歐洲刑警組織剛剛破獲一起涉嫌入侵汽車的黑客行動,但針對車輛的網(wǎng)絡(luò)威脅才剛剛拉開序幕。
歐洲執(zhí)法機(jī)構(gòu)本周一宣布,歐洲刑警組織剛剛搗毀了一個專門入侵汽車無鑰匙解鎖系統(tǒng)的黑客團(tuán)伙,逮捕31名嫌疑人并沒收超過100萬美元(約人民幣775萬元)的犯罪資產(chǎn)。
歐洲刑警組織稱,“該犯罪團(tuán)伙專門以支持無鑰匙進(jìn)入及啟動系統(tǒng)的車輛為目標(biāo),濫用該技術(shù)將汽車開走。他們使用的欺詐工具原本被作為汽車診斷解決方案銷售,可用于替換車輛的原始軟件,能夠在未拿到車鑰匙的情況下打開車門并啟動點(diǎn)火裝置?!?
專家指出,針對無鑰匙車輛的盜竊難度甚至比傳統(tǒng)偷車方法更低,畢竟傳統(tǒng)偷車賊還要學(xué)習(xí)仿配機(jī)械鑰匙和對線打火的技術(shù)。而且除盜竊之外,還有其他網(wǎng)絡(luò)威脅在對汽車虎視眈眈。2015年,已經(jīng)有安全研究人員成功以遠(yuǎn)程方式令行駛在高速公路上的吉普車(Jeep)熄火。
在這個聯(lián)網(wǎng)程度日益提升的行業(yè)中,電動汽車與自動駕駛汽車正逐漸拓展更大的商業(yè)版圖。由于政府尚未做出明確要求,由此引發(fā)的安全風(fēng)險在短時間內(nèi)恐怕不會消退。(據(jù)估計,去年全美公路上共行駛著8400萬輛聯(lián)網(wǎng)汽車。)
網(wǎng)絡(luò)安全公司ExtraHop服務(wù)主管Rafal Los表示,“如今的汽車正逐漸發(fā)展成帶輪子的計算機(jī),因此來自攻擊方的威脅也愈發(fā)嚴(yán)峻?!?
當(dāng)然,也已經(jīng)有人在采取應(yīng)對措施。網(wǎng)絡(luò)專家表示,在里程碑式的Jeep黑客事件之后,汽車行業(yè)已經(jīng)著手改善車輛的網(wǎng)絡(luò)安全水平。美國國家公路交通安全管理局在9月還更新了2016年發(fā)布的關(guān)于車輛網(wǎng)絡(luò)安全的指南。當(dāng)然,專家們也承認(rèn)單憑這些還遠(yuǎn)遠(yuǎn)不夠。
盜竊狂潮
由于各地執(zhí)法部門向FBI提交的數(shù)據(jù)減少,全美犯罪統(tǒng)計數(shù)據(jù)的可靠性已經(jīng)大不如前,但仍有跡象表明,近年來汽車盜竊案件有所增加。
今年7月,參議員Edward J. Markey曾給汽車制造商寫信道,“自1990年代以來,允許用戶無需機(jī)械鑰匙即可打開車門、啟動車輛的無鑰匙進(jìn)入系統(tǒng)曾經(jīng)是降低車輛盜竊率的利器。但在隨后的30年中,情況開始急轉(zhuǎn)直下。雖然引發(fā)這種轉(zhuǎn)變的確切原因尚不明確,但越來越多的證據(jù)表明,無鑰匙進(jìn)入系統(tǒng)可能正是導(dǎo)致情況惡化的一項因素。”
不過,行業(yè)組織汽車創(chuàng)新聯(lián)盟對Markey的說法回應(yīng)稱,無鑰匙系統(tǒng)其實增強(qiáng)了安全水平。該行業(yè)組織還贊揚(yáng)了其他圍繞無鑰匙設(shè)計的安全措施,例如允許車主手動停用遙控鑰匙功能。
聯(lián)盟事務(wù)副總裁Garrick Francis寫道,“緩解盜竊問題是一項需要持續(xù)推進(jìn)的努力,而規(guī)定性要求通常是創(chuàng)新探索的障礙。汽車制造商在設(shè)計、評估和實施無鑰匙進(jìn)入系統(tǒng)的安全功能時,必須擁有充分的靈活性,這樣汽車行業(yè)才能快速響應(yīng)種種可能影響車主的新問題。”
盡管如此,研究人員已經(jīng)用實例反復(fù)證明了,自己成功入侵車輛、開啟發(fā)動機(jī)的能力,近幾個月來特斯拉、本田汽車均已相繼淪陷。
CanBusHack公司總裁兼Def Con安全大會Car Hacking Village創(chuàng)始人Robert Leale表示,“有些汽車公司的安全措施簡直可笑。只要想辦法入侵了一輛車,往往就能入侵同品牌旗下的所有車型?!?
