买部无人驾驶汽车,还得学习反黑客技术?
“未来的汽车是带轮子的电脑”这句话已经被安到太多中外科技名人的头上,再轮下去就要到孔子和司马迁了。但自动驾驶技术推进步伐之快,确实让我们不得不担心起坐在这部“电脑”里的自己,因为只要是电脑,就有被黑客入侵的可能。
数据安全专家 Craig Smith 最近出版了一本名为《汽车黑客手册:防入侵指南》(《Hacker’s Handbook: A Guide for the Penetration Tester》)的书,指出无人驾驶汽车的诸多数据安全漏洞,旨在为无人驾驶汽车车主们提供一份防止黑客入侵自己汽车的教程。
Smith 拥有 20 年银行和医疗保健行业数据安全保护经验的。在一次参加汽车技术研发机构 Open Garages 关于自动驾驶技术的会议时,他发现来的全是几乎机械工程师,只有他一个是数据安全方向的研究人员。
同时他发现,无人驾驶汽车车主的对自己的汽车数据权限低得让人惊讶,他们甚至无从了解自己的汽车在网络连接、操控、预判等方面的程序运作方式。
在自动驾驶汽车出现程序错误或者遭到非法程序入侵时,汽车生产厂商可能无法及时介入帮助车主,而被隔绝的车主自己也无法发现问题,更谈不上提前的防护。
爱范儿(微信公众号:ifanr)去年也报道过两个美国白帽黑客们入侵行进中的汽车的实验。
(图自:连线)
两人通过网络接入克莱斯勒汽车的车载联网系统 Uconnect,并对 Uconnect 的芯片进行编程,并植入自己的一串代码。这样一来,他们就能直接与车子内部电脑网络进行通讯,做到远程地控制车上的其他物理部件,包括:雨刷、音响、变速器、刹车、油门等。
(图自:连线)
参加实验的人发现自己做什么汽车都不听话,变速器自动挂空档、音响被调到最大声、挡风玻璃泡沫乱喷。
同时,车辆的信息也瞬间赤裸:GPS 坐标、车架号、品牌、型号以及 IP 地址全部可以被白帽黑客们查看。
这还是普通的汽车,网络依赖程度更高、拥有更多智能设备的无人驾驶汽车被攻击的渠道就更多了。
(图自:techcrunch)
“你花了 3 万多美元买了一辆车,但没法保证它的数据安全,那这台车究竟是你的还是汽车厂商的?”Smith 在他的书中说。
我只是想买部无人驾驶汽车而已,还非得学习反黑客技术不可?除了极客车主,没有几个车主有相应的知识和兴趣,去为自己的无人驾驶汽车做数据安全维护。
“汽车厂商已经做过了防入侵测试,但你还需要第三方检验。这个第三方可以是其他独立的工程师,也可以是车主自己。”Smith 在书中说:“我希望这本书能给读者这样一个安全观念。”
(图自:digitaltrends)
而关于预防措施,上文提到的两位白帽黑客在去年的拉斯维加斯举办的黑帽大会提出过一个应对方案:设计了一个入侵检测系统,可以嵌到汽车中检测外界干扰,一旦发生网络攻击,汽车将关闭网络功能。
这对于一般汽车而言或许还算一个办法,但完全不适应于高度依赖网络的无人驾驶汽车。
针对无人驾驶汽车,Smith在 300 多页的书中分析了很多独有潜在的数据安全隐患,同时也提出了一些解决办法。其中最受关注的也是关于黑客入侵后远程控制汽车操作的内容。和一般汽车只能干扰驾驶不同,无人驾驶汽车被控制后甚至可以实施精确的驾驶操作。
Smith 认为,尽管听起来可怕,但这件事中技术上实现的可能性很低。因为无人驾驶汽车的工程师们也明白,它们产品必须有更高水平的网络防火墙防护。
(图自:carwow)
“自动驾驶汽车的传感器并不听从外部指令。工程师们有做预防传感器被入侵的设计。”Smith 说:“除非黑客能同时入侵所有传感器,对它们的操作又完美得躲开系统防火墙的侦测。”
另外从入侵目的来看,黑客的主要目标不会是对车主造成人身伤害,除非刚好遇上反社会人格者。Smith 指出,入侵无人驾驶汽车的黑客主要目标是车主的个人信息,比如个人身份、定位信息、摄像头等。
题图自:digitaltrends