歐洲刑警組織剛剛破獲一起涉嫌入侵汽車的黑客行動�,但針對車輛的網(wǎng)絡(luò)威脅才剛剛拉開序幕。
歐洲執(zhí)法機構(gòu)本周一宣布���,歐洲刑警組織剛剛搗毀了一個專門入侵汽車無鑰匙解鎖系統(tǒng)的黑客團(tuán)伙����,逮捕31名嫌疑人并沒收超過100萬美元(約人民幣775萬元)的犯罪資產(chǎn)。
歐洲刑警組織稱���,“該犯罪團(tuán)伙專門以支持無鑰匙進(jìn)入及啟動系統(tǒng)的車輛為目標(biāo)���,濫用該技術(shù)將汽車開走。他們使用的欺詐工具原本被作為汽車診斷解決方案銷售���,可用于替換車輛的原始軟件�����,能夠在未拿到車鑰匙的情況下打開車門并啟動點火裝置?!?
專家指出,針對無鑰匙車輛的盜竊難度甚至比傳統(tǒng)偷車方法更低����,畢竟傳統(tǒng)偷車賊還要學(xué)習(xí)仿配機械鑰匙和對線打火的技術(shù)。而且除盜竊之外�����,還有其他網(wǎng)絡(luò)威脅在對汽車虎視眈眈。2015年�����,已經(jīng)有安全研究人員成功以遠(yuǎn)程方式令行駛在高速公路上的吉普車(Jeep)熄火�。
在這個聯(lián)網(wǎng)程度日益提升的行業(yè)中,電動汽車與自動駕駛汽車正逐漸拓展更大的商業(yè)版圖�����。由于政府尚未做出明確要求���,由此引發(fā)的安全風(fēng)險在短時間內(nèi)恐怕不會消退�。(據(jù)估計���,去年全美公路上共行駛著8400萬輛聯(lián)網(wǎng)汽車����。)
網(wǎng)絡(luò)安全公司ExtraHop服務(wù)主管Rafal Los表示��,“如今的汽車正逐漸發(fā)展成帶輪子的計算機����,因此來自攻擊方的威脅也愈發(fā)嚴(yán)峻�?!?
當(dāng)然,也已經(jīng)有人在采取應(yīng)對措施�����。網(wǎng)絡(luò)專家表示�����,在里程碑式的Jeep黑客事件之后����,汽車行業(yè)已經(jīng)著手改善車輛的網(wǎng)絡(luò)安全水平。美國國家公路交通安全管理局在9月還更新了2016年發(fā)布的關(guān)于車輛網(wǎng)絡(luò)安全的指南���。當(dāng)然�,專家們也承認(rèn)單憑這些還遠(yuǎn)遠(yuǎn)不夠�����。
盜竊狂潮
由于各地執(zhí)法部門向FBI提交的數(shù)據(jù)減少��,全美犯罪統(tǒng)計數(shù)據(jù)的可靠性已經(jīng)大不如前����,但仍有跡象表明,近年來汽車盜竊案件有所增加���。
今年7月�,參議員Edward J. Markey曾給汽車制造商寫信道�����,“自1990年代以來����,允許用戶無需機械鑰匙即可打開車門、啟動車輛的無鑰匙進(jìn)入系統(tǒng)曾經(jīng)是降低車輛盜竊率的利器����。但在隨后的30年中,情況開始急轉(zhuǎn)直下�。雖然引發(fā)這種轉(zhuǎn)變的確切原因尚不明確,但越來越多的證據(jù)表明�,無鑰匙進(jìn)入系統(tǒng)可能正是導(dǎo)致情況惡化的一項因素?!?
