汽車的下一個安全隱患

劉兆才

在談及汽車安全時，主動安全和被動安全是必須要強調的。但是，隨著汽車行業的發展，汽車正在逐漸擺脫傳統的定義，尤其在未來車聯網、自動駕駛等逐步興起以后，汽車正從傳統意義上的交通工具向移動終端轉變，未來的汽車聯網程度和智能化程度都會達到前所未有的狀態，那時將要面臨的安全問題，除了主被動安全性外，還會遇到一個更大的威脅——黑客。

黑客誕生于IT行業，攻擊的對象針對的是一切可以接入互聯網的終端。當傳統汽車行業逐步將汽車接入互聯網后，汽車就自然而然地成為了下一個受攻擊的目標。

其實，在我們剛開始談論汽車的網絡安全的時候，業界已經對黑客入侵汽車的事件保持了高度警惕。去年在全球最大規模的GeekPwn智能設備破解挑戰賽上，“白帽”黑客Keen Team成功破解了特斯拉汽車，使其可以實現無人駕駛。利用安全漏洞，黑客可以讓特斯拉在行駛狀態下被悄無聲息地遠程控制，使其從前行突然變為倒車，甚至熄火失控。在今年美國拉斯維加斯的“黑帽”信息安全大會上，Lookout信息安全公司在特斯拉Model S上進行了實車漏洞測試，并公布了6個重大安全漏洞，進一步證明了黑客可以利用這些漏洞實施對車輛的非法控制。

有些人覺得特斯拉總是在風口浪尖，和自己的用車環境還有距離，那就錯了。我們再來看幾個離我們很近的例子。

Twitter公司軟件安全工程師查理·米勒和IOActive安全公司智能安全總監克里斯·瓦拉賽克不久前就扮演了“白帽”黑客的角色，在獲得美國政府許可的情況下，對經由網絡入侵攻擊汽車進行了研究，他們的研究對象包括了普銳斯和翼虎。他們可以通過網絡控制普銳斯在80mile/h（128km/h）的條件下猛然間緊急制動、讓汽車猛打轉向盤、讓發動機突然加速。通過對翼虎的攻擊，能讓翼虎在超低速行駛時制動失效，無論駕駛員如何猛踩制動踏板，都無法讓車輛停止，車輛會始終保持行進狀態。米勒和瓦拉賽克的研究對象共有24款車型，并根據受網絡黑客攻擊的難易程度對這些車型進行了評級，其中2014款Jeep自由光、2014款英菲尼迪Q50和2015款凱迪拉克凱雷德車型最容易被黑客入侵。聽起來已經有點兒讓人不安了，好在白帽黑客的目的是研究，如果這些漏洞被黑帽黑客率先利用，那就讓人惶恐了。

類似的研究還有。通過寶馬ConnectedDrive數字服務系統，在短短幾分鐘內，黑客能夠從該漏洞以遠程無線的方式侵入車輛內部，并打開車門，應用該系統的寶馬、勞斯萊斯和MINI三大品牌都受到了威脅。早在2013年，英國伯明翰大學的Flavio D. Garcia、荷蘭內梅亨大學的Roel Verdult和Baris Ege宣布突破了奧迪、保時捷、賓利和蘭博基尼等大眾汽車集團旗下豪華車品牌的Megamos Crypto防護系統，發現了車輛內部的獨特邏輯代碼，能夠允許車輛識別點火鑰匙的特征。此外，“白帽”黑客Samy Kamkar通過攔截安吉星RemoteLink APP以及安吉星服務端的鏈接，成功實現了定位、解鎖并遠程啟動車輛。

盡管這些黑客大部分是以“白帽”身份公布了攻擊漏洞，而且部分廠家也已經進行了大規模召回或者采取升級軟件等方式修補了漏洞，但是通過網絡對車輛進行攻擊的威脅已經赤裸裸地擺在我們面前，如果這些漏洞被攻擊，并惡意制造出一些傷害事件，那么將是非常可怕的事情。因此，在主被動安全性能被日益強調的情況下，汽車的網絡安全還需要一道防火墻，如何防止汽車被遠程惡意控制會成為未來汽車安全領域的又一個重要課題。