日前,菲亞特克萊斯勒汽車公司召回了140萬輛面臨駭客攻擊風險的汽車,在歐美,這件事被網路安全專家們視為今年的“大事”。用科羅拉多州安全公司Log Rhythm首席資訊安全官詹姆斯的話説,不同於人們普遍認知的“駭客攻擊危及智慧財産權”,這次發現的汽車網路安全漏洞事關“140萬個處於危險中的生命”。
導致這次汽車召回的直接導火索是兩位美國網路安全專家做了“黑入”一輛切諾基吉普車的實驗。兩人在家僅僅利用筆記型電腦,就通過這輛吉普車的聯網娛樂系統侵入到了這輛車的電子系統,遠端控制車的行駛速度,操縱空調、雨刮器、電臺等設備,甚至還把車開到了不是路的地方。他們認為,只要找到車的IP地址,侵入系統,就能有效“劫持”車輛。
兩位專家還由此推論,今後可能出現的手段包括:駭客在車中植入惡意軟體、導致引擎失靈,以此敲詐車主;或是利用所謂“車聯網”,使每一輛駛經的汽車都可能被侵入或置入病毒。
《華盛頓郵報》報道稱,2010年全球聯網設備數量為20億台,這一數字預計在2020年劇增到250億台。隨著聯網設備越來越多,技術越來越普及,物聯網遭“黑”是“必然出現”的問題。
福特汽車公司原技術專家埃利斯坦承,物聯網聯通性和新功能的增速遠快於對攻擊有效防範措施的增速,而汽車製造業研發週期較長,導致填補汽車網路安全漏洞或以新車型替換存漏洞車型耗時長、難度大,這一問題至今未能得到有效解決。
文中提到的兩位美國網路安全專家在四年前開始潛心研究汽車網路安全。除了切諾基,還包括普銳斯和翼虎等。汽車電腦系統的數量近年來持續增加,2006年版的普銳斯內含23個電腦系統,到去年,變成了40個。一些老款車型也通過車載自動診斷系統(OBD)加入了“物聯網”。在汽車內部,各系統相互聯通使外來攻擊有了跨越系統的路徑,而各系統間通信依靠的仍是創立於上世紀80年代的電腦協議,不具備“驗證”消息來源的能力。這個問題,還沒有車企能直接應對和保證。
在網際網路的安全性還沒得到完全保證甚至有待完善的前提下,我們是不是有必要使用“無人駕駛”等等一系列應用?當車企將自己的車載娛樂渲染得天花亂墜的時候,他們有沒有為車主的安全使用提供必要的保障和防護?在沒有人能否認風險的事實中,汽車還是不是越智慧越好?