自動駕駛技術為人們勾勒出了一副美好的未來出行的畫面:坐上沒有方向盤的汽車, 一覺睡到公司門口;甚至我們可能不再擁有一輛汽車, 需要出門時共用自動駕駛汽車會自己到來, 送到目的地時會自行離開……
不過自動駕駛和車聯網也會帶來不那麼美好的未來, 比如《速8》中描繪的畫面, 駭客隨意在鍵盤上敲幾行代碼, 停在停車場中的汽車就一齊出動, 橫屍街頭淪為大佬們飆車戰的炮灰。
不過我們最害怕的還是, 後一種壞未來, 要比美好未來到來的更快。
AI還在路測, 駭客們的自動駕駛已經成熟了
這一點並不是危言聳聽, 在自動駕駛汽車還處在路測階段時, 汽車駭客就已經能在地球另一端把你家汽車開走了。
早在2015年的一場BlackHat大會上, 就有兩位元工程師現場演示如何遠端入侵一輛Jeep切諾基, 從十公里之外入侵了這輛車的音箱和空調, 並當這輛車行駛在繁華路段時切斷了一切對外通訊。
演示之後, 兩位元駭客表示他們可以在美國所有連接到Sprint網路的克萊斯勒汽車上做到同樣的效果, 據當時的統計, 全球受到影響的汽車共計有47萬輛。 害的當時的克萊斯勒趕緊召回車輛, 升級系統, 彌補漏洞。
(兩位駭客之一的Charlie Miller)
在現場演示中, 駭客們只展示了一些無害的技術。 實際上2015年, 駭客就可以通過WiFi、藍牙等等途徑控制汽車的油門、轉向、收緊安全帶等等。 想要危害一個人的安全, 幾乎易如反掌。
更可怕的是, 汽車駭客技術的成本正在越來越低。 在去年, 360無線電安全研究部展示出了一個研究成果, 製作一個成本只有150元的小工具, 尾隨手持車鑰匙的車主, 就能盜取信號打開車門。
在自動駕駛汽車中, 這些問題變得更加嚴重。 自動駕駛汽車裡存在著大量感測器, 不同的感測器來自不同廠商, 也就可能擁有著不同系統, 網路節點變得更多會導致漏洞增多。 在眾多系統中選擇一個攻破, 似乎要比攻破一個要容易的多。
尤其是自動駕駛常常要對感測器回傳的圖片資料進行解析, 這一步驟不管是在本地還是雲端進行, 都有可能被駭客攻擊。 只需偽造一個信號, 就能讓汽車“誤以為”眼前有一個禁止通行的交通標示。
總之, 車聯網、車內娛樂系統、雷達感測器、電池演算法等等, 在駭客眼中, 汽車就是一隻漏洞百出的“肉雞”。
為什麼駭客能遠端操控的東西, 比汽車自己更多?
其實在我們的印象中,
究竟是什麼原因, 才讓駭客有機會入侵我們的汽車呢?
這一切要從CAN說起。 CAN的全稱是Controller Area Network——控制器區域網路。 本質上來說, CAN是一種通信協議, 只要汽車內有電子化、自動化的處理部件, 都要通過CAN的匯流排網路交換資料和控制命令。
類似的系統也會應用在坦克這類軍用車輛中, 一開始這一系統是非常安全的, 直到後來車聯網技術的出現。 人們開始希望用手機、車載螢幕這些能登錄互聯網的設備控制汽車空調等等小東西。 可對於CAN架構來說, 卻像是在一個巨大的管道上開了一個小口子, 雖然小口子只允許一些羽量級的功能加入,
這也是為什麼車主只能遠端操控空調, 但汽車駭客卻能遠程操控刹車的原因。而加入了雷達感測器和更完善車聯網系統的自動駕駛車輛,相比過去的汽車簡直是“千瘡百孔”。
尤其現在的自動駕駛開始越來越依賴於本地計算,理論上來說要比將資料上傳到雲端更加容易被駭侵。但往好的方面想,自動駕駛的新技術也會增加汽車的安全。
例如很多自動駕駛汽車的感測器是分佈運作的,汽車需要同時接受到多個感測器傳來的信號才會開始運轉。駭客也就需要入侵更多的系統,同時偽造信號才能控制車輛。
另一點就是,由於自動駕駛系統需要承載更多的資料和更快的傳送速率,過時的CAN協議正在被逐漸淘汰,換上其他更快速也更安全的架構。
以下是來自FBI和白帽子們的建議
儘管如此,FBI還是非常嚴肅的提出了對未來汽車安全的擔憂。在去年,FBI聯合美國交通部和國家公路交通安全管理局發佈了新聞稿,警告大眾和汽車生產商、汽車售後市場廠商等等要留意這一問題。
FBI還給出了幾條加強汽車安全的建議:第一是確保及時更新軟體系統,不要讓老漏洞一直留在車輛中。第二是謹慎自行修改車輛軟體,以免人為製造出漏洞。第三是留意那些連接到車輛的協力廠商設備,不管是藍牙、WiFi還是USB介面,只要連接上了汽車就意味著風險。第四則是注意汽車使用記錄,小心會有人在車輛上人為安裝病毒或製造漏洞。
