一直有许多“白帽黑客”(White Hat Hackers)执着于“攻击”特斯拉的智能汽车。近日,就有外媒报道,McAfee高级威胁研究团队(McAfee Advanced Threat Research)的一群黑客在实验中修改了限速标志(人类可以正确阅读),成功骗过了特斯拉第一代自动驾驶系统Autopilot,让其将车速从35 mph加速至85 mph。
当然,McAfee此举目的在于更好维护汽车网联安全,在将实验结果公之于众前,他们已经向特斯拉和MobilEye披露了调查结果。而特斯拉近几年也在进行找漏洞悬赏,因为汽车一旦被入侵,就可能引发严重的交通事故。
事实上,黑客入侵汽车,一直在上演。
早在2015年,一辆行驶在路上的切诺基吉普车就被黑客入侵,黑客们先令温度调节和音量调节功能全部失灵,车载空调吹出强冷风,音响开始用大音量播放Kanye West的专辑。随后攻击中控显示屏,风挡清洁液喷出,雨刷开始以大频率工作。更为恐怖的是,车辆刹车失灵,致使车辆冲进路旁沟里。作为汽车网络安全风险的首批案件之一,此次黑客入侵导致菲亚特克莱斯勒汽车公司召回了包括道奇、吉普、公羊(Ram)和克莱斯勒等在内的约140万辆车。
另一起白帽黑客事件则是在2016年,腾讯科恩实验室以远程无物理接触的方式入侵特斯拉汽车。他们对刹车系统、转向灯、座椅位置以及门锁系统进行了控制,导致特斯拉在静态时可被远程解锁、打开车窗;动态时,可被启动雨刷、打开后备箱以及远程刹车等等。
当然,特斯拉被黑客攻击并不止以上两例。2018年,一位特斯拉Model 3车主就自己入侵了自己的汽车。Model 3车型的工厂模式拥有一个工具箱界面,可以显示与动力总成相关的参数信息。该名车主入侵该模式之后,发现了很多车辆参数信息,而且获得了车辆的性能参数。此前,还有一位名为Mike的车主也让后座的技术人员担当黑客,入侵自己的汽车。当车辆正常启动之后,挡风玻璃突然喷起来水,雨刷也开始动起来,随后门锁弹开,仪表盘也失去控制,甚至刹车也被“黑客”通过电脑控制。
诸如此类的事例其实还有很多,值得庆幸的是,这些黑客大都是不具备攻击性的白帽黑客。它们只是为了更好的帮助工程师从了解和分析技术,从而能更好地进行理解与汽车防御。但无论好坏,黑客的存在对于汽车而言始终是隐患危机,尤其对于网络错杂复杂的自动驾驶更如同埋了一个定时炸弹。
未来随着自动驾驶的深入发展,黑帽黑客会不会大量涌现,破坏道路上行驶的自动驾驶车辆?这值得引起我们深思。故而,如何防止黑客入侵,无疑成为了当下自动驾驶亟需解决的任务之一。
要想解决问题,必须先了解问题,我们需要弄清楚汽车为何这么容易被黑客入侵?
