“車聯網真是太XX方便了。”
曾經溫文爾雅的朋友在電話裡激動地爆了粗口,老賈表示理解:二胎母親,能保持良好心情就已經不錯了。
她說自己換了“上網”的新車,此後車上的所有數據都能經過手機一覽無餘。再加上半自動駕駛和對違章地段的提前預告,再也不怕行車半途中出個么蛾子打亂計劃。
想起那個因為不會使用導航而在下班路上迷路大哭的新手司機,老賈深以為然。
掛電話前出於職業習慣,老賈多問了一句:“你這車,針對車聯網裝了安全產品沒?”
“什麼安全?什麼產品?”
隔著電話,老賈都能想象出那輛車在黑客眼裡光禿禿的樣子,像個又大又招風的靶子。
本著送佛送到西的理念,老賈鄭重其事地告訴她:車聯網確實有數不勝數的好處,卻也不能就此高枕無憂。因為汽車在引入智能化和網聯化之後,也因其極強的交互性帶來了最致命的——信息安全風險。
“殭屍車”並非空穴來風
觀看過《速度與激情8》的朋友,一定都記得那著名的“殭屍車隊”追逐戰。
為了對俄羅斯車隊進行攔截,黑客指揮技術人員對三公里內的所有車輛進行入侵。無論是正在行駛的、路邊停靠的、高樓停車庫內的還是在4S店中待售的,數百輛車一時間全部進入了自動駕駛狀態,它們的防撞功能均被關閉,如同殭屍潮一般向著目標汽車排山倒海而去,場面十分壯觀震撼。
電影橋段的確有誇張的部分(比如90年代的古典車因硬件設施限制不可能被控制),但這絕不是無端的捕風捉影,而是確有其事。多渠道、多設備、無線化固然帶來了行車的便利,卻也給黑客留下了可乘之機。
2015年,來自美國的兩名黑客Charlie Miller和Chris Valasek成功破解了Jeep Cherokee(國內譯名自由光)。他們能在不接觸汽車的情況下,入侵併控制汽車的多媒體系統、動力系統以及剎車系統,達到隨意控制影音播放系統和雨刮器,讓在行駛過程中的車輛油門剎車雙失靈等。
無獨有偶,早在2014年,國內著名安全公司360的白帽子就已作為全球首例破解了特斯拉的車聯網系統,實現遠程解鎖、開天窗、閃燈、鳴笛、並啟動汽車;而兩年後的2016年,360汽車安全實驗室Sky-Go團隊又通過傳感器漏洞,對特斯拉自動駕駛系統進行了破解。
實驗室團隊研究發現出特斯拉Autopilot存在有傳感器漏洞,可以通過干擾、欺騙或致盲等手段,對特斯拉高級輔助駕駛系統(ADAS)傳感器進行攻擊,導致傳感器接收到錯誤數據,從而影響系統決策失敗,導致交通事故。
通過電磁波的干擾,可以在前方無車的狀態下讓傳感器認為有車,這個信息會同步顯示到儀表盤上,如果距離足夠近,報警裝置還會提醒。同樣,也可以在前方有車的時候,讓系統認為前方無車,而繼續行駛。
也就是說,兩種駕駛模式可以在被攻擊後完全顛倒:你既可能在前不著村後不著店的高速公路上陡然停下,也有可能在滿是車輛的十字路口一往無前……
這樣的高危漏洞自然是特斯拉難以接受的。特斯拉安全部門收到了360汽車安全實驗室提交的漏洞,反手就是一個大大的感謝,2014-2018年,因為360在安全方面的貢獻,總共第三次被錄入特斯拉名人堂(Tesla Security Researcher Hall of Fame),成為入選特斯拉名人堂最多的公司。
無懼面對智駕時代
不過上述所舉的例子僅僅只是360汽車安全實驗室的諸多榮譽之一。除去在自動駕駛安全方面的研究能力,實驗室在汽車總線安全研究能力和車聯網系統安全研究能力方面也頗有建樹。
實驗室自主研發的快速逆向總線控制協議的工具CAN-PICK能夠可視化分析汽車總線信號變化量,同時提供驗證總線加密強度的功能,以測試目前的強度是否能夠滿足抵禦重放攻擊的要求。
