小心!无处不在的黑客可能已经把手伸向了你的汽车
【宋长乐/钛媒编辑】近两年随着汽车越来越智能化和联网化,智能导航、自动驾驶、远程控制等一系列新型操控方式正在趋于成熟,汽车成了名副其实的“轮子上的电脑”。但随之而来的是“汽车黑客”这个群体的数量增长,原因是任何技术都存在漏洞,而汽车安全问题也越来越受到重视。
3个月前,美国著名黑客查理•米勒和克里斯•瓦拉塞克利用车载信息服务系统“UConnect”成功从十英里以外入侵了一辆在高速公路上行驶的吉普切诺基,导致汽车行驶途中失灵,翻到了沟里。
这一事件意味着正式将黑客的威胁带入到生命层面。在此之后,克莱斯勒公司宣布召回约140万辆存在软件漏洞的汽车,这也是首例汽车制造商因为黑客风险而召回汽车的事件。
事实上,由于汽车中使用的计算和联网系统沿袭了既有的计算和联网架构,也继承了这些系统天然的安全缺陷,汽车行业因此面临着PC和互联网领域一样日趋恶劣的信息安全形势,黑客攻击、安全漏洞、汽车破解和劫持开始频繁跟汽车关联。尤其近两年,就发生过多起汽车安全漏洞事件:
2014年7月,360宣布发现了特斯拉应用程序的缺陷,攻击者利用这个漏洞,可远程控制车辆,实现开锁、鸣笛、闪灯、开启天窗等操作;
2015年2月,美国通用汽车公司OnStar系统被曝安全漏洞,黑客可以利用来远程操控汽车;
2015年6月,乌云漏洞平台、360补天漏洞平台曾曝光比亚迪云服务存在严重安全漏洞,车辆可完全被黑客控制,紧接着比亚迪官方确认漏洞存在。
……
以上只不过是我们所知道的一部分案例。车联网不停止演进,汽车的技术安全事故就必然再次重演。频发的安全漏洞和黑客攻击事件是一种警醒:汽车的信息系统安全正在直接影响汽车安全,危及公共安全、人身和财产安全。
360公司的首席工程师、漏洞实验室团队负责人郑文彬告诉钛媒体,汽车安全与之前PC、手持设备的安全是有区别的,但最终会有一个交集。“目前大多数汽车品牌都是独有系统,尤其是控制系统基本上是传统的,但未来会向手持设备的通用系统靠拢,只要与安卓和iOS系统有连接,汽车的危险性就会增加”,他这样告诉钛媒体。
郑文彬还举例说,Java号称目前全球有40亿台设备在运行,如果发现一个漏洞,黑客就有机会一举攻击这40亿台设备。汽车也是如此,装载同一个系统安全等级和危害性都是一致的,城门倘若失火,必将殃及池鱼。
移动互联时代,安全已经突破了软件、内容、服务等界限,传统的安全防护思路已经无法解决真正的安全问题了。
那么,这是否意味着只要是智能联网的东西,在黑客眼中都是漏洞百出?我们可以做些什么?尤其对于与我们生命戚戚相关的汽车安全?
不久前,在2015 SyScan360国际前瞻信息安全会议上,入侵吉普切诺基的两位黑客查理•米勒和克里斯•瓦拉塞克的现身说法,给我们提供了一种思路。
他们称自己为“白帽子”黑客,并不会主动去攻击别人的汽车,反而会对汽车安全性继续进行研究。在他们看来,入侵吉普切诺基正是作为一名黑客可以影响真实世界的例子,他们希望借助这次事件促使搭载智能设备的汽车厂商对安全产生足够的重视,这样汽车厂商们才会在安全上投入更多的努力。
这恰恰也验证了,网络黑客和安全人才与汽车相关厂商的合作,正成为保证车联网安全的重要发展方向。在今年9月份的时候,Uber就聘请了查理•米勒和克里斯•瓦拉塞克加盟,宣称将为Uber自动化驾驶打造世界级的安全项目。
除此之外,据钛媒体了解,国内外一些汽车厂商也邀请黑客为汽车安全进行“把关”。比如,加拿大军方的合同就包括黑客对于2015年的轻型皮卡车系统的破解分析,合同中明确提到黑客们必须找出其中的漏洞,并展示汽车是如何被黑客入侵的。
通过这种方式,如果能够提前发现系统漏洞,并且及时修复,那么有心做坏事的黑客就没法利用这个漏洞损害企业以及用户利益了。
“不过,即便能够主动防御和规避漏洞,也无法百分之百阻挡黑客的攻击,在与病毒制作者你来我往的交手,这是一个博弈的过程”,郑文彬毫不掩饰他对汽车安全的担忧。郑文彬还提到,车联网存在安全隐患还有一个重要的原因是行业车载智能系统和智能硬件层出不穷,但并未建立一个标准。
我们知道,Google和苹果纷纷推出了Android Auto和CarPlay,双方都在筹备大规模推广,试图给用户的汽车带来一个安全和友好的移动体验。虽然在国外也取得了一定的进展,但关照国内的市场环境,状况堪忧。整个汽车市场,都太需要一个机构去推动汽车系统的统一、解决潜在的安全隐患。
去年的时候,美国汽车制造商联盟(AAA)就首次达成协议,将制定抵制黑客侵袭的隐私保护政策。预计今年年底,由美国汽车制造商联盟和全球汽车制造商协会牵头,美国多家汽车厂商也将联合成立信息分享和分析中心(Information Sharing and Analysis Center,简称ISAC),以共同对抗汽车黑客攻击。
在国内,我们也看到了这样一种机构诞生的苗头。日前360总裁齐向东曾透露,360目前正在联合多家机构和车企,筹备成立中国车联网安全联盟,想要集合全社会的网络安全能力,共同面对和解决汽车的信息系统安全,吸收和帮助第三方的安全研究人员一起参与汽车信息系统安全问题的研究和解决。
不过,即便有了行业的推动,我们每个人也都应该培养自主安全意识,如果说之前我们在云端损失的是个人隐私以及部分财产,那么随着车联网时代的到来,我们就该学着对自己的生命负责了。(本文首发钛媒体)