徐鑫

早期廠(chǎng)商、消費(fèi)者、產(chǎn)業(yè)鏈都沒(méi)有經(jīng)驗(yàn)應(yīng)對(duì)各種黑客攻擊，而經(jīng)過(guò)一個(gè)階段的發(fā)展，隨著經(jīng)驗(yàn)的的豐富，攻防雙方的進(jìn)步，最終會(huì)有一個(gè)比較可靠的安全方案出來(lái)。電腦如此、手機(jī)如此，汽車(chē)也會(huì)如此。

2015年8月1日至6日，在美國(guó)拉斯維加斯舉行的黑帽信息安全大會(huì)上，有兩名研究人員公布了特斯拉Model S系統(tǒng)存在的六個(gè)重大安全漏洞，并通過(guò)其中一個(gè)漏洞實(shí)現(xiàn)對(duì)車(chē)輛的控制。汽車(chē)信息安全由此開(kāi)始引起多方重視。

實(shí)際上，特斯拉系統(tǒng)被黑客攻擊并非特例，就在一個(gè)多月前，比亞迪通過(guò)官方微博確認(rèn)，自家車(chē)輛云服務(wù)控制系統(tǒng)存在安全漏洞。雖然比亞迪官方稱(chēng)只有當(dāng)用戶(hù)手機(jī)被木馬、病毒或登陸惡意Wi-Fi熱點(diǎn)被入侵或破解時(shí)才會(huì)存在一定風(fēng)險(xiǎn)。但由于該車(chē)型是量產(chǎn)車(chē)，所以這一消息讓人們大吃一驚。

當(dāng)黑客遇到汽車(chē)，我們還有安全嗎？消費(fèi)者應(yīng)該何去何從？這個(gè)問(wèn)題得從頭說(shuō)起。

汽車(chē)為什么會(huì)被黑

早年的汽車(chē)是一個(gè)機(jī)械設(shè)備，上面沒(méi)有多少電子設(shè)備，而現(xiàn)在的汽車(chē)上幾乎已經(jīng)不直接通過(guò)機(jī)械裝置控制汽車(chē)。

以加速為例，在踩下油門(mén)踏板之后，結(jié)構(gòu)上并不是直接通過(guò)鋼絲來(lái)控制節(jié)氣門(mén)開(kāi)合，而是通過(guò)油門(mén)踏板傳感器把我們踩下的信號(hào)傳給行車(chē)電腦，行車(chē)電腦通過(guò)馬達(dá)來(lái)控制節(jié)氣門(mén)開(kāi)合的程度，達(dá)到讓汽車(chē)加速的目的?，F(xiàn)代汽車(chē)的開(kāi)發(fā)調(diào)試標(biāo)定，其實(shí)很多都是軟件開(kāi)發(fā)工作。所以，在行駛過(guò)程中，如果行車(chē)電腦的信號(hào)被干擾，駕駛員就被剝奪了汽車(chē)的控制權(quán)，后果不堪設(shè)想。

2007年豐田在美國(guó)被爆出“剎車(chē)門(mén)”事件，美國(guó)法院聽(tīng)取了嵌入式技術(shù)專(zhuān)家Michael Barr的證詞。結(jié)論其實(shí)很簡(jiǎn)單，因?yàn)樨S田電子系統(tǒng)設(shè)計(jì)有缺陷，容易出現(xiàn)堆棧溢出同時(shí)缺乏足夠的校驗(yàn)糾正，而這個(gè)計(jì)算機(jī)領(lǐng)域的簡(jiǎn)單問(wèn)題，出現(xiàn)在汽車(chē)上就有可能造成油門(mén)信號(hào)鎖死，車(chē)輛一直加速，油門(mén)剎車(chē)全部失靈，汽車(chē)持續(xù)加速停不下來(lái)，最終車(chē)毀人亡。

