在黑客帝國中失控的汽車

徐鑫

早期廠商、消費(fèi)者、產(chǎn)業(yè)鏈都沒有經(jīng)驗(yàn)應(yīng)對各種黑客攻擊，而經(jīng)過一個階段的發(fā)展，隨著經(jīng)驗(yàn)的的豐富，攻防雙方的進(jìn)步，最終會有一個比較可靠的安全方案出來。電腦如此、手機(jī)如此，汽車也會如此。

2015年8月1日至6日，在美國拉斯維加斯舉行的黑帽信息安全大會上，有兩名研究人員公布了特斯拉Model S系統(tǒng)存在的六個重大安全漏洞，并通過其中一個漏洞實(shí)現(xiàn)對車輛的控制。汽車信息安全由此開始引起多方重視。

實(shí)際上，特斯拉系統(tǒng)被黑客攻擊并非特例，就在一個多月前，比亞迪通過官方微博確認(rèn)，自家車輛云服務(wù)控制系統(tǒng)存在安全漏洞。雖然比亞迪官方稱只有當(dāng)用戶手機(jī)被木馬、病毒或登陸惡意Wi-Fi熱點(diǎn)被入侵或破解時才會存在一定風(fēng)險。但由于該車型是量產(chǎn)車，所以這一消息讓人們大吃一驚。

當(dāng)黑客遇到汽車，我們還有安全嗎？消費(fèi)者應(yīng)該何去何從？這個問題得從頭說起。

汽車為什么會被黑

早年的汽車是一個機(jī)械設(shè)備，上面沒有多少電子設(shè)備，而現(xiàn)在的汽車上幾乎已經(jīng)不直接通過機(jī)械裝置控制汽車。

以加速為例，在踩下油門踏板之后，結(jié)構(gòu)上并不是直接通過鋼絲來控制節(jié)氣門開合，而是通過油門踏板傳感器把我們踩下的信號傳給行車電腦，行車電腦通過馬達(dá)來控制節(jié)氣門開合的程度，達(dá)到讓汽車加速的目的。現(xiàn)代汽車的開發(fā)調(diào)試標(biāo)定，其實(shí)很多都是軟件開發(fā)工作。所以，在行駛過程中，如果行車電腦的信號被干擾，駕駛員就被剝奪了汽車的控制權(quán)，后果不堪設(shè)想。

2007年豐田在美國被爆出“剎車門”事件，美國法院聽取了嵌入式技術(shù)專家Michael Barr的證詞。結(jié)論其實(shí)很簡單，因?yàn)樨S田電子系統(tǒng)設(shè)計(jì)有缺陷，容易出現(xiàn)堆棧溢出同時缺乏足夠的校驗(yàn)糾正，而這個計(jì)算機(jī)領(lǐng)域的簡單問題，出現(xiàn)在汽車上就有可能造成油門信號鎖死，車輛一直加速，油門剎車全部失靈，汽車持續(xù)加速停不下來，最終車毀人亡。

也就是說，現(xiàn)代汽車的核心是行車電腦，汽車的所有控制信號都是駕駛員通過操作傳遞給行車電腦，然后行車電腦通過電傳信號完成控制和操縱。如果黑客入侵了行車電腦，遠(yuǎn)程給行車電腦下達(dá)指令，那么駕駛者就失去了車輛的控制權(quán)，而黑客可以完全控制汽車，造成車毀人亡。面對一臺油門一直加速，剎車失靈，方向失靈的車子，車上的人除了祈禱還能干什么呢？

汽車的行車電腦需要專用的線路或者設(shè)備才能連接，這種連接只有去4S店維修保養(yǎng)的時候才會用到。現(xiàn)在流行的OBD盒子，其實(shí)也是連接行車電腦獲取信息。但是，現(xiàn)在汽車廠商轉(zhuǎn)變策略、為了提高銷量，逐步開始研發(fā)車聯(lián)網(wǎng)、智能駕駛等功能，而這種功能，先是把汽車的中控系統(tǒng)與互聯(lián)網(wǎng)無線連接，同時為了完成一些遠(yuǎn)程的故障診斷和操控，又把行車電腦與互聯(lián)網(wǎng)連接在一起，這就建立起來一條黑客通過互聯(lián)網(wǎng)直接操控汽車的通道，危險隨之發(fā)生。

危險的現(xiàn)狀

在美國圣路易斯下城區(qū)的街道上，一輛以70碼時速行駛的Jeep自由光突然失去了控制。首先是冷風(fēng)突然調(diào)到了最大檔，雨刮噴出清潔劑，然后是加速失去了控制，不管怎么踩油門踏板，車速都不再增加，后面的車子路過的時候憤怒地看著它……

