美国《连线》杂志日前用大量篇幅报道了两名黑客——查理·米勒(Charlie Miller)以及克里斯·瓦拉塞克(Chris Valasek)——在一辆切诺基行驶过程中,远程通过软件向克莱斯勒Uconnect车载系统发送指令,启动车上的各种功能的危险事件。 黑客可以操控的包括降低速度、关闭引擎、突然制动或者让制动失灵。他们还可以控制车上的GPS设备,获取目标车辆的坐标及车速,进而在地图上对车辆的行进路径进行追踪。简单来说,只需车辆连接至网络,任何知道车辆IP地址的人都可以通过Uconnect的蜂窝网络在任何地点对车辆进行控制。这其中最致命的是让刹车失灵,能够让车辆发生侧滑进而影响人身安全,相信很多人还对若干年前丰田因刹车失灵陷入空前的召回灾难记忆犹新。 7月24日,菲亚特克莱斯勒美国公司就这一事件公开回应,宣布召回约140万辆存在软件漏洞的汽车。这是全球首例因黑客风险而召回汽车的事件。 [黑客] 菲亚特克莱斯勒美国公司在声明中说:召回的车辆都配备Uconnect系统,公司正在对这些车辆进行软件更新,使联网车辆免受黑客控制。此外,菲亚特克莱斯勒还采取了网络层面的安全措施,以防范此类远程操控。被召回车辆涉及美国市场上“公羊”、“吉普”、“道奇”等菲亚特克莱斯勒旗下品牌近两三年的一些车型。用户将收到菲亚特克莱斯勒提供的一个USB设备,用于车辆内部软件更新。 米勒与瓦拉塞克计划在今年的黑帽大会上公布部分漏洞细节。但早在九个月前,两位黑客就开始将自己的研究成果与克莱斯勒共享,使得公司可以赶在黑帽大会前悄悄推出安全补丁。 7月16日,那些车辆配备Uconnect功能的车主收到来自克莱斯勒的通知,要求对系统进行更新,但只字未提米勒与瓦拉塞克的研究。问题是,克莱斯勒的补丁需要用户通过U盘手动更新,或者前往经销商处由他人代劳,而不能远程更新。在7月24日发出的召回公告中,克莱斯勒仍然采用了USB设备更新内部软件的方法。 有意思的是,在召回之前,克莱斯勒曾经回应过《连线》对于软件漏洞的质疑,公司表示对米勒与瓦拉塞克的工作表示“感激”,但对上述二人打算公开漏洞细节的行为颇有微词,认为任何鼓励或帮助黑客在未经授权的情况下获取机动车系统控制权限的行为都是不合适的,虽然公司对此类研究的成果表示支持,但任何行为都不应以牺牲公众的安全为代价。 不过,对于黑客来说,公开漏洞是他们的研究工作获得人们肯定的唯一手段,也只有如此,才能让车企、消费者包括政府机构意识到问题的严重性。 实际上,米勒与瓦拉塞克并非是首批通过网络入侵汽车的人。早在2011年,来自华盛顿大学以及加利福尼亚大学的研究人员就曾经示范过如何通过无线方式打开轿车的门锁并且紧急制动。但这些研究人员的行事方式相当低调,他们没有透露过多细节,并且选择私下与车商分享了研究成果。 有问题的车企也远不止克莱斯勒一家。车云菌曾经报道过,在2013年黑客大会(DefCon)上,米勒和瓦拉塞克发表了名为《汽车网络和控制单元探秘》的研究白皮书,曝光了攻击普锐斯和翼虎的详细攻略。 据《连线》报道,美国参议员马基曾致信20家车企,要求他们回答关于安全准则方面的一系列问题。结果16家做出回应的车商全都证实,每一辆机动车都具备某种形式的无线网络连接,包括蓝牙、Wi-Fi、无线数据服务等等。7家车商表示他们聘请了独立的安全公司对产品的数字安全进行了测试。仅仅只有2家公司表示,他们的产品配备了监测系统,能够对CAN网络进行扫描,随时检测恶意数字命令。 在中国,车云菌也关注过Tesla、比亚迪云服务存有漏洞的问题,并现场目睹了360破解汽车,但遗憾的是,就像米勒和瓦拉塞克最初展示自己的研究成果时那样,这些黑客事件并没有引起车企和消费者的足够关注。 有消息称,美国参议员马基将在国会提出一项新的法案,就机动车抵御入侵威胁制定新的标准,同时针对消费者创建一个隐私与安全评级系统。马基认为,驾驶者不应该在联网能力和安全性能间进行选择,人们需要清晰的规则来保护司乘人员的安全。 虽然菲亚特克莱斯勒称,迄今它还没有收到过与车辆软件漏洞相关的人身伤害报告,还表示黑客操控并不容易实现,需要广泛的专门技术知识、长时间对目标车辆进行物理接触以及花费大量时间写黑客代码。但不管如何,这次事件给汽车制造商敲响了警钟,因为黑客不是开玩笑的,入侵联网汽车很有可能造成致命的后果。 |