当汽车的制造水平到达一定程度时,人们越来越追求除了机械性能以外的东西:「智能化」,「互联化」,这也引发了一些列的安全问题。在黑客攻破Jeep自由光的Uconnect系统后,最近又有黑客宣布攻破了安吉星信息系统。这两件事引发了新一轮关于汽车安全问题的思考。
首先我们来看看,这两次攻击事件,事实到底是什么样的呢?
Jeep被攻击,根据外媒的报道来看,黑客侵入的是带有无线联网功能的Uconnect车机。黑客通过入侵集成在娱乐系统芯片上的无线通信模块的漏洞,侵入汽车CAN总线发指令,从而控制汽车的机械部件,比如发动机、转向、刹车等。
也就是说,攻击是通过网络完成的,而不是物理接触。
而一位FCA(菲亚特克莱斯勒)车联网部门的前员工告诉GeekCar,这次的黑客攻击,根源是因为Uconnect的系统安全架构存在问题,这种攻击不是针对于某辆车的,而是「可复制性的攻击」。虽然黑客不会在同一时刻去攻击所有车辆,但是这些车子却是有普遍性缺陷的。所以,FCA才宣布召回140万辆汽车。
不过,既然是架构问题,仅凭一次召回,恐怕很难从根本上解决问题。举个不太恰当的例子,中国足球不行,是因为体制原因,不是换几个国脚就能马上变好的。
那么这里所说的Uconnect安全架构问题,具体是什么呢?简单的说,一套车载娱乐系统的安全架构通常包括应用层、协议层、底层三个层面,每个层面都需要有加密、解密的过程和安全机制,Uconnect的问题就出在这上面。
再来看看安吉星被黑事件。
具体情况是,黑客拦截了RemoteLink这款App和OnStar服务之间的通信。通过这个App,车主可以获得监测胎压、开关车门、启动发动机、定位等功能的控制权限,黑客则声称可以实现「定位、解锁和远程启动」。因此一旦被黑客入侵,很有可能车就没了,还是挺危险的。
通用方面表示,这种攻击行为不是可复制的,一次只会针对一个车主。
由此看来,这两次针对车联网系统的黑客攻击行为,克莱斯勒漏洞的「可复制性」,其影响远远大于安吉星被黑。
黑客频频攻破车联网系统,只是在车联网技术发展过程中的一个必然,在某个时间节点必然会发生,这不是车厂能够控制的。
汽车不同于其他科技产品,新技术量产的周期很长,目前的Uconnect系统和安吉星系统往往是几年前的研发成果,并且批量生产后车主很少注意升级,面对现在层出不穷的攻击方式,无力招架。
至于那几位攻破Uconnect和安吉星的黑客,无论是出于对技术的热爱还是个人利益,他们的做法至少都促进了车联网系统安全的进步,毕竟他们都是实验性质的破解。当漏洞被用来伪造车祸,制造谋杀时,就为时已晚了。
在克莱斯勒Uconnect和安吉星「里程碑事件」后,留给厂商的问题也很棘手。毕竟配备车联网系统的车型越来越多,未来车联网系统安全层面「滞后性」问题,车联网系统的后续升级问题(克莱斯勒提出的USB的升级方式不可能覆盖到每个车主),这些问题都是亟需解决的。
车厂或许都擅长制造汽车,精通每个部件的工艺,但车联网还是一个薄弱环节。如同计算机行业的安全问题,车联网系统也没有100%的绝对的安全,车厂能做的只是尽量降低攻破损失、提高被攻击成本。