CAN-PICK擁有2項專利和1項著作權,在Blackhat USA 2017 ARSENAL榜上有名,被譽為汽車安全的“黃金鎧甲”。
而為了對抗可能接踵而來的車聯網風險,360汽車安全實驗室則基於多年汽車信息安全研究的經驗,利用先進的汽車攻擊技術,從“雲”、“管”、“端”三個層面形成了完整的車聯網安全評估方案。
目前,國內超過70%的自主品牌主機廠都受益於實驗室的安全諮詢、安全評估及應急響應等汽車信息安全服務。範圍之廣,令人驚歎。
說得現實一點,駕車出行應當是一件樂事,技術發展的最終目的也應是造福於人。因此,為了保障智能汽車的行駛安全,360汽車安全實驗室自主設計並開發了360汽車安全大腦,使得目前超過30萬輛已落地行駛的汽車獲得了實時保護。
試想年幼的兒女拿著車內iPad發出一個個實時指令:開窗、關燈、升高玻璃……在這些簡單指令通過接口的那一刻,被劫持的部分打算渾水摸魚,卻被實時安全監測系統發現並攔截上報,杜絕了可能產生的更大侵害。
聽上去安心極了不是?事實上截至目前,360汽車安全大腦已攔截攻擊3萬5千餘次,影響超過450萬輛智能汽車,進而間接拯救了不計其數的行車人。
世界上最安全的車
有一種品牌的車,它的存在即是安心,它就是——梅賽德斯-奔馳。
縱觀其近百年來的發展編年史,每一個重要日期,幾乎都成為了人類汽車安全史的重要時刻:1947年,第一輛具有安全轉向機構的汽車誕生;1970年,第一代防制動抱死系統(ABS)在公眾面前亮相;1994年,電控車輛穩定行駛系統(ESP)第一次被展示;2007年,世界上第一輛裝備了預防性安全系統(p-SAFE)的汽車W204問世……
奔馳車體的安全性能絕非浪得虛名。但自打進入智能網聯汽車的新時代以來,奔馳所要面對的,並不僅僅是物理方面的安全隱患。在術業有專攻的情況下,奔馳尋得了有力的外援。
今年,360汽車安全實驗室與梅賽德斯-奔馳研究人員緊密合作,又立下了一件赫赫戰功——修復了19個梅賽德斯-奔馳智能網聯汽車有關的潛在漏洞。
歷經近一年的攻防對抗和360汽車安全大腦的實施盯梢,這一整條攻擊鏈最終被360汽車安全實驗室揪出並上報。就這一領先的研究成果,梅賽德斯-奔馳決定向Sky-Go團隊頒發卓越獎,並在未來持續深化與360的合作,共同提高智能網聯汽車及行業的安全水平。
“原來就連奔馳這麼大的廠商也會百密一疏,要想路上行得安心,還是要再上一道保險!”朋友仍舊心有餘悸。
“正是!車聯網雖好,可不要裸奔啊。到時車主神不知鬼不覺換了個人,那可就叫天天不靈,叫地地不應了。”
“沒問題!我已經入了’360車機管家、車載IDPS、汽車防火牆‘這一整套解決方案,看黑客能奈我何!”
我見她手舞足蹈,逐漸放下心來:有這一套安全產品加持,哪怕是黑客鑽破了頭,她的座駕也是兀自巋然不動。
許多車主有一套慣性思維——發生了事故,找保險公司理賠就好。卻總會忘記,車載系統的漏洞對一輛車的影響,極有可能致命。特別對於那些上有老、下有小家庭來說,車輛安全更為關鍵。
老賈不禁再三思考:針對網絡攻擊的安全防範手段,應作為另一道保險,成為購車的標配。畢竟在安全研究人員看來,最自豪的不是做“救火隊長”,而是提前發現、修復了潛在風險,杜絕了可能發生的事故。
現在路上安穩行駛的每一輛車,背後都有無數安全人員的日夜付出。在5G、萬物互聯的時代,這樣“無形”的守護,才能讓每一個人更有安全感。
閱讀更多 安在信息安全新媒體 的文章
