▲科技帶來便利,也給駭客更多入侵路徑,自動駕駛系統便潛在被網路攻擊的風險。(圖/Pixaby)
文/腦極體
自動駕駛技術,為人們勾勒出一副美好的未來出行畫面:坐上沒有方向盤的汽車,一覺睡到公司門口;甚至,我們可能不需再擁有一輛汽車,想出門時共享自動駕駛汽車會自己到來,送你到目的地後會自行離開……
不過,自動駕駛和車聯網或許也會帶來不那麼美好的未來。比如電影《速8》(編按:《 速度與激情8》;台灣譯為《玩命關頭8》)中描繪的畫面,駭客隨意在鍵盤上敲下幾行代碼,停在停車場中的汽車就會一齊出動,橫屍街頭淪為大佬們飆車戰的砲灰。
不過,我們最害怕的還是,後面所描述的這種不好未來,要比美好未來到來得更快。
AI還在路測,駭客們的自動駕駛已經成熟
這一點並不是危言聳聽,在自動駕駛汽車還處在路測階段時,汽車駭客就已經能在地球另一端把你家汽車開走了。
早在2015年的一場黑帽大會(Black Hat)上,就有兩位工程師現場表演如何遠端入侵一輛JEEP旗下的Grand Cherokee ,不但從10公里之外入侵了這輛車的音箱和空調,並當這輛車行駛在繁華路段時,切斷了一切對外通訊。
表演過後,這兩位駭客更表示他們可以在美國所有連接到Sprint網絡的克萊斯勒汽車上,做到同樣的效果。據當時的統計,全球受到影響的汽車共計有47萬輛。害得當時的克萊斯勒趕緊召回車輛,升級系統,彌補漏洞。
雖然在現場表演中,駭客們只展示了一些無害的技術,但實際上在2015年,駭客就可以通過WiFi、藍牙等途徑,控制汽車的油門、轉向、收緊安全帶等。想危害一個人的安全,幾乎易如反掌。更可怕的是,汽車駭客技術的成本愈來愈低。在去年,360無線電安全研究部展示了一個研究成果,製作一個成本只有150元人民幣的小工具,尾隨手持車鑰匙的車主,就能盜取信號打開車門。
在自動駕駛汽車中,這些問題變得更加嚴重。自動駕駛汽車裡存在著大量感測器,不同的感測器來自不同廠商,也就可能擁有著不同系統,當網絡節點變得更多即會導致漏洞增多。在眾多系統中選擇一個攻破,似乎要比攻破一個容易的多。尤其自動駕駛常常要對感測器回傳的圖片數據進行解析,這一步驟不管是在本地還是雲端進行,都有可能被駭客攻擊。他們只需偽造一個信號,就能讓汽車「誤以為」眼前有一個禁止通行的交通標示。
總之,車聯網、車內娛樂系統、雷達傳感器、電池算法等,在駭客眼中,汽車就是一隻漏洞百出的「肉雞」。
為什麼駭客能遠程操控的東西,比汽車本身更多?
其實在我們的印像中,汽車還是靠油門和方向盤控制的機械,和充滿了電子零件的手機、電腦不同,不應該那麼容易被駭客入侵。
究竟是什麼原因,才讓駭客有機會入侵我們的汽車呢?