我們根據這一問題採訪了幾位曾活躍在(前)烏雲網的白帽,他們紛紛表示FBI給出的這幾條建議基本無關痛癢,如果真的有高階駭客想要入侵一輛汽車,上述的方式很難阻擋他。
另外,白帽們也給出了幾條關於未來汽車安全的建議和暢想:
1.拒絕升級系統的壞毛病要改改了。雖然IOS的系統升級只會帶來高耗電量和新Emoji,但汽車系統升級可能會讓你剩下不少比特幣。
2.家用WiFi、手機等等產品的安全一樣重要,理論上來說通過入侵WiFi和個人手機,再入侵汽車是可以實現的。看來手機也要勤更新系統了。
3.有時候把資料交給雲端伺服器,可能比留在汽車本地更安全。在雲端沒人想窺探你的隱私,在本地卻可能有人想惡搞你的空調。
4.對於普通用戶來說,保護未來汽車安全最好的方式是“物理防禦”,比如安裝好車內攝像頭、堅持去4S店保養修理、不連接不信任的WiFi等等,用一切方式防止有人接觸到車輛信號。
5.建議自動駕駛產業鏈廠商們多做幾次駭客松,反正不管怎樣都會有人去尋找你的漏洞的。
6.未來自動駕駛汽車安全將是一片非常廣闊的市場,應用上區塊鏈技術或許是個好主意。
相信看過這篇文章之後,一部分讀者會更加珍視現在還不能自動駕駛的“老爺車”,另一部分讀者正在尋找文章中有關駭客知識的bug,而最聰明的那一小撮讀者,或許已經在寫白皮書,籌畫推出一款AutomobileSafetyCoin了吧……
但汽車駭客卻能遠程操控刹車的原因。而加入了雷達感測器和更完善車聯網系統的自動駕駛車輛,相比過去的汽車簡直是“千瘡百孔”。尤其現在的自動駕駛開始越來越依賴於本地計算,理論上來說要比將資料上傳到雲端更加容易被駭侵。但往好的方面想,自動駕駛的新技術也會增加汽車的安全。
例如很多自動駕駛汽車的感測器是分佈運作的,汽車需要同時接受到多個感測器傳來的信號才會開始運轉。駭客也就需要入侵更多的系統,同時偽造信號才能控制車輛。
另一點就是,由於自動駕駛系統需要承載更多的資料和更快的傳送速率,過時的CAN協議正在被逐漸淘汰,換上其他更快速也更安全的架構。
以下是來自FBI和白帽子們的建議
儘管如此,FBI還是非常嚴肅的提出了對未來汽車安全的擔憂。在去年,FBI聯合美國交通部和國家公路交通安全管理局發佈了新聞稿,警告大眾和汽車生產商、汽車售後市場廠商等等要留意這一問題。
FBI還給出了幾條加強汽車安全的建議:第一是確保及時更新軟體系統,不要讓老漏洞一直留在車輛中。第二是謹慎自行修改車輛軟體,以免人為製造出漏洞。第三是留意那些連接到車輛的協力廠商設備,不管是藍牙、WiFi還是USB介面,只要連接上了汽車就意味著風險。第四則是注意汽車使用記錄,小心會有人在車輛上人為安裝病毒或製造漏洞。
我們根據這一問題採訪了幾位曾活躍在(前)烏雲網的白帽,他們紛紛表示FBI給出的這幾條建議基本無關痛癢,如果真的有高階駭客想要入侵一輛汽車,上述的方式很難阻擋他。
另外,白帽們也給出了幾條關於未來汽車安全的建議和暢想:
1.拒絕升級系統的壞毛病要改改了。雖然IOS的系統升級只會帶來高耗電量和新Emoji,但汽車系統升級可能會讓你剩下不少比特幣。
2.家用WiFi、手機等等產品的安全一樣重要,理論上來說通過入侵WiFi和個人手機,再入侵汽車是可以實現的。看來手機也要勤更新系統了。
3.有時候把資料交給雲端伺服器,可能比留在汽車本地更安全。在雲端沒人想窺探你的隱私,在本地卻可能有人想惡搞你的空調。
4.對於普通用戶來說,保護未來汽車安全最好的方式是“物理防禦”,比如安裝好車內攝像頭、堅持去4S店保養修理、不連接不信任的WiFi等等,用一切方式防止有人接觸到車輛信號。
5.建議自動駕駛產業鏈廠商們多做幾次駭客松,反正不管怎樣都會有人去尋找你的漏洞的。
6.未來自動駕駛汽車安全將是一片非常廣闊的市場,應用上區塊鏈技術或許是個好主意。
相信看過這篇文章之後,一部分讀者會更加珍視現在還不能自動駕駛的“老爺車”,另一部分讀者正在尋找文章中有關駭客知識的bug,而最聰明的那一小撮讀者,或許已經在寫白皮書,籌畫推出一款AutomobileSafetyCoin了吧……