其他
智能汽车网络威胁已降临:无钥匙偷车猖獗 欧洲破获近千万元大案
关注我们
带你读懂网络安全
图:欧洲刑警组织缴获的黑客设备
欧洲刑警组织刚刚破获一起涉嫌入侵汽车的黑客行动,但针对车辆的网络威胁才刚刚拉开序幕。
前情回顾·智能汽车网络威胁态势
盗窃狂潮
由于各地执法部门向FBI提交的数据减少,全美犯罪统计数据的可靠性已经大不如前,但仍有迹象表明,近年来汽车盗窃案件有所增加。今年7月,参议员Edward J. Markey曾给汽车制造商写信道,“自1990年代以来,允许用户无需机械钥匙即可打开车门、启动车辆的无钥匙进入系统曾经是降低车辆盗窃率的利器。但在随后的30年中,情况开始急转直下。虽然引发这种转变的确切原因尚不明确,但越来越多的证据表明,无钥匙进入系统可能正是导致情况恶化的一项因素。”不过,行业组织汽车创新联盟对Markey的说法回应称,无钥匙系统其实增强了安全水平。该行业组织还赞扬了其他围绕无钥匙设计的安全措施,例如允许车主手动停用遥控钥匙功能。联盟事务副总裁Garrick Francis写道,“缓解盗窃问题是一项需要持续推进的努力,而规定性要求通常是创新探索的障碍。汽车制造商在设计、评估和实施无钥匙进入系统的安全功能时,必须拥有充分的灵活性,这样汽车行业才能快速响应种种可能影响车主的新问题。”尽管如此,研究人员已经用实例反复证明了,自己成功入侵车辆、开启发动机的能力,近几个月来特斯拉、本田汽车均已相继沦陷。CanBusHack公司总裁兼Def Con安全大会Car Hacking Village创始人Robert Leale表示,“有些汽车公司的安全措施简直可笑。只要想办法入侵了一辆车,往往就能入侵同品牌旗下的所有车型。”
直接熄火
远程熄火引发的危险后果无疑更加令人心惊。虽然发生频率相对较低,或者单纯发生在实验环境下,但却直接关乎使用者的生命安全:
一名心怀不满的前得克萨斯汽车中心雇员,据称曾在2010年利用收回软件远程禁用了100多名司机的车辆。
在2015年的黑客攻击中,研究人员成功切断了Jeep汽车的变速箱和刹车,开启收音机并打开了前雨刷器。此次事件也让克莱斯勒公司首次、也是唯一一次以网络安全为由召回了140万辆汽车。同一批研究人员还在召回之后再次尝试黑客攻击,旨在进一步做出漏洞验证。
前白宫网络官员Richard Clarke表示,2013年记者Michael Hastings的死亡“很可能与汽车网络攻击有关”,但验尸官的报告和Hastings家人的证词排除了这种可能性。
行动了,但没完全行动
虽然联合国和欧洲已经着力推进关于车辆的网络安全规则,但美国在这方面却一直表现得比较迟钝。去年,两党基础设施法案确实引入了一项要求联邦公路管理局设立网络安全协调员的规定。白宫方面本月还启动一项为安全“物联网”设备添加标签的倡议,但先期主要针对路由器和摄像头。Leale称,目前汽车制造商还没有充分的经济动力,去主动实施防盗措施。“他们通常不想增加成本,并且盗窃对汽车厂商其实没什么影响。此类事件影响到的更多是用户和保险公司。”草根数字安全倡议I Am the Cavalry创始人Joshua Corman表示,他们曾经在2014年推出过汽车网络安全的“五星级”计划,其中一些已经得到业界接纳,例如为上报bug的研究人员提供激励措施。网络安全厂商Claroty的网络和物理安全副总裁Corman表示,“当我们发布这项「五星级」计划时,还没有任何一家汽车厂商能够满足全部五点要求。而且时至今日,仍然没有哪家厂商能够满足全部五点要求。所以现在的问题是,我们能是否能拿出充分的政治意愿,采取足够积极的行动来适应这种威胁形势?”
参考资料:washingtonpost.com
推荐阅读