不過���,行業(yè)組織汽車創(chuàng)新聯(lián)盟對Markey的說法回應(yīng)稱,無鑰匙系統(tǒng)其實增強了安全水平�����。該行業(yè)組織還贊揚了其他圍繞無鑰匙設(shè)計的安全措施����,例如允許車主手動停用遙控鑰匙功能。
聯(lián)盟事務(wù)副總裁Garrick Francis寫道����,“緩解盜竊問題是一項需要持續(xù)推進(jìn)的努力,而規(guī)定性要求通常是創(chuàng)新探索的障礙�����。汽車制造商在設(shè)計��、評估和實施無鑰匙進(jìn)入系統(tǒng)的安全功能時�����,必須擁有充分的靈活性�,這樣汽車行業(yè)才能快速響應(yīng)種種可能影響車主的新問題?���!?
盡管如此,研究人員已經(jīng)用實例反復(fù)證明了��,自己成功入侵車輛�、開啟發(fā)動機的能力,近幾個月來特斯拉����、本田汽車均已相繼淪陷。
CanBusHack公司總裁兼Def Con安全大會Car Hacking Village創(chuàng)始人Robert Leale表示�,“有些汽車公司的安全措施簡直可笑。只要想辦法入侵了一輛車�����,往往就能入侵同品牌旗下的所有車型�。”
直接熄火
遠(yuǎn)程熄火引發(fā)的危險后果無疑更加令人心驚�。雖然發(fā)生頻率相對較低,或者單純發(fā)生在實驗環(huán)境下���,但卻直接關(guān)乎使用者的生命安全:
-
一名心懷不滿的前得克薩斯汽車中心雇員�����,據(jù)稱曾在2010年利用收回軟件遠(yuǎn)程禁用了100多名司機的車輛���。
-
在2015年的黑客攻擊中���,研究人員成功切斷了Jeep汽車的變速箱和剎車,開啟收音機并打開了前雨刷器����。此次事件也讓克萊斯勒公司首次、也是唯一一次以網(wǎng)絡(luò)安全為由召回了140萬輛汽車�����。同一批研究人員還在召回之后再次嘗試黑客攻擊���,旨在進(jìn)一步做出漏洞驗證���。
-
前白宮網(wǎng)絡(luò)官員Richard Clarke表示,2013年記者M(jìn)ichael Hastings的死亡“很可能與汽車網(wǎng)絡(luò)攻擊有關(guān)”�,但驗尸官的報告和Hastings家人的證詞排除了這種可能性。
行動了����,但沒完全行動
雖然聯(lián)合國和歐洲已經(jīng)著力推進(jìn)關(guān)于車輛的網(wǎng)絡(luò)安全規(guī)則����,但美國在這方面卻一直表現(xiàn)得比較遲鈍�����。去年���,兩黨基礎(chǔ)設(shè)施法案確實引入了一項要求聯(lián)邦公路管理局設(shè)立網(wǎng)絡(luò)安全協(xié)調(diào)員的規(guī)定。白宮方面本月還啟動一項為安全“物聯(lián)網(wǎng)”設(shè)備添加標(biāo)簽的倡議����,但先期主要針對路由器和攝像頭。
Leale稱�����,目前汽車制造商還沒有充分的經(jīng)濟(jì)動力����,去主動實施防盜措施。
“他們通常不想增加成本�,并且盜竊對汽車廠商其實沒什么影響�����。此類事件影響到的更多是用戶和保險公司���。”
草根數(shù)字安全倡議I Am the Cavalry創(chuàng)始人Joshua Corman表示�,他們曾經(jīng)在2014年推出過汽車網(wǎng)絡(luò)安全的“五星級”計劃,其中一些已經(jīng)得到業(yè)界接納�,例如為上報bug的研究人員提供激勵措施。
網(wǎng)絡(luò)安全廠商Claroty的網(wǎng)絡(luò)和物理安全副總裁Corman表示�,“當(dāng)我們發(fā)布這項「五星級」計劃時,還沒有任何一家汽車廠商能夠滿足全部五點要求�����。而且時至今日����,仍然沒有哪家廠商能夠滿足全部五點要求。所以現(xiàn)在的問題是�����,我們能是否能拿出充分的政治意愿,采取足夠積極的行動來適應(yīng)這種威脅形勢�����?”
