虎嗅网/自动驾驶和骇客驾驶,谁最先来?
▲科技带来便利,也给骇客更多入侵路径,自动驾驶系统便潜在被网路攻击的风险。(图/Pixaby)
文/脑极体
自动驾驶技术,为人们勾勒出一副美好的未来出行画面:坐上没有方向盘的汽车,一觉睡到公司门口;甚至,我们可能不需再拥有一辆汽车,想出门时共享自动驾驶汽车会自己到来,送你到目的地后会自行离开……
不过,自动驾驶和车联网或许也会带来不那么美好的未来。比如电影《速8》(编按:《 速度与激情8》;台湾译为《玩命关头8》)中描绘的画面,骇客随意在键盘上敲下几行代码,停在停车场中的汽车就会一齐出动,横尸街头沦为大佬们飙车战的砲灰。
不过,我们最害怕的还是,后面所描述的这种不好未来,要比美好未来到来得更快。
AI还在路测,骇客们的自动驾驶已经成熟
这一点并不是危言耸听,在自动驾驶汽车还处在路测阶段时,汽车骇客就已经能在地球另一端把你家汽车开走了。
早在2015年的一场黑帽大会(Black Hat)上,就有两位工程师现场表演如何远端入侵一辆JEEP旗下的Grand Cherokee ,不但从10公里之外入侵了这辆车的音箱和空调,并当这辆车行驶在繁华路段时,切断了一切对外通讯。
表演过后,这两位骇客更表示他们可以在美国所有连接到Sprint网络的克莱斯勒汽车上,做到同样的效果。据当时的统计,全球受到影响的汽车共计有47万辆。害得当时的克莱斯勒赶紧召回车辆,升级系统,弥补漏洞。
虽然在现场表演中,骇客们只展示了一些无害的技术,但实际上在2015年,骇客就可以通过WiFi、蓝牙等途径,控制汽车的油门、转向、收紧安全带等。想危害一个人的安全,几乎易如反掌。更可怕的是,汽车骇客技术的成本愈来愈低。在去年,360无线电安全研究部展示了一个研究成果,制作一个成本只有150元人民币的小工具,尾随手持车钥匙的车主,就能盗取信号打开车门。
在自动驾驶汽车中,这些问题变得更加严重。自动驾驶汽车里存在着大量感测器,不同的感测器来自不同厂商,也就可能拥有着不同系统,当网络节点变得更多即会导致漏洞增多。在众多系统中选择一个攻破,似乎要比攻破一个容易的多。尤其自动驾驶常常要对感测器回传的图片数据进行解析,这一步骤不管是在本地还是云端进行,都有可能被骇客攻击。他们只需伪造一个信号,就能让汽车「误以为」眼前有一个禁止通行的交通标示。
总之,车联网、车内娱乐系统、雷达传感器、电池算法等,在骇客眼中,汽车就是一只漏洞百出的「肉鸡」。
为什么骇客能远程操控的东西,比汽车本身更多?
其实在我们的印像中,汽车还是靠油门和方向盘控制的机械,和充满了电子零件的手机、电脑不同,不应该那么容易被骇客入侵。
究竟是什么原因,才让骇客有机会入侵我们的汽车呢?
