自駕車的隱憂:明明是我的車,為何我只能遙控空調,駭客卻能遠端剎車?

【我們為什麼挑選這篇文章】自駕車越來越發達,但是你有想過,這些車輛是否也變得更加「脆弱」了呢?

當自駕車與駭客交會,到底我們在享受到自駕車的便利前,會不會先被駭客玩死?(責任編輯:林厚勳)

文 / 微信公眾號腦極體(unity007)

自動駕駛技術為人們勾勒出了一副美好的未來出行的畫面:坐上沒有方向盤的汽車,一覺睡到公司門口;甚至我們可能不再擁有一輛汽車,需要出門時共享自動駕駛汽車會自己到來,送到目的地時會自行離開……

不過自動駕駛和車聯網也會帶來不那麼美好的未來,比如《玩命關頭 8》中描繪的畫面,駭客隨意在鍵盤上敲幾行代碼,停在停車場中的汽車就一齊出動,橫屍街頭淪為大佬們飆車戰的炮灰。

不過我們最害怕的還是,後面提到的這種種壞未來,要比美好未來到來的更快。

AI 還在路測,駭客們攻略自動駕駛的技術已經成熟了

這一點並不是危言聳聽,在自動駕駛汽車還處在路測階段時,汽車駭客就已經能在地球另一端把你家汽車開走了。

早在 2015 年的一場 BlackHat 大會上,就有兩位工程師現場演示如何遠程入侵一輛 Jeep Wagoneer,從十公里之外入侵了這輛車的音箱和空調,並讓這輛車行駛在繁華路段時切斷了一切對外通訊。

演示之後,兩位駭客表示他們可以在美國所有連接到 Sprint 網絡的克萊斯勒汽車上做到同樣的效果,據當時的統計,全球受到影響的汽車共計有 47 萬輛。害的當時的克萊斯勒趕緊召回車輛,升級系統,彌補漏洞。

(兩位駭客之一的Charlie Miller)
(兩位駭客之一的 Charlie Miller)

在現場演示中,駭客們只展示了一些無害的技術。實際上 2015 年,駭客就可以通過 WiFi、藍牙等等途徑控制汽車的油門、轉向、收緊安全帶等等。想要危害一個人的安全,幾乎易如反掌。

不用台幣 1000 元就能偷走你的高貴名車

更可怕的是,汽車駭客技術的成本正在越來越低。在去年,360 無線電安全研究部展示出了一個研究成果,製作一個成本只有 690 元台幣的小工具,尾隨手持車鑰匙的車主,就能盜取訊號打開車門。

在自動駕駛汽車中,這些問題變得更加嚴重。自動駕駛汽車裡存在著大量傳感器,不同的傳感器來自不同廠商,也就可能擁有著不同系統,網路節點變得更多會導致漏洞增多。在眾多系統中選擇一個攻破,似乎要比攻破一整輛車要容易的多。

尤其是自動駕駛常常要對傳感器回傳的圖片數據進行解析,這一步驟不管是在本地還是雲端進行,都有可能被駭客攻擊。只需偽造一個信號,就能讓汽車「誤以為」眼前有一個禁止通行的交通標示。

總之,車聯網、車內娛樂系統、雷達傳感器、電池算法等等,在駭客眼中,汽車就是一隻漏洞百出的「肉雞」。

為什麼駭客能遠程操控的東西,比汽車自己更多?

其實在我們的印象中,汽車還是依靠油門和方向盤控制的機械,和充滿了電子元件的手機、電腦不同,不應該那麼容易被駭客入侵。

究竟是什麼原因,才讓駭客有機會入侵我們的汽車呢?

這一切要從 CAN 說起。CAN 的全稱是 Controller Area Network——控制器局域網絡。本質上來說, CAN 是一種通信協議,只要汽車內有電子化、自動化的處理部件,都要通過 CAN 的總線網絡交換數據和控制命令。

類似的系統也會應用在坦克這類軍用車輛中,一開始這一系統是非常安全的,直到後來車聯網技術的出現。人們開始希望用手機、車載螢幕這些能登錄網路的設備控制汽車空調等等小東西。可對於 CAN 架構來說,卻像是在一個巨大的管道上開了一個小口子,雖然小口子只允許一些輕量級的功能加入,可所有數據和命令都會經過這個小口子,在沒有特別的安全維護下,就都有可能被洩露、入侵、更改。只要成功入侵系統,就可以利用逆向工程找到控制車輛各種功能的命令在何時發送,然後就加以模仿就能實現對車輛的控制。

自動駕駛和駭客駕駛,到底哪個會最先到來?