這并不是一場意外事故，而是由兩位黑客侵入并控制車輛的測試研究。他們在10英里以外的地方對車輛實(shí)現(xiàn)了無線控制。他們成功利用了JEEP的Uconnect系統(tǒng)的漏洞，對車輛進(jìn)行控制。

美國馬薩諸塞聯(lián)邦議員Edward J. Markey的一份汽車安全報(bào)告中也提出多數(shù)主機(jī)廠尚未有意識，或者還不具備能力匯報(bào)以往的黑客入侵事件。

從本質(zhì)上來說，汽車的計(jì)算機(jī)系統(tǒng)所采取的手段與普通的計(jì)算機(jī)沒有什么不同，也要做安全認(rèn)證，需要防范入侵。但是汽車主機(jī)廠應(yīng)對黑客的經(jīng)驗(yàn)遠(yuǎn)不如IT企業(yè)，對于信息的安全意識也不如IT企業(yè)，有些用戶會發(fā)現(xiàn)自己的信息莫名其妙的就出現(xiàn)在網(wǎng)上的汽車商城。對黑客來說，大多數(shù)汽車廠商的電腦系統(tǒng)不堪一擊。用戶信息輕易就可以獲得，這就是缺乏經(jīng)驗(yàn)與意識造成的。

汽車同樣如此，以比亞迪為例，廠家的云服務(wù)并沒有對黑客做太多考慮。手機(jī)可以控制汽車，只是簡單的密碼認(rèn)證，而手機(jī)上的密碼可以輕易被木馬軟件或者盜取密碼的WIFI熱點(diǎn)獲得。而更糟的是比亞迪云服務(wù)系統(tǒng)安全設(shè)計(jì)過于簡單，黑客只要編寫一個窮舉手機(jī)號的小程序，就可以獲得服務(wù)器端全部車主的車主姓名、車牌號、車架號、身份證號、手機(jī)號甚至第二聯(lián)系人姓名等信息和車輛控制密碼。

車主信息泄露不算，控制密碼也被泄露，汽車就危險了，雖然比亞迪接到通知后即時修補(bǔ)了漏洞，但是這個事情也說明了汽車廠商的安全意識還較為薄弱。

消費(fèi)者并非避無可避

目前，汽車的安全問題比較嚴(yán)重，這是因?yàn)檎麄€車聯(lián)網(wǎng)還在一個過渡期?，F(xiàn)在絕大部分汽車已經(jīng)有行車電腦，但是行車電腦是不接入車聯(lián)網(wǎng)、互聯(lián)網(wǎng)的。雖然行車電腦的一個數(shù)據(jù)錯誤，就可以車毀人亡。但是不聯(lián)網(wǎng)，黑客天大的本事也修改不了你的數(shù)據(jù)，黑不了你的汽車，汽車反而是安全的。而少數(shù)先進(jìn)一些的汽車，直接接入了互聯(lián)網(wǎng)，但是在安全防護(hù)上沒有經(jīng)驗(yàn)，容易被黑客入侵。

從個人電腦和智能手機(jī)的安全史可以發(fā)現(xiàn)，電腦安全挑戰(zhàn)最大的時代就是互聯(lián)網(wǎng)寬帶剛剛流行的階段，廠商也好，用戶也越好，還沒有防范黑客、病毒、木馬的安全意識。而智能手機(jī)安全形勢嚴(yán)峻也是3G普及，安卓剛剛流行的階段。同樣是用戶和廠商缺乏防護(hù)的經(jīng)驗(yàn)造成的。早期廠商、消費(fèi)者、產(chǎn)業(yè)鏈都沒有經(jīng)驗(yàn)應(yīng)對各種黑客攻擊，而經(jīng)過一個階段的發(fā)展，隨著經(jīng)驗(yàn)的的豐富，攻防雙方的進(jìn)步，最終會有一個比較可靠的安全方案出來。電腦如此、手機(jī)如此，汽車也會如此。

汽車的信息安全不僅僅關(guān)系到用戶的財(cái)產(chǎn)，也關(guān)系到用戶的生命。所以對于汽車的選擇，消費(fèi)者可以保守一點(diǎn)，目前先不要選擇直接接入互聯(lián)網(wǎng)的汽車，可以選擇不帶車聯(lián)網(wǎng)，不帶輔助駕駛的低配車型，或者斷開與互聯(lián)網(wǎng)的連接，確保安全。而等到黑客和汽車廠商互相過招，汽車廠商在安全上逐步成熟起來之后，消費(fèi)者再選購帶有車聯(lián)網(wǎng)和自動駕駛功能的智能汽車，充分享受科技的樂趣，而到那個時候相關(guān)的法案，政策也會出臺，亂象會成為歷史。雖然目前汽車安全形勢嚴(yán)峻，但是消費(fèi)者可以通過選擇回避風(fēng)險，有時候落后一點(diǎn)并不是壞事。