越智能越危险?细数黑客与自动驾驶的不解之缘

如今，车联网技术已经成为科技、汽车公司发力的新领域，自动驾驶和无人驾驶技术普及的趋势越来越明显。然而，随着汽车与互联网的亲密接触，一方面强化了驾乘以及娱乐方面的体验，另一方面也悄悄为黑客开了一道“后门”。因安全漏洞引发的汽车安全问题着实让人担忧。

汽车不同于电脑，入侵行为会对驾驶者构成生命危险，万一被黑客接管了车辆，油门刹车都不受控制时，方向盘握得再紧也没有用了。这也是为什么“黑客入侵汽车”听上去要更加可怕。

越智能越危险？汽车被黑案例

随着汽车联网后越来越智能，汽车被黑的案例也不在少数。这不，就在这几天，国内的科恩实验室以“远程无物理接触”的方式成功入侵了特斯拉汽车。

1、全球首次无物理接触远程入侵特斯拉

所谓的“远程无物理接触”方式，说的简单点就是研究人员只需坐在办公室，就能完成对特斯拉的远程控制。在此之前，特斯拉已经被不少黑客拿来开刀，但他们的入侵都以“进入实车，物理接触”或“劫持特斯拉手机 App”等条件为前提的，而且不足以接触汽车的核心车电网络。

科恩实验室的这次入侵是全球范围内第一次通过安全漏洞，成功无物理接触远程攻入特斯拉车电网络，并实现对特斯拉进行任意的车身和行车控制。该实验室目前尚未透露他们如何实现入侵的细节，而特斯拉方面则在10日内紧急修复了系统漏洞。

再次，工场菌要提醒各位车主的是，该问题影响目前特斯拉已售和在售的多款车型，车主们需要尽快升级系统，以确保漏洞被修复，保障安全。

2、140万辆存在安全漏洞的汽车被召回

去年，美国网络安全专家查利?米勒和克里斯?瓦拉塞克“黑入”一辆切诺基吉。两人在家利用笔记本电脑，通过这辆吉普车的联网娱乐系统侵入其电子系统，使汽车的变速箱和刹车系统失效，并且能够在倒车过程中控制车辆的方向盘……米勒和瓦拉塞克认为，吉普车上的互联网连接功能对黑客来说是非常理想的漏洞，只要找到车的IP地址，侵入系统，就能“劫持”车辆。

也正是因为这两位白帽黑客的入侵行为，致使美国菲亚特克莱斯勒汽车公司召回了140万辆面临黑客攻击风险的汽车。用科罗拉多州安全公司LogRhythm首席信息安全官詹姆斯·卡德尔的话说，此事事关“140万个处于危险中的生命”。

3、OBD产品也存在安全风险

上述两位白帽黑客在今年又入侵了他们自己的切诺基，这一次，他们不仅在高速公路上肆意转向，甚至还打开了驻车制动。这次的入侵行为依然需要对汽车进行物理访问 ，即通过笔记本电脑连接到车内的OBD-II发动机诊断接口。

查利?米勒和克里斯?瓦拉塞克表示，他们能够通过更新电控单元（ECU）固件使车辆自检和平衡功能失效，在任何时候，都能对转向进行控制。另外，他们可以在任何速度下操控方向盘，激活驻车制动，或调整ACC自适应巡航功能设置。从理论上讲，这种人为操控行为可能会导致某人猛转方向或追尾。

尽管今年对Jeep切诺基的入侵、控制更困难，需要黑客亲自在车内执行，但这也暴露了某些OBD产品存在一定的安全风险，它们可能被黑客利用，成为入侵控制车辆的工具。

白帽黑客的存在为车企自动驾驶研发带来的好处

面对上述情况，汽车制造商们的反应相比一直浸淫此道的IT行业人员，似乎总是慢半拍。这种慢不仅表现在对网络安全的解决方法上，更多的体现在处理的方式与态度上。对于汽车制造商而言，如何减少漏洞的存在、出现漏洞时该怎样应对都是噬待解决的问题。

在网络安全这件事上，白帽黑客，或者说是“安全研究员”起到了很大的推动作用。中国移动首席科学家杨景认为，“虽然汽车在联网之后有了会遭受攻击的可能，但同样也会有很多人来帮助汽车制造商们去寻找和解决这些漏洞。”

这种事情在IT业已经发展为常态，很多公司都有“BUG悬赏计划”，以奖金来鼓励安全研究员为他们进行测试以及寻找bug所在。Windows系统就是这类计划的受益者之一，而谷歌也有类似的奖励项目：如果谁能远程破解其他人的谷歌账户，就能拿到2万美元的奖金。

“BUG悬赏计划”为这些安全研究员们提供了提交BUG的官方入口，同时也从侧面证明，有这类计划的公司已经建立起一套完整的BUG接收、检查与修复的流程。不过，从去年查利?米勒和克里斯?瓦拉塞克远程破解Jeep之后，除了特斯拉和通用外，并没有多少车企建立类似的悬赏计划。

关于网络安全，众所周知这是一个长期战。白帽黑客虽能发现问题提出问题，但后续还是需要汽车厂商、安全公司等多方协同合作。首先，汽车厂商需要不断总结、完善汽车平台的技术安全性，这需要厂商们建立一个共同探讨的平台，而不是将其视为“商业机密”而故步自封。

其次，第三方协作的引入是必要的，如网络安全公司、白帽黑客组织等，对车载系统的安全性进行广泛评估。另外，数据采集和及时进行安全更新也十分重要，不过由于汽车拥有其特殊性，“安全更新”可以说是目前的难点之一。还有一个值得探讨的问题是，是否应该在汽车系统中加入关键区域的隔离措施，这可能会影响一部分配件市场。

不管怎么说，关于“智能汽车”的话题现在仅仅是个开始，尽管看上去困难重重，但也不能因噎废食放弃研究，毕竟“智能化”是未来汽车发展的方向。相信汽车厂商和互联网公司能够相互合作，加大研发力度，保障消费者的安全。