這也是為什麼車主只能遠程操控空調,但汽車駭客卻能遠程操控剎車的原因。而加入了雷達傳感器和更完善車聯網系統的自動駕駛車輛,相比過去的汽車簡直是「千瘡百孔」。

尤其現在的自動駕駛開始越來越依賴於本地計算,理論上來說要比將數據上傳到雲端更加容易被駭侵。但往好的方面想,自動駕駛的新技術也會增加汽車的安全。

例如很多自動駕駛汽車的傳感器是分佈運作的,汽車需要同時接受到多個傳感器傳來的信號才會開始運轉。駭客也就需要入侵更多的系統,同時偽造信號才能控制車輛。

另一點就是,由於自動駕駛系統需要承載更多的數據和更快的傳輸速度,過時的 CAN 協議正在被逐漸淘汰,換上其他更快速也更安全的架構。

來自 FBI 和白帽駭客們的建議

儘管如此,FBI 還是非常嚴肅的提出了對未來汽車安全的擔憂。在去年,FBI 聯合美國交通部和國家公路交通安全管理局發佈了新聞稿,警告大眾和汽車生產商、汽車售後市場廠商等等要留意這一問題。

FBI 還給出了幾條加強汽車安全的建議:

  1. 確保及時更新軟體系統,不要讓老漏洞一直留在車輛中。
  2. 謹慎自行修改車輛軟體,以免人為製造出漏洞。
  3. 留意那些連接到車輛的第三方設備,不管是藍牙、WiFi 還是 USB 接口,只要連接上了汽車就意味著風險。
  4. 注意汽車使用記錄,小心會有人在車輛上人為安裝病毒或製造漏洞。

自動駕駛和駭客駕駛,到底哪個會最先到來?

不過我們根據這一問題採訪了幾位曾活躍在(前)烏雲網的白帽駭客,他們紛紛表示 FBI 給出的這幾條建議基本無關痛癢,如果真的有高階駭客想要入侵一輛汽車,上述的方式很難阻擋他。

白帽駭客們也給出了幾條關於未來汽車安全的建議和暢想:

  1. 拒絕升級系統的壞毛病要改改了。雖然 iOS 的系統升級只會帶來高耗電量和新 Emoji,但汽車系統升級可能會讓你剩下不少比特幣。
  2. 家用 WiFi、手機等等產品的安全一樣重要,理論上來說通過入侵 WiFi 和個人手機,再入侵汽車是可以實現的。看來手機也要勤更新系統了。
  3. 有時候把數據交給雲端服務器,可能比留在汽車本地更安全。在雲端沒人想窺探你的隱私,在本地卻可能有人想惡搞你的空調。
  4. 對於普通用戶來說,保護未來汽車安全最好的方式是「物理防禦」,比如安裝好車內攝像頭、堅持去 4S 店保養修理、不連接不信任的 WiFi 等等,用一切方式防止有人接觸到車輛信號。
  5. 建議自動駕駛產業鏈廠商們多做幾次駭客松,反正不管怎樣都會有人去尋找你的漏洞的。
  6. 未來自動駕駛汽車安全將是一片非常廣闊的市場,應用上區塊鏈技術或許是個好主意。

自動駕駛和駭客駕駛,到底哪個會最先到來?

相信看過這篇文章之後,一部分讀者會更加珍視現在還不能自動駕駛的「老爺車」,另一部分讀者正在尋找文章中有關駭客知識的 bug,而最聰明的那一小撮讀者,或許已經在寫白皮書,籌劃推出一款 AutomobileSafetyCoin 了吧……

─ ─

(本文經 微信公眾號腦極體(unity007)授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈 自動駕駛和黑客駕駛,到底哪個會最先到來? 〉,首圖來源:PEXELS,CC Licensed。)

自駕車有時可能更危險?

特斯拉自駕車居然變三寶,直接撞上路邊停好好的消防車!
【自駕車的隱憂】特斯拉汽車又被攻破,車聯網安全問題逐漸浮現
意想不到的危機:你知道自駕車時代開傳統車,其實比駭客入侵自駕系統還危險嗎?
【絕命自駕車】你的車不是你的車,駭客要你開入河你也只能駛進去


《TO》品牌活動「CONNECT」深度專題重磅更新! 

《TO》年度品牌活動 CONNECT 2020「5G 新經濟」新專題上線! 看台灣新創如何用 5G 翻轉各產業的傳統想像,打造意想不到的創新服務! 馬上報名 獲取最新深度報導。

點關鍵字看更多相關文章: