车企VS白帽黑客：打一场关于「BUG修复」的攻防战

重赏之下，必有勇夫。

一个月前，日产因为Troy Hunt披露的bug而不得不关闭NissanConnect服务，并进行修复。

类似的情况，并非第一次发生。对于车辆联网之后新增的这些课题，汽车制造商们的反应相比一直浸淫此道的IT行业人员，似乎一直在慢半拍。这种慢不仅表现在对于网络安全的解决方法之上，更多在于处理的方式与态度。

对于汽车制造商而言，从技术层面用各种手段来尽量让保证网络安全与信息安全固然重要，但人无完人，并没有谁能保证软件100%无漏洞。那么，如何减少漏洞的存在、出现漏洞时该怎样应对都是噬待解决的问题。

漏洞悬赏计划

先回到Tory Hunt的这个事儿上。在上一篇文章中，车云菌已经将其发现漏洞之后与日产交涉的过程详细列了出来。但并没有提到的是，在Hunt刚发现这个漏洞时，他并不知道该如何联系日产的相关部门来报告这个BUG。

美国一家网站International Business Times（以下简称IBT）在与Hunt沟通时了解到，Hunt是在推特上发布了一条消息，才知道了日产信息安全部门的联系方式。

在网络安全这件事情上，如Hunt这样的白帽黑客，或者用他们更喜欢的称呼——安全研究员，一直起到很大的推动作用。车云菌曾经与中国移动首席科学家杨景聊过这个话题，他认为，虽然汽车联网之后就有了会遭受到攻击的可能，但是同样的，也会有很多人来帮助汽车制造商们去寻找和解决这些漏洞。

这种事情在IT业已经发展为常态，很多公司都有BUG悬赏计划，以奖金来鼓励安全研究员们为他们进行测试和寻找bug所在，Windows系统就是这类计划的受益者之一。谷歌也有类似的奖励项目，如果有谁能够远程破解其让人的谷歌账户，就能拿到2万美元的奖金。虽然谷歌还没有公布谁曾经做成过这件事情。

BUG悬赏计划为这些安全研究员们提供了提交BUG的官方入口，而有这类计划也从侧面证明，这家公司已经建立起一套完整的BUG接收、检查与修复的流程。不过，从去年Charlie Miller和Chris Valasek远程破解Jeep之后，大半年的时间里，并没有多少车企建立有类似的悬赏计划。唯二的两家，是特斯拉与通用。

BUG提交平台

特斯拉与通用都是都是通过公开的提交平台来发起BUG悬赏计划。

特斯拉在去年开始于Bugcrowd网站上开始了BUG悬赏计划，也是第一家进行悬赏的汽车制造商。悬赏金额从100美元到1万美元不等。根据网站上显示的信息，截止到目前，已经有106个BUG获得了奖励。这些漏洞由54名不同的安全研究员提交。

在项目介绍里也提到，这个悬赏并不只是针对特斯拉的汽车产品，还包括与汽车相关的移动端硬件，Powerwall乃至特斯拉的官网等。也正因为如此，所以并不能知道这106个漏洞里，究竟有多少是与汽车相关。

Bugcrowd网站只是给特斯拉和安全研究员提供了一个交流的渠道。在这个网站上，或者以公司的名义注册，来发起悬赏，或者以安全研究员的身份进行注册，可以根据悬赏项目来提交BUG。用来悬赏的也不只是现金，也有用网站点数来进行悬赏的，或者没有奖励。

通用所在的平台HackerOne与Bugcrowd类似，从今年年初开始，3个月的时间里，网站上列出通用已经解决的漏洞有85个。不过，通用目前并没有列出任何奖励措施，所有的安全研究员都是义务劳动。当然，通用也表示，最终也会采取奖金悬赏的方式。同样，HackerOne上也并没有关于漏洞的具体信息。目前，通用在全球有一个70人的团队在进行网络安全方面的工作。

除了通用与特斯拉之外，并没有车企有类似的项目。不过美国的Auto Alliance在去年7月份成立了信息共享分析中心（Information Sharing Analysis Center，以下简称ISAC），其会员之一福特表示已经加入ISAC。

据Auto Alliance的汽车安全副总裁Rob Strassburger介绍，ISAC将会成为一个交流中心，给汽车制造商、供应商以及相关的政府机构提供有关于网络威胁、软件弱点与漏洞等相关信息，也提供技术分析与防范手段。未来还会将电信运营商和相关的科技公司都纳入到这个范围。按照这个构想，未来ISAC或许也可以成为一个BUG的提交与汇总平台。

汽车制造商VS安全研究员

关于网络安全，众所周知这是一个长期战。在之前的文章也提到过，并没有绝对的安全，只不过是看破解所花成本与既得利益之比。性价比太低，自然也就没有了吸引力。所以汽车制造商与供应商，要做到的就是尽量提升这个「成本」，也就少不了长期的维护与修复。

自从车辆联网安全问题被提出之后，车企们在这件事情的应对措施上，得到肯定的并不多。从去年的克莱斯勒事件，到上个月的日产事件，发现漏洞的研究员都并不是在发现之后直接公开，都是选择了首先与车企进行沟通，但是最终都不得不用公开的方式来倒逼车企们采取措施。

要说这背后的原因，大部分要归咎于车企并没有健全的漏洞修复机制。没有健全机制的原因就多了，或者是这一块被完全忽视，也可能是重视的程度不够，或对网络安全的认识不够。现在的车型只有相当少一部分有OTA的功能，也能说明一些问题，就算发现了问题要如何修复呢？只能靠召回。

另外一个共同的特点就是解决问题的速度，相对于互联网行业来说，太慢。就比如日产这件事情，Hunt就是在一个月之后发现日产没有修复而已经有人在公开论坛讨论的情况下才决定公开细节。处理慢的原因也有很多，机制和能力是一方面，也有可能是车企自己也不能处理这个问题，而需要回过头去找供应商。在特斯拉的悬赏计划里，也特别注明，希望在将这个漏洞公开之前，能够给予足够的时间去进行修正。至于究竟多久算是足够，自然也视漏洞的大小来算。

当然，从政府机构到汽车制造商都开始认识到这一问题的严重性，所以这个情况正在改善：标准在制定，部门在组建，OTA被提得越来越多，相关的咨询机构备受欢迎。唯一的问题是，还并没有为常态化。

自去年开始，已经有越来越多的安全产品公司或者研究机构，乃至个人，盯上了汽车行业。对于汽车行业，这是一件好事。这些人和机构都带着互联网和移动互联网行业的经验与教训，如果两者之间配合好，自然可以让汽车行业在网络安全上加速前进。但现实总没有这么理想，一边讳疾忌医，一边过于激进，然后就胶着了。

从汽车行业来看，对于汽车制造商而言，自然是希望能够正视这一问题，然后接受，并尽快付诸于行动，才能有所改善。