽车的安全,就会像是那头灰犀牛一样,远看着人畜无害,等到它飞奔过来将自己践踏在地,可能早悔之晚矣。其实,无论对于厂商,还是消费者、管理者,未雨绸缪,提升安全意识,尽早做准备,可能是最明智的选择。