钛媒体 TMTPost.com
TMT|创新|创业
钛度要点 科技公司纷纷开始造汽车,而汽车的信息系统安全正在直接影响汽车安全,危及公共安全、人身和财产安全。做汽车安全可能不仅仅是防止黑客,而思路可能是汽车相关厂商和已经无处不在的汽车黑客进行合作。

钛媒体注:“这个行业似乎将会出现巨大的变化,非常大。我的确认为该行业正处于剧变的临界点上,不只是渐进式的变化。” 上周苹果CEO蒂姆·库克(Tim Cook)在《华尔街日报》(Wall Street Journal)的南加州年度技术大会上接受采访时如是说。而前言则是,苹果在准备一款相当革新的新产品,其将对行业带来巨大影响。看来苹果造车似乎已是铁板钉钉的事了。
不过苹果并不是第一家想要做汽车的科技公司,在“才露尖尖角”的苹果面前,早有特斯拉“蜻蜓立上头”。现在,谷歌的无人驾驶汽车也已经能够横穿美国,并表示5年之内要让无人驾驶车辆上路行驶。就连业绩每况愈下,各种裁员、调整结构和缩减预算的索尼都不甘落后。
百度也紧随谷歌的脚步开始搞无人驾驶汽车,并有望在今年下半年推出。而乐视也已经在美国组建了超级汽车研发团队,看样子贾布斯造汽车真不是随便说说。小米虽然讲自己三五年之内不会做电动汽车,并且在最近的发布会上开玩笑似地拿出一台“玩具”体感平衡车来,但根据专利申请文件显示,小米已经申请了关于车辆定速巡航、车辆操控、车辆导航、停车信息预测等十几个智能汽车方向的发明专利,小米之志,恐怕不止在于平衡车玩具;。而上周在慕尼黑举行的2015年eCarTech电动车车展上,宏碁也展示了名为“X Terran”的全地形电动车。
科技公司纷纷投入汽车行业的背后,还有日益凸显的汽车信息系统安全问题,钛媒体记者宋长乐近日走访和了解了多家互联网汽车厂商和网络黑客后,意识到与过去“闻声色变”的黑客人才合作,却正成为新的主流:
当汽车越来越智能化和联网化——智能导航、自动驾驶、远程控制等一系列新型操控方式正在趋于成熟,汽车成了名副其实的“轮子上的电脑”时,随之而来的“汽车黑客”群体数量增长,而汽车安全问题也越来越受到重视。
汽车黑客,可毁车也可救车。
3个月前,美国著名黑客查理•米勒和克里斯•瓦拉塞克利用车载信息服务系统“UConnect”成功从十英里以外入侵了一辆在高速公路上行驶的吉普切诺基,导致汽车行驶途中失灵,翻到了沟里。
这一事件意味着正式将黑客的威胁带入到生命层面。在此之后,克莱斯勒公司宣布召回约140万辆存在软件漏洞的汽车,这也是首例汽车制造商因为黑客风险而召回汽车的事件。
事实上,由于汽车中使用的计算和联网系统沿袭了既有的计算和联网架构,也继承了这些系统天然的安全缺陷,汽车行业因此面临着PC和互联网领域一样日趋恶劣的信息安全形势,黑客攻击、安全漏洞、汽车破解和劫持开始频繁跟汽车关联。尤其近两年,就发生过多起汽车安全漏洞事件:
2014年7月
,360宣布发现了特斯拉应用程序的缺陷,攻击者利用这个漏洞,可远程控制车辆,实现开锁、鸣笛、闪灯、开启天窗等操作;

2015年2月
,美国通用汽车公司OnStar系统被曝安全漏洞,黑客可以利用来远程操控汽车;