▲人們因「不想再有人因操作失誤引發車禍」而發明自動駕駛,然駭客卻有可能入侵系統遠端操控你的安危。(達志影像/美聯社/示意圖)
這一切要從「CAN」說起。「 CAN的」全稱是Controller Area Network,也就是「控制器區域網絡」。本質上來說,CAN是一種通信協議,只要汽車內有電子化、自動化的處理零件,都要通過CAN的總線網路交換數據和控制命令。
類似的系統也會應用在坦克這類的軍用車輛中,剛開始這一系統是非常安全的,直到後來車聯網技術的出現。人們開始希望用手機、車內螢幕這些能登錄互聯網的設備,或是控制汽車空調等小東西。可對於CAN的架構來說,卻像是在一個巨大的管道上開了一個小口,雖然小口只允許一些輕量級的功能加入,可所有數據和命令都會經過這個小口,在沒有特別的安全維護下,就有可能被洩露、入侵、更改。只要成功入侵系統,就可以利用「逆向工程」,找到控制車輛各種功能的命令在何時發送,然後加以模仿就能實現對車輛的控制。
這也是為什麼車主只能遠端操控空調,但汽車駭客卻能遠端操控剎車的原因。而加入了雷達感測器和更完善車聯網系統的自動駕駛車輛,相比過去的汽車簡直是「千瘡百孔」。
尤其現在的自動駕駛愈來愈依賴於本地計算,理論上來說,要比將數據上傳到雲端更加容易被入侵。但往好的方面想,自動駕駛的新技術也是會增加汽車的安全性。例如很多自動駕駛汽車的感測器是分布運作的,汽車需要同時接受到多個感測器傳來的信號才會開始運轉。黑客也就需要入侵更多系統,同時偽造更多信號才能控制車輛。
另一點就是,由於自動駕駛系統需要承載更多的數據和更快的傳輸速度,過時的「CAN」協議正被逐漸淘汰,換上其他更快速,也更安全的架構。
來自FBI和白帽駭客們的建議
儘管如此,美國FBI還是非常嚴肅的提出對未來汽車安全的擔憂。在去年,FBI聯合美國交通部和國家公路交通安全管理局發布了新聞稿,警告大眾和汽車生產商、汽車售後市場廠商等要留意這一類的問題。
FBI還給出了幾條加強汽車安全的建議:第一是確保及時更新軟體系統,不要讓老漏洞一直留在車輛中;第二是謹慎自行修改車輛軟體,以免人為製造出漏洞;第三是留意那些連接到車輛的第三方設備,不管是藍牙、WiFi還是USB接口,只要連接上了汽車就意味著風險;第四則是注意汽車使用記錄,小心會有人在車輛上人為安裝病毒或製造漏洞。
▲當車聯網火熱發展,也為許多產業注入活水,但聯網安全卻是不容忽視的議題。(圖/Pixabay)
我們根據這一問題採訪了幾位曾活躍在(前)烏云網的「白帽」,他們紛紛表示,FBI給出的這幾條建議根本無關痛癢,如果真的有高階駭客想要入侵一輛汽車,上述的方式很難阻擋他。
另外,「白帽」們也給出了幾條關於未來汽車安全的建議和想像:
1.拒絕升級系統的壞毛病要改改了。雖iOS的系統升級只會帶來高耗電量和新Emoji(繪文字),但汽車系統升級可能會讓你剩下不少比特幣。
2.家用WiFi、手機等產品的安全一樣重要,理論上來說通過入侵WiFi和個人手機,再入侵汽車是可以實現的。看來手機也要勤更新系統了。
3.有時候把數據交給雲端服務器,可能比留在汽車本地更安全。在雲端沒人想窺探你的隱私,在本地卻可能有人想惡搞你的空調。
4.對於普通用戶來說,保護未來汽車安全最好的方式是「物理防禦」,比如安裝好車內攝像頭、堅持去4S店保養修理、不連接不信任的WiFi等,用一切方式防止有人接觸到車輛信號。
5.建議自動駕駛產業鏈廠商們多做幾次「黑客松」(Hackathon),反正不管怎樣都會有人去尋找你的漏洞的。
6.未來自動駕駛汽車安全將是一片非常廣闊的市場,應用上區塊鏈技術或許是個好主意。
相信看過這篇文章之後,一部分讀者將會更加珍惜現在還不能自動駕駛的老爺車,而另一部分讀者,或許正在尋找文章中有關駭客知識的bug,而最聰明的那一小撮讀者,或許已經在寫白皮書,籌劃推出一款Automobile Safety Coin了吧……
●虎嗅網,一個用戶可參與的商業資訊與觀點交流平台。作者腦極體,寫讓你腦洞大開且能看懂AI的資深撰稿人。以上言論不代表本網立場,88論壇歡迎多元的聲音與觀點,來稿請寄:editor88@ettoday.net
讀者迴響