一切危险的源头可能是汽车的CAN总线设计。
CAN,即汽车控制器局域网络(Controller Area Network)的简称,1986 年由研发和生产汽车电子产品著称的德国 BOSCH 公司开发,并终成为标准(ISO 11898),是上应用广泛的现场总线之一。当前市场上的汽车至少拥有一个CAN网络,作为嵌入式系统之间互联的主干网进行车内信息的交互和共享。
然而,数十年的发展,CAN仍旧存在许多的致命缺陷:
1.它遵从CSMA/CD的交流方式,在任何一个节点搭上总线,都可以看到总线的数据,所以黑客只要找到一个点攻破,就可以看到车内所有数据;
2.它支持多路访问,网络上所有节点接收数据都经过一条总线,所有数据都汇集在一条线上,所以如果被黑客入侵,其便可看到几乎所有的控制器发的控制指令,如果控制指令是明文,那么就可以通过重放的方式控制汽车的一些设备。
3.它有一个冲突检测机制,所有节点在发送数据的过程中,会不断检测所发送的数据,预防与其它节点产生冲突,由于这样的机制,只要一直在传统线中发送数据,就可以导致 CAN 总线拒绝服务,车上任何控制器都没有反应。
而由于OBD 盒子、WI-FI、蓝牙、车机 AP等通信和娱乐系统都要经由CAN总线进行控制,故而极容易被黑客入侵。
此外,对于自动驾驶而言,传感器也是黑客入侵可能的主要途径。例如GPS、摄像头、激光雷达、毫米波雷达、IMU等常见传感器装置,黑客们可以通过阻止传感器还原任何有用的数据,或者令传感器采集到攻击者希望的错误信息,从而干扰自动驾驶系统,影响其判断机制和行驶轨道。
除了车辆为何能被攻击之外,大家感兴趣的莫过于与自身休戚相关的问题:车辆被攻击后会产生什么样的后果?
如上文所提到的,失控是汽车被黑客攻击后常发生的事情。假如恶意攻击者在CAN总线中注入错误帧,让汽车刹车系统失灵;或者在牵引力控制系统里安装一个攻击病毒,造成汽车方向不受控制……这些都会使汽车脱离控制,从而对汽车驾驶者的人生安全造成损害。
其次,勒索、盗窃也是自动驾驶被黑客攻击后容易发生的事情。由于目前大部分昂贵的汽车门锁都是通过CAN连接到ECU来进行控制,所以这也为攻击者提供了契机。他们只需要破坏掉CAN控制的车门锁,从而窃取车内贵重物品即可短短几分钟便可完成,作案成本极低。
当然,更为恐怖的是,它甚至能让一座城市的交通瘫痪。想象一下,当自动驾驶迎来量产的春天,马路上行驶的汽车由于被黑客们攻击,丧失了选择判断的能力,不再受系统控制;而本来可以正常行驶的车辆也被挡住,或因躲避不及时而发生的撞车。汽车损坏、人员受伤,混乱由此形成,甚至连救护车都没办法正常行驶……
种种的后果无一不在说明,车辆被黑客入侵是一件极为恐怖的事情。那面对黑客的入侵我们是不是就只能坐以待毙呢?当然不是,魔高一尺,道高一丈。为了防止汽车网路被黑客们轻易入侵,无论是国家还是车企或科技公司都在积极地做着应对措施,一步步的为汽车筑起“护城河”。
目前已经有包括中国、美国、日本在内的多个国家出台有关汽车网络安全的政策与法律,以此来构建全面高效的智能汽车信息安全体系,保障车联网网络安全产业的健康有序发展。
而车企、软件开发公司们,也在积极应对,诸如不断的提高技术壁垒,减少代码的漏洞,把漏洞封杀在摇篮;每个数据接口加强加密工作,同时对车内网络总线进行保护监控,并对汽车健康数据进行实时监控;车辆加装安全模块,比如增加如trustzone等的硬件保护;加强云端服务器数据传输处理过程的保护等。
当然,对于普通人来说,要想保护好自己的车辆,就需要我们关注厂家公告,随时注意车载软件及时更新情况;在对汽车原装软件进行修改时,应小心注意;给汽车连接第三方设备时应先确定其安全性,比如WIFI、蓝牙等;此外,当其余人用外部物理设备链接汽车时应小心警惕。后一点重要,离开车时切勿忘记锁车。
盖世小结:好在自动驾驶的发展还处在探索阶段,大面积量产还需等待。这也给国家、车企以及科技公司们更多的时间去解决汽车网络安全的问题。相信未来,随着自动驾驶的真正商业化,黑客攻击也将不再是问题。
原标题:当黑客盯上自动驾驶
我要评论