买部无人驾驶汽车,还得学习反黑客技术?
“未来的汽车是带轮子的电脑”这句话已经被安到太多中外科技名人的头上,再轮下去就要到孔子和司马迁了。但自动驾驶技术推进步伐之快,确实让我们不得不担心起坐在这部“电脑”里的自己,因为只要是电脑,就有被黑客入侵的可能。
数据安全专家 Craig Smith 最近出版了一本名为 《汽车黑客手册:防入侵指南》(《Hacker’s Handbook: A Guide for the Penetration Tester》) 的书,指出无人驾驶汽车的诸多数据安全漏洞,旨在为无人驾驶汽车车主们提供一份防止黑客入侵自己汽车的教程。
Smith 拥有 20 年银行和医疗保健行业数据安全保护经验的。在一次参加汽车技术研发机构 Open Garages 关于自动驾驶技术的会议时,他发现来的全是几乎机械工程师,只有他一个是数据安全方向的研究人员。
同时他发现,无人驾驶汽车车主的对自己的汽车数据权限低得让人惊讶,他们甚至无从了解自己的汽车在网络连接、操控、预判等方面的程序运作方式。
在自动驾驶汽车出现程序错误或者遭到非法程序入侵时,汽车生产厂商可能无法及时介入帮助车主,而被隔绝的车主自己也无法发现问题,更谈不上提前的防护。
爱范儿(微信公众号:ifanr)去年也报道过 两个美国白帽黑客们入侵行进中的汽车的实验 。
(图自: 连线 )
两人通过网络接入克莱斯勒汽车的车载联网系统 Uconnect,并对 Uconnect 的芯片进行编程,并植入自己的一串代码。这样一来,他们就能直接与车子内部电脑网络进行通讯,做到远程地控制车上的其他物理部件,包括:雨刷、音响、变速器、刹车、油门等。
(图自: 连线 )
参加实验的人发现自己做什么汽车都不听话,变速器自动挂空档、音响被调到最大声、挡风玻璃泡沫乱喷。
同时,车辆的信息也瞬间赤裸:GPS 坐标、车架号、品牌、型号以及 IP 地址全部可以被白帽黑客们查看。
这还是普通的汽车,网络依赖程度更高、拥有更多智能设备的无人驾驶汽车被攻击的渠道就更多了。
(图自: techcrunch )
“你花了 3 万多美元买了一辆车,但没法保证它的数据安全,那这台车究竟是你的还是汽车厂商的?”Smith 在他的书中说。
我只是想买部无人驾驶汽车而已,还非得学习反黑客技术不可?除了极客车主,没有几个车主有相应的知识和兴趣,去为自己的无人驾驶汽车做数据安全维护。
“汽车厂商已经做过了防入侵测试,但你还需要第三方检验。这个第三方可以是其他独立的工程师,也可以是车主自己。”Smith 在书中说:“我希望这本书能给读者这样一个安全观念。”
(图自: digitaltrends )
而关于预防措施,上文提到的两位白帽黑客在去年的 拉斯维加斯举办的黑帽大会 提出过一个应对方案:设计了一个入侵检测系统,可以嵌到汽车中检测外界干扰,一旦发生网络攻击,汽车将关闭网络功能。
这对于一般汽车而言或许还算一个办法,但完全不适应于高度依赖网络的无人驾驶汽车。
针对无人驾驶汽车,Smith在 300 多页的书中分析了很多独有潜在的数据安全隐患,同时也提出了一些解决办法。其中最受关注的也是关于黑客入侵后远程控制汽车操作的内容。和一般汽车只能干扰驾驶不同,无人驾驶汽车被控制后甚至可以实施精确的驾驶操作。
Smith 认为,尽管听起来可怕,但这件事中技术上实现的可能性很低。因为无人驾驶汽车的工程师们也明白,它们产品必须有更高水平的网络防火墙防护。
(图自: carwow )
“自动驾驶汽车的传感器并不听从外部指令。工程师们有做预防传感器被入侵的设计。”Smith 说:“除非黑客能同时入侵所有传感器,对它们的操作又完美得躲开系统防火墙的侦测。”
另外从入侵目的来看,黑客的主要目标不会是对车主造成人身伤害,除非刚好遇上反社会人格者。Smith 指出,入侵无人驾驶汽车的黑客主要目标是车主的个人信息,比如个人身份、定位信息、摄像头等。
题图自: digitaltrends