2015年6月,乌云漏洞平台、360补天漏洞平台曾曝光比亚迪云服务存在严重安全漏洞,车辆可完全被黑客控制,紧接着比亚迪官方确认漏洞存在。
……
以上只不过是我们所知道的一部分案例。车联网不停止演进,汽车的技术安全事故就必然再次重演。频发的安全漏洞和黑客攻击事件是一种警醒:汽车的信息系统安全正在直接影响汽车安全,危及公共安全、人身和财产安全。
360公司的首席工程师、漏洞实验室团队负责人郑文彬告诉钛媒体,汽车安全与之前PC、手持设备的安全是有区别的,但最终会有一个交集。“目前大多数汽车品牌都是独有系统,尤其是控制系统基本上是传统的,但未来会向手持设备的通用系统靠拢,只要与安卓和iOS系统有连接,汽车的危险性就会增加”,他这样告诉钛媒体。
郑文彬还举例说,Java号称目前全球有40亿台设备在运行,如果发现一个漏洞,黑客就有机会一举攻击这40亿台设备。汽车也是如此,装载同一个系统安全等级和危害性都是一致的,城门倘若失火,必将殃及池鱼。
移动互联时代,安全已经突破了软件、内容、服务等界限,传统的安全防护思路已经无法解决真正的安全问题了。
那么,这是否意味着只要是智能联网的东西,在黑客眼中都是漏洞百出?我们可以做些什么?尤其对于与我们生命戚戚相关的汽车安全?
不久前,在2015 SyScan360国际前瞻信息安全会议上,入侵吉普切诺基的两位黑客查理•米勒和克里斯•瓦拉塞克的现身说法,给我们提供了一种思路。
他们称自己为“白帽子”黑客,并不会主动去攻击别人的汽车,反而会对汽车安全性继续进行研究。在他们看来,入侵吉普切诺基正是作为一名黑客可以影响真实世界的例子,他们希望借助这次事件促使搭载智能设备的汽车厂商对安全产生足够的重视,这样汽车厂商们才会在安全上投入更多的努力。
这恰恰也验证了,网络黑客和安全人才与汽车相关厂商的合作,正成为保证车联网安全的重要发展方向。在今年9月份的时候,Uber就聘请了查理•米勒和克里斯•瓦拉塞克加盟,宣称将为Uber自动化驾驶打造世界级的安全项目。
除此之外,据钛媒体了解,国内外一些汽车厂商也邀请黑客为汽车安全进行“把关”。比如,加拿大军方的合同就包括黑客对于2015年的轻型皮卡车系统的破解分析,合同中明确提到黑客们必须找出其中的漏洞,并展示汽车是如何被黑客入侵的。
通过这种方式,如果能够提前发现系统漏洞,并且及时修复,那么有心做坏事的黑客就没法利用这个漏洞损害企业以及用户利益了。
“不过,即便能够主动防御和规避漏洞,也无法百分之百阻挡黑客的攻击,在与病毒制作者你来我往的交手,这是一个博弈的过程”,郑文彬毫不掩饰他对汽车安全的担忧。郑文彬还提到,车联网存在安全隐患还有一个重要的原因是行业车载智能系统和智能硬件层出不穷,但并未建立一个标准。
我们知道,Google和苹果纷纷推出了Android Auto和CarPlay,双方都在筹备大规模推广,试图给用户的汽车带来一个安全和友好的移动体验。虽然在国外也取得了一定的进展,但关照国内的市场环境,状况堪忧。整个汽车市场,都太需要一个机构去推动汽车系统的统一、解决潜在的安全隐患。
去年的时候,美国汽车制造商联盟(AAA)就首次达成协议,将制定抵制黑客侵袭的隐私保护政策。预计今年年底,由美国汽车制造商联盟和全球汽车制造商协会牵头,美国多家汽车厂商也将联合成立信息分享和分析中心(Information Sharing and Analysis Center,简称ISAC),以共同对抗汽车黑客攻击。
在国内,我们也看到了这样一种机构诞生的苗头。日前360总裁齐向东曾透露,360目前正在联合多家机构和车企,筹备成立中国车联网安全联盟,想要集合全社会的网络安全能力,共同面对和解决汽车的信息系统安全,吸收和帮助第三方的安全研究人员一起参与汽车信息系统安全问题的研究和解决。
不过,即便有了行业的推动,作为智能时代的用户我们自己也必须培养自主安全意识。如果说之前我们在云端损失的是个人隐私以及部分财产,那么随着车联网时代的到来,我们就该学着对自己的生命负责了。(本文首发钛媒体)
钛媒体相关文章 】
关注 钛媒体回复以下关键词获取更多内容
科技公司进军汽车行业是几个意思
回复新乐园汽车行业成为国外科技公司的新乐园,忙手机的国内公司也有意跟进
我们坚信科技改变世界更多独家好文章,点击 “阅读原文”下载 钛媒体APP24小时实时更新;好文章好想法好创意欢迎都来钛媒体提交吧,还可以赚钛币得惊喜哦。
继续阅读
阅读原文