也就是說(shuō)，現(xiàn)代汽車(chē)的核心是行車(chē)電腦，汽車(chē)的所有控制信號(hào)都是駕駛員通過(guò)操作傳遞給行車(chē)電腦，然后行車(chē)電腦通過(guò)電傳信號(hào)完成控制和操縱。如果黑客入侵了行車(chē)電腦，遠(yuǎn)程給行車(chē)電腦下達(dá)指令，那么駕駛者就失去了車(chē)輛的控制權(quán)，而黑客可以完全控制汽車(chē)，造成車(chē)毀人亡。面對(duì)一臺(tái)油門(mén)一直加速，剎車(chē)失靈，方向失靈的車(chē)子，車(chē)上的人除了祈禱還能干什么呢？

汽車(chē)的行車(chē)電腦需要專(zhuān)用的線(xiàn)路或者設(shè)備才能連接，這種連接只有去4S店維修保養(yǎng)的時(shí)候才會(huì)用到?，F(xiàn)在流行的OBD盒子，其實(shí)也是連接行車(chē)電腦獲取信息。但是，現(xiàn)在汽車(chē)廠(chǎng)商轉(zhuǎn)變策略、為了提高銷(xiāo)量，逐步開(kāi)始研發(fā)車(chē)聯(lián)網(wǎng)、智能駕駛等功能，而這種功能，先是把汽車(chē)的中控系統(tǒng)與互聯(lián)網(wǎng)無(wú)線(xiàn)連接，同時(shí)為了完成一些遠(yuǎn)程的故障診斷和操控，又把行車(chē)電腦與互聯(lián)網(wǎng)連接在一起，這就建立起來(lái)一條黑客通過(guò)互聯(lián)網(wǎng)直接操控汽車(chē)的通道，危險(xiǎn)隨之發(fā)生。

危險(xiǎn)的現(xiàn)狀

在美國(guó)圣路易斯下城區(qū)的街道上，一輛以70碼時(shí)速行駛的Jeep自由光突然失去了控制。首先是冷風(fēng)突然調(diào)到了最大檔，雨刮噴出清潔劑，然后是加速失去了控制，不管怎么踩油門(mén)踏板，車(chē)速都不再增加，后面的車(chē)子路過(guò)的時(shí)候憤怒地看著它……

這并不是一場(chǎng)意外事故，而是由兩位黑客侵入并控制車(chē)輛的測(cè)試研究。他們?cè)?0英里以外的地方對(duì)車(chē)輛實(shí)現(xiàn)了無(wú)線(xiàn)控制。他們成功利用了JEEP的Uconnect系統(tǒng)的漏洞，對(duì)車(chē)輛進(jìn)行控制。

美國(guó)馬薩諸塞聯(lián)邦議員Edward J. Markey的一份汽車(chē)安全報(bào)告中也提出多數(shù)主機(jī)廠(chǎng)尚未有意識(shí)，或者還不具備能力匯報(bào)以往的黑客入侵事件。

從本質(zhì)上來(lái)說(shuō)，汽車(chē)的計(jì)算機(jī)系統(tǒng)所采取的手段與普通的計(jì)算機(jī)沒(méi)有什么不同，也要做安全認(rèn)證，需要防范入侵。但是汽車(chē)主機(jī)廠(chǎng)應(yīng)對(duì)黑客的經(jīng)驗(yàn)遠(yuǎn)不如IT企業(yè)，對(duì)于信息的安全意識(shí)也不如IT企業(yè)，有些用戶(hù)會(huì)發(fā)現(xiàn)自己的信息莫名其妙的就出現(xiàn)在網(wǎng)上的汽車(chē)商城。對(duì)黑客來(lái)說(shuō)，大多數(shù)汽車(chē)廠(chǎng)商的電腦系統(tǒng)不堪一擊。用戶(hù)信息輕易就可以獲得，這就是缺乏經(jīng)驗(yàn)與意識(shí)造成的。

汽車(chē)同樣如此，以比亞迪為例，廠(chǎng)家的云服務(wù)并沒(méi)有對(duì)黑客做太多考慮。手機(jī)可以控制汽車(chē)，只是簡(jiǎn)單的密碼認(rèn)證，而手機(jī)上的密碼可以輕易被木馬軟件或者盜取密碼的WIFI熱點(diǎn)獲得。而更糟的是比亞迪云服務(wù)系統(tǒng)安全設(shè)計(jì)過(guò)于簡(jiǎn)單，黑客只要編寫(xiě)一個(gè)窮舉手機(jī)號(hào)的小程序，就可以獲得服務(wù)器端全部車(chē)主的車(chē)主姓名、車(chē)牌號(hào)、車(chē)架號(hào)、身份證號(hào)、手機(jī)號(hào)甚至第二聯(lián)系人姓名等信息和車(chē)輛控制密碼。

車(chē)主信息泄露不算，控制密碼也被泄露，汽車(chē)就危險(xiǎn)了，雖然比亞迪接到通知后即時(shí)修補(bǔ)了漏洞，但是這個(gè)事情也說(shuō)明了汽車(chē)廠(chǎng)商的安全意識(shí)還較為薄弱。

消費(fèi)者并非避無(wú)可避

目前，汽車(chē)的安全問(wèn)題比較嚴(yán)重，這是因?yàn)檎麄€(gè)車(chē)聯(lián)網(wǎng)還在一個(gè)過(guò)渡期?，F(xiàn)在絕大部分汽車(chē)已經(jīng)有行車(chē)電腦，但是行車(chē)電腦是不接入車(chē)聯(lián)網(wǎng)、互聯(lián)網(wǎng)的。雖然行車(chē)電腦的一個(gè)數(shù)據(jù)錯(cuò)誤，就可以車(chē)毀人亡。但是不聯(lián)網(wǎng)，黑客天大的本事也修改不了你的數(shù)據(jù)，黑不了你的汽車(chē)，汽車(chē)反而是安全的。而少數(shù)先進(jìn)一些的汽車(chē)，直接接入了互聯(lián)網(wǎng)，但是在安全防護(hù)上沒(méi)有經(jīng)驗(yàn)，容易被黑客入侵。

從個(gè)人電腦和智能手機(jī)的安全史可以發(fā)現(xiàn)，電腦安全挑戰(zhàn)最大的時(shí)代就是互聯(lián)網(wǎng)寬帶剛剛流行的階段，廠(chǎng)商也好，用戶(hù)也越好，還沒(méi)有防范黑客、病毒、木馬的安全意識(shí)。而智能手機(jī)安全形勢(shì)嚴(yán)峻也是3G普及，安卓剛剛流行的階段。同樣是用戶(hù)和廠(chǎng)商缺乏防護(hù)的經(jīng)驗(yàn)造成的。早期廠(chǎng)商、消費(fèi)者、產(chǎn)業(yè)鏈都沒(méi)有經(jīng)驗(yàn)應(yīng)對(duì)各種黑客攻擊，而經(jīng)過(guò)一個(gè)階段的發(fā)展，隨著經(jīng)驗(yàn)的的豐富，攻防雙方的進(jìn)步，最終會(huì)有一個(gè)比較可靠的安全方案出來(lái)。電腦如此、手機(jī)如此，汽車(chē)也會(huì)如此。

汽車(chē)的信息安全不僅僅關(guān)系到用戶(hù)的財(cái)產(chǎn)，也關(guān)系到用戶(hù)的生命。所以對(duì)于汽車(chē)的選擇，消費(fèi)者可以保守一點(diǎn)，目前先不要選擇直接接入互聯(lián)網(wǎng)的汽車(chē)，可以選擇不帶車(chē)聯(lián)網(wǎng)，不帶輔助駕駛的低配車(chē)型，或者斷開(kāi)與互聯(lián)網(wǎng)的連接，確保安全。而等到黑客和汽車(chē)廠(chǎng)商互相過(guò)招，汽車(chē)廠(chǎng)商在安全上逐步成熟起來(lái)之后，消費(fèi)者再選購(gòu)帶有車(chē)聯(lián)網(wǎng)和自動(dòng)駕駛功能的智能汽車(chē)，充分享受科技的樂(lè)趣，而到那個(gè)時(shí)候相關(guān)的法案，政策也會(huì)出臺(tái)，亂象會(huì)成為歷史。雖然目前汽車(chē)安全形勢(shì)嚴(yán)峻，但是消費(fèi)者可以通過(guò)選擇回避風(fēng)險(xiǎn)，有時(shí)候落后一點(diǎn)并不是壞事。