2014年10月22日 星期三
小心,你的汽车可能被黑客盯上
本报记者 刘霞 综合外电

    今日视点

    将免提手机整合进汽车内,或者在汽车内安装全球定位系统(GPS),这些行为看起来似乎会给你带来很大的方便,但随着人们对汽车以及各种高科技配置的追捧近乎狂热,汽车整合的定位技术和无线通讯技术越来越繁杂,这在电子安全方面埋下了深深的隐患,汽车被黑客攻击的可能性也越来越大。专家们也表示,实际上,黑客攻击汽车或许并非那么遥不可及。

    黑客攻击汽车并非杞人忧天

    一家全球性的安全服务公司IOActive的汽车安全研究主管克里斯·瓦拉斯基近日接受美国趣味科学网站采访时表示:“黑客攻击汽车根本不是杞人忧天。”瓦拉斯基一直在与推特(Twitter)公司的安全工程师查理·米勒一起进行有关远程攻击汽车方面的研究。

    瓦拉斯基和米勒表示,从理论上说,只要具有相应的软硬件知识基础,只要你愿意,成为汽车黑客或许是小菜一碟:不但能对汽车的“隐私”了如指掌,还可以对其运行过程进行偷窥、监控甚至篡改,堪称汽车版的“棱镜门”!

    去年12月,瓦拉斯基和米勒就从内部攻击了丰田普锐斯和福特翼虎(Escape)。他们将一台便携式电脑插入汽车的诊断埠,使他们能利用汽车与汽车内网相连的电子控制单元(又称“行车电脑”“车载电脑”等,汽车内的ABS系统、自动变速器、主动悬架、气囊等几乎每一个电控系统都有独立的电子控制单元各自为政)的脆弱点。结果,他们控制了汽车的门锁、前灯、喇叭、转向装置和制动装置。

    最近,瓦拉斯基和米勒对21辆汽车的电子控制单元的脆弱点进行了评估,并在今年于拉斯维加斯举办的2014年黑客大会(DefCon)上提交了他们的研究报告。鉴于不同的汽车制造商使用不同的汽车设计,因此,他们的安全分析避免了一般性和概括性,非常具有针对性。他们对特定的汽车架构进行了检查,并得出结论说,有些网络比其他网络更加安全。

    瓦拉斯基与米勒的最新研究基于美国华盛顿大学计算机科学和工程学助理教授河野耀西与加州大学圣地亚哥分校的计算机安全专家斯德凡·萨维奇领导的研究团队早期的汽车被攻击研究。2011年,河野团队利用一辆汽车的无线系统控制住了这辆汽车。他们并没有公开发表用来攻击汽车的演示代码,而是同汽车厂商分享了这些代码。

    升级繁琐昂贵

    瓦拉斯基接受采访时表示,汽车制造商们现在对于网络安全的态度与若干年前软件公司的态度几乎一样。2000年初,大部分软件供应商都对安全风险置若罔闻,后来,鉴于事态越来越严重,这些软件公司才采取积极主动的措施并砸下重金来为用户上网保驾护航。他希望汽车工业不要重蹈覆辙,能尽快采取安全措施。

    瓦拉斯基说,现在,补救还来得及,这意味着必须为已经上路的汽车进行软件升级,这种升级与对个人电脑进行软件升级不同。用户在对自己的电脑进行升级时,可以自行下载升级程序并安装;而为汽车的控制单元采取安全措施则包括找到车主,通知他们并传输安全包。瓦拉斯基指出,在汽车经销商那里可以进行这种升级。

    瓦拉斯基表示,对于汽车制造商来说,这种升级繁琐且昂贵。特斯拉汽车公司是目前仅有的几个能进行远程升级的汽车制造商之一,这意味着升级软件能无线发送给特斯拉公司,车主并不需要将车带到经销商那儿。不过,特斯拉公司占据的市场份额很小,这种方式目前也还未形成潮流。

    未来或会成为大威胁

    萨维奇强调称,汽车被黑的威胁暂时应该不会加速消费者的恐慌。毕竟,对于大多数想犯罪的人来说,他们可能选择其他方法而不是通过网络攻击的方法。萨维奇解释道:“如果他们想监听你,在汽车里安装一个窃听器可能会更加容易一点;如果他们想要让你下车,那么,朝你开枪可能会更容易一点。”

    例外情况就是盗窃。萨维奇说:“汽车制造商们对于防止汽车被盗做出了一些改进,目前的反盗窃手段非常有效,因此,窃贼为了成功盗走汽车,必须通过攻击计算机元器件才能实现。”

    萨维奇表示,当然,魔高一尺,道高一丈,汽车制造商们也在积极努力,寻找各种安全漏洞并加以改善。例如,汽车制造商们正在通过汽车工程安全协会等机构制定标准的威胁模型分析步骤。瓦拉斯基和米勒则建议汽车制造商们增加能进入汽车的关键控制网络内的探测威胁和预防威胁的技术。

    瓦拉斯基表示:“就目前的情况而言,汽车被黑并非主流,非常困难,而且成本很高。不过,这种情况在未来可能会发生变化,这也是我们为何现在花大气力进行这方面研究的主要原因。”

京ICP备06005116