他们发现的汽车安全漏洞，通用花费五年时间去弥补

今年，两名资深白帽黑客展示了入侵克莱斯勒 Jeep 汽车的技术，引起了不小的震动。许多人不知道的是，五年前，一些研究人员曾经做过同样的事情。他们黑掉了通用的汽车，不过，他们没有公开透露汽车型号，也没有公开展示入侵方法。据 Wired 网站的了解，2010 年，研究人员向通用和美国国家公路交通安全管理局透露了入侵方法，而通用花费了 5 年时间才弥补了漏洞。

“除了转向以外，我们基本上完全控制了汽车，” 安全研究人员 Karl Kosher 说，“如果漏洞早日被弥补，那肯定会更好。”

研究人员攻击的是通用雪佛兰 Impala 上的 OnStar 系统。首先，研究人员用计算机拨打汽车上的紧急电话，向 Onstar 系统发送大量的数据，造成缓冲区溢出，然后，他们控制了 Onstar 的数据连接，并最终侵入汽车的 CAN 总线系统。他们可以控制汽车的雨刷、刹车和变速箱。

在了解到这种攻击方法后，通用曾经做出各种努力去弥补漏洞，包括：在以后使用的 Onstar 系统中打上了安全补丁；与运营商 Verizon 合作，阻止 Onstar 系统与未认证的服务器连接等等。但是，这些方法都不能完全阻挡黑客的攻击行为。直到今年，通用对百万辆汽车默默地推送了软件更新。

研究人员认为，这件事情并不能完全归咎于通用，实际上，在面对互联网时，整个汽车行业都缺乏安全上的准备。5 年前，汽车商还无力修补汽车软件上的漏洞。“在桌面系统和服务器上，我们对此已经习以为常，但是，汽车行业还没有这个意识。” UCSD 教授、主导了此项研究的 Stefan Savage 说，“当时，整个汽车行业还无法对付这种情况，五年后的今天，统一的反应机制和升级系统也不存在。这是件悲哀的事情。”

今年，两名黑客展示了攻击克莱斯勒 Jeep 的方法。随后，克莱斯勒很快发布了安全补丁，并且对汽车进行了召回。这是否说明，安全人员应该早日发布安全漏洞，迫使汽车厂商快速行动呢。对于这个问题，Stefan Savage 表示说，如果他们发表了入侵的细节，那么，后果是弊大于利的，因为五年前的汽车商还没有准备好。“这对于任何人都是全新的东西：政策制定者、汽车行业、供应商，” 他说，“只是想想如何让他们关注这个问题，都是不容易的事情。”

不过，在过去的五年里，汽车商已经意识到汽车被入侵的可能性了。如今，公开发表入侵汽车的技术，或许是迫使汽车商重视安全问题的一种方法。“现在，如果我发现了一个新的漏洞，我或许会做出不同的选择，” 他说，“对于汽车厂商来说，汽车安全已经是资源和意愿的问题，而非是否了解的问题。”

图片来自 Wired