▲人们因「不想再有人因操作失误引发车祸」而发明自动驾驶,然骇客却有可能入侵系统远端操控你的安危。(达志影像/美联社/示意图)
这一切要从「CAN」说起。「 CAN的」全称是Controller Area Network,也就是「控制器区域网络」。本质上来说,CAN是一种通信协议,只要汽车内有电子化、自动化的处理零件,都要通过CAN的总线网路交换数据和控制命令。
类似的系统也会应用在坦克这类的军用车辆中,刚开始这一系统是非常安全的,直到后来车联网技术的出现。人们开始希望用手机、车内荧幕这些能登录互联网的设备,或是控制汽车空调等小东西。可对于CAN的架构来说,却像是在一个巨大的管道上开了一个小口,虽然小口只允许一些轻量级的功能加入,可所有数据和命令都会经过这个小口,在没有特别的安全维护下,就有可能被泄露、入侵、更改。只要成功入侵系统,就可以利用「逆向工程」,找到控制车辆各种功能的命令在何时发送,然后加以模仿就能实现对车辆的控制。
这也是为什么车主只能远端操控空调,但汽车骇客却能远端操控刹车的原因。而加入了雷达感测器和更完善车联网系统的自动驾驶车辆,相比过去的汽车简直是「千疮百孔」。
尤其现在的自动驾驶愈来愈依赖于本地计算,理论上来说,要比将数据上传到云端更加容易被入侵。但往好的方面想,自动驾驶的新技术也是会增加汽车的安全性。例如很多自动驾驶汽车的感测器是分布运作的,汽车需要同时接受到多个感测器传来的信号才会开始运转。黑客也就需要入侵更多系统,同时伪造更多信号才能控制车辆。
另一点就是,由于自动驾驶系统需要承载更多的数据和更快的传输速度,过时的「CAN」协议正被逐渐淘汰,换上其他更快速,也更安全的架构。
尽管如此,美国FBI还是非常严肃的提出对未来汽车安全的担忧。在去年,FBI联合美国交通部和国家公路交通安全管理局发布了新闻稿,警告大众和汽车生产商、汽车售后市场厂商等要留意这一类的问题。
FBI还给出了几条加强汽车安全的建议:第一是确保及时更新软体系统,不要让老漏洞一直留在车辆中;第二是谨慎自行修改车辆软体,以免人为制造出漏洞;第三是留意那些连接到车辆的第三方设备,不管是蓝牙、WiFi还是USB接口,只要连接上了汽车就意味着风险;第四则是注意汽车使用记录,小心会有人在车辆上人为安装病毒或制造漏洞。
▲当车联网火热发展,也为许多产业注入活水,但联网安全却是不容忽视的议题。(图/Pixabay)
我们根据这一问题采访了几位曾活跃在(前)乌云网的「白帽」,他们纷纷表示,FBI给出的这几条建议根本无关痛痒,如果真的有高阶骇客想要入侵一辆汽车,上述的方式很难阻挡他。
另外,「白帽」们也给出了几条关于未来汽车安全的建议和想像:
1.拒绝升级系统的坏毛病要改改了。虽iOS的系统升级只会带来高耗电量和新Emoji(绘文字),但汽车系统升级可能会让你剩下不少比特币。
2.家用WiFi、手机等产品的安全一样重要,理论上来说通过入侵WiFi和个人手机,再入侵汽车是可以实现的。看来手机也要勤更新系统了。
3.有时候把数据交给云端服务器,可能比留在汽车本地更安全。在云端没人想窥探你的隐私,在本地却可能有人想恶搞你的空调。
4.对于普通用户来说,保护未来汽车安全最好的方式是「物理防御」,比如安装好车内摄像头、坚持去4S店保养修理、不连接不信任的WiFi等,用一切方式防止有人接触到车辆信号。
5.建议自动驾驶产业链厂商们多做几次「黑客松」(Hackathon),反正不管怎样都会有人去寻找你的漏洞的。
6.未来自动驾驶汽车安全将是一片非常广阔的市场,应用上区块链技术或许是个好主意。
相信看过这篇文章之后,一部分读者将会更加珍惜现在还不能自动驾驶的老爷车,而另一部分读者,或许正在寻找文章中有关骇客知识的bug,而最聪明的那一小撮读者,或许已经在写白皮书,筹划推出一款Automobile Safety Coin了吧……
●虎嗅网,一个用户可参与的商业资讯与观点交流平台。作者脑极体,写让你脑洞大开且能看懂AI的资深撰稿人。以上言论不代表本网立场,88论坛欢迎多元的声音与观点,来稿请寄:editor88@ettoday.net