撰文/N.E.S 杨朔

安全性:车联网一个不能忽视的“软肋”

撰文/N.E.S 杨朔

先来假设下这个场景，如果某个人在一台笔记本电脑敲下了几个按键，从而导致此时你正在高速行驶的汽车突然刹车失灵，并自动打了一下方向盘，将要迎面撞上对面的来车，正在驾驶汽车的你一定会骂脏话的。

汽车诞生以来经历了几次重要的变革，百余年间的每一次重塑都为汽车业带来了质的飞跃。而今随着互联网的发展，汽车业迎来了又一次革命——以车联网为代表的新兴业态正逐渐成为汽车产业的新风口。这两年，不仅国内乃至全球都在热炒“车联网”概念，称车联网发展前景广阔，潜力无限，由此吸引一些传统车企乃至IT企业纷纷着力布局车联网。然而，车联网在备受各界人士青睐的光鲜背后，也因为一系列的问题，诸如无人驾驶中的安全问题、网络安全、核心技术缺失等，引发行业争议。

车还会像以前那样安全么？

我想没有人会想遭遇前述的那个场景，更没人打算开一辆缺乏安全感的汽车，就驾驶者而言，大部分人都认同：汽车在下一步做出的动作应该在驾驶者能够控制的范围内，如果不得不把控制权交给车内的“电脑”，那必须有一个能够“绝对安全”的系统，但事实上，上个世纪90年代以后，“绝对安全”的汽车就已经不复存在了。

安全性能对于汽车厂商来说，是一个绝对响亮的推销口号，他们在宣传中不厌其烦地反复强调“已通过五星安全碰撞测试”，“配有多种安全预警科技”等标签，以显示自己车辆的安全性能。但是这些可以说都是像保护壳一样，只注重了外部，但是如果汽车的内部出了问题呢？

事实上，车联网是一个巨大的交互网络，在这个网络系统里，基于智能化、网联化技术、感器技术、软件技术、操作系统以及大数据分析等，每一辆车均拥有比现如今更高的智能性、自主性，能够结合所处环境做出最佳反应，比如大家常说的实时计算最佳路线、及时汇报路况、安排信号灯周期、网上车辆诊断等基本功能，以及更高层次的无人驾驶这样的智能汽车生活，充分提高车辆在路上行驶效率和车辆的使用效率，让人类出行更便捷、高效。

如今的汽车构造已经如家用电脑一般，都是由软件和硬件组成的产品，他们都会遭遇一些Bug或者漏洞，导致一些功能不能正常运行甚至失去原本的控制权。车内被安装了类似大脑一样的“中央单元处理器（CPU）”，作为整个车辆的控制单元，经它处理、发出的数据可以控制像打开车窗、雨刷这样的基础功能；还有监测发动机的工作、空燃比的混合程度；再或者控制速度、刹车的动力系统等。当汽车被唤醒后，这些数据就会向CPU中汇聚，经过处理再被分配到不同的单元，信息被不同程度地加密，其中动力总成的单元和构成是相对独立的，相互通信间的协议也是被多重加密，入侵相当困难。但困难并不意味着“不可能”，汽车的每一个处理单元都面临一个挑战：它们的线路并非独立，而是彼此连接的；并非不可破解，只是比入侵一台电脑稍难些罢了。

联网就有可能被破解

最早破解汽车系统的方式是通过改装汽车的CAN(控制器局域网络)总线，利用一根线将电脑的USB端口与这些排线的接口做连接。破解者一般会逐步破解每个ECU(电子控制单元)单元的通信协议，得到权限，再通过电脑控制汽车的刹车板、方向盘等部件。2013年，美国两位负责信息安全的工程师Charlie Miller和 Chris Valasek 在Youtube上发了一段他们通过一根连接在仪表盘后的线与电脑连接，然后让汽车刹车失灵并猛然加速的视频，成功登上了美国的新闻头条。

改装破解绝大多数人都没有机会能够进行，但信息娱乐系统——尤其是当车载系统与手机连接，或者单独联网的系统的出现后让黑客们有了更多破解的入口。

首先是基于恶意软件破解。如果用户在车载系统上像在手机一样下载APP，那他很可能会下载到一些恶意程序。这也是为什么现在大部分汽车公司都喜爱自己研发车载系统，而不是直接挪用Andriod和iOS的原因。后者们的系统虽然智能，但未知的联接过多，汽车企业难以承担这样的风险。

除了有线连接，无线网络也可能成为入侵目标。越来越多的汽车公司热衷于在自己的系统中加入上网的功能，或者加强车与车之间的通信，但当这些通信出现在手机之外的时候，汽车的安全工程师们就显得有些捉襟见肘。

实际上，破解一辆智能汽车，可以入手的模块很多，网络层、浏览器应用、移动应用、无线射频等都可以入手，这也意味着智能汽车的安全将面临巨大的挑战。一方面，对于用户来说，要提高安全意识，加强防护意识；另一方面，对于互联网安全厂商和广大白帽子黑客来说，要加强对智能汽车漏洞的挖掘和研究。

被攻破已不是危言耸听

随着车联网范围扩大，那么安全攻击的来源也将相应增多。联网而产生的安全事故以及被攻击的问题，已经发生过多起：

美国菲亚特克莱斯勒汽车公司的召回事件，因为这种汽车可能被黑客通过互联网远程控制操控。该事件源于两名网络安全专家的一场实验：他们利用互联网技术，能在不接触汽车的情况下，侵入一辆行驶中切诺基吉普车的“Uconnect”系统，入侵并控制汽车的多媒体系统、动力系统以及刹车系统等。

宝马ConnectedDrive数字服务系统遭入侵事件，黑客能够利用该漏洞以远程无线的方式侵入车辆内部，并打开车门。

特斯拉Model S遭入侵事件，网络安全专家通过Model S存在的漏洞打开车门并开走，此外还能向Model S发送“自杀”命令，在车辆正常行驶中突然系统down掉。

奥迪、保时捷、宾利等大众旗下品牌的MegamosCrypto防护系统也曾遭到攻破，荷兰内梅亨大学的RoelVerdult和BarisEge与来自英国伯明翰大学的FlavioGarcia，在华盛顿的USENIX安全会议上，公布了其关于汽车安全的论文介绍了如何利用大众的MegamosCrypto防护系统，并突破汽车加密和认证的相关协议，从而精准定位汽车。

而对于黑客来说，车辆内的互联装置也可帮助他们定位警车，或者通过蓝牙耳机窃听通话。同时，豪华轿车内人士的对话可能涉及到商业机密，具有更大的价值，这对黑客来说更感兴趣，更吸引他们去做。

只要有数据存在的设备就会存在可被重新编程的节点。汽车的外形、结构以及整体材料在一百年来不断进步，但它的软件算法还停留在20世纪90年代——一个互联网还没有被普及的时代。所以，当汽车已经具备联网的可能的时候，一些延伸到手机、平板等其他设备的功能在遭遇另一项考验：如果被联接了，那是否就可能被遥控了？