直接熄火
遠(yuǎn)程熄火引發(fā)的危險后果無疑更加令人心驚。雖然發(fā)生頻率相對較低,或者單純發(fā)生在實驗環(huán)境下,但卻直接關(guān)乎使用者的生命安全:
-
一名心懷不滿的前得克薩斯汽車中心雇員,據(jù)稱曾在2010年利用收回軟件遠(yuǎn)程禁用了100多名司機(jī)的車輛。
-
在2015年的黑客攻擊中,研究人員成功切斷了Jeep汽車的變速箱和剎車,開啟收音機(jī)并打開了前雨刷器。此次事件也讓克萊斯勒公司首次、也是唯一一次以網(wǎng)絡(luò)安全為由召回了140萬輛汽車。同一批研究人員還在召回之后再次嘗試黑客攻擊,旨在進(jìn)一步做出漏洞驗證。
-
前白宮網(wǎng)絡(luò)官員Richard Clarke表示,2013年記者M(jìn)ichael Hastings的死亡“很可能與汽車網(wǎng)絡(luò)攻擊有關(guān)”,但驗尸官的報告和Hastings家人的證詞排除了這種可能性。
行動了,但沒完全行動
雖然聯(lián)合國和歐洲已經(jīng)著力推進(jìn)關(guān)于車輛的網(wǎng)絡(luò)安全規(guī)則,但美國在這方面卻一直表現(xiàn)得比較遲鈍。去年,兩黨基礎(chǔ)設(shè)施法案確實引入了一項要求聯(lián)邦公路管理局設(shè)立網(wǎng)絡(luò)安全協(xié)調(diào)員的規(guī)定。白宮方面本月還啟動一項為安全“物聯(lián)網(wǎng)”設(shè)備添加標(biāo)簽的倡議,但先期主要針對路由器和攝像頭。
Leale稱,目前汽車制造商還沒有充分的經(jīng)濟(jì)動力,去主動實施防盜措施。
“他們通常不想增加成本,并且盜竊對汽車廠商其實沒什么影響。此類事件影響到的更多是用戶和保險公司?!?
草根數(shù)字安全倡議I Am the Cavalry創(chuàng)始人Joshua Corman表示,他們曾經(jīng)在2014年推出過汽車網(wǎng)絡(luò)安全的“五星級”計劃,其中一些已經(jīng)得到業(yè)界接納,例如為上報bug的研究人員提供激勵措施。
網(wǎng)絡(luò)安全廠商Claroty的網(wǎng)絡(luò)和物理安全副總裁Corman表示,“當(dāng)我們發(fā)布這項「五星級」計劃時,還沒有任何一家汽車廠商能夠滿足全部五點(diǎn)要求。而且時至今日,仍然沒有哪家廠商能夠滿足全部五點(diǎn)要求。所以現(xiàn)在的問題是,我們能是否能拿出充分的政治意愿,采取足夠積極的行動來適應(yīng)這種威脅形勢?”