大眾等6品牌汽車防盜系統存漏洞 或導致集中召回
- 發佈時間:2015-08-26 09:01:12 來源:中國青年網 責任編輯:李春暉
大眾等6品牌汽車因一項技術的應用使得這些汽車很容易被駭客攻擊,大眾中國方面承認技術漏洞的事實,並表示被提及車型的防盜性能總體上是安全的,但對是否涉及中國市場以及如何處理相關車輛,並未表態。
據美國彭博社8月14日報道,一項專家研究顯示,數千輛大眾汽車防盜鎖加密系統存在安全風險。而大眾汽車公司兩年前就已經知悉此事。
兩年多以前,歐洲3名電腦科學家發現,涉及奧迪、菲亞特、本田、起亞、大眾和沃爾沃6品牌的126款汽車,由於使用了瑞士EM Microelectronic製造的晶片(這些晶片存在漏洞),很容易被駭客攻擊。不過,由於大眾採取的法律措施,這一發現此前一直處於保密狀態。直到目前,通過一項法律和解協議,這些文件才被公佈。
對此,大眾汽車集團(中國)(以下簡稱大眾集團)公關傳播部向法治週末記者確認了晶片存在漏洞的事實,“根據相關研究成果顯示,就一些老款車型(配備的是相關報道中所提及的防盜監控系統)而言,盜竊分子至少需要一套配套的車鑰匙及兩次以上成功啟動的記錄才可獲得相關破譯資訊。基於上述事實,被提及車型的防盜性能總體上是安全的”。
此外,大眾集團強調,大眾汽車現有産品的防盜監控系統的安全等級則更優。對於是否涉及中國市場以及如何處理相關車輛,大眾集團並未提及。
與汽車智慧鑰匙有關
報道稱,這一漏洞與當前汽車採用的智慧鑰匙有關。以往,竊賊需要手動點火才能發動汽車。而目前,汽車鑰匙和點火開關中使用了電腦晶片。只有這兩個晶片相互接近併發出正確的代碼後,汽車才能發動。
這一技術使得竊賊無法盜走汽車。即使他們能複製實體鑰匙,但如果沒有晶片,汽車也無法發動。
然而資訊安全研究人員發現,這些晶片由於使用了過時的加密技術,存在漏洞。如果有人監聽晶片的通信過程,只需兩次,那麼就可以通過電腦去識別其中的模式,隨後複製鑰匙和晶片。因此,代駕司機將有可能竊取汽車,而用戶在租賃汽車並歸還後也有可能進行盜竊。
其實,上述資訊安全研究人員于2012年就已經發現了這些漏洞,並且告知了汽車廠商,同時,給EMMicroelectronic公司9個月時間去修復問題,隨後會把這一漏洞公之於眾。
然而,大眾集團于2013年對研究人員和幾所相關大學提起了訴訟,阻止他們公開發佈這一發現。英國一家法院最初出於汽車用戶的安全問題對大眾集團表示支援,而雙方近期達成了和解,這一資訊才得以公開。
在大眾集團給法治週末記者回復的郵件中,並未對阻止研究者公開這一發現的做法作出回應。
系統漏洞不可避免
多位業內人士向法治週末記者指出,隨著智慧汽車和車聯網時代的到來,傳統汽車行業面臨的安全問題早已超越了車部件本身,汽車遭受駭客威脅的事件也越來越多。
除了上述大眾等品牌汽車智慧鑰匙漏洞外,近日,菲亞特克萊斯勒宣佈召回140萬輛汽車,原因是其旗下Jeep自由光車型車載系統軟體存在漏洞,可能被駭客利用。這也是全球首例因駭客風險而召回汽車的事件。
汽車行業分析師張志勇向法治週末記者介紹説:“現在汽車車聯網智慧化的發展趨勢,是把汽車産品從過去僅僅是一個交通運輸工具逐漸演變成一個跨界的産品,即既是一個交通工具,同時又是一個移動終端、IT産品,這其中有很多網際網路的功能,但只要是IT産品,就有被駭客侵入的危險,這並不是大眾等品牌面臨的個案,而是所有的網際網路化、電子化、智慧化産品都面臨的危險。”
遊俠安全網創始人張百川對此表示贊同,他説:“出現漏洞是不可避免的。比如Android系統從手機上轉移到汽車中,其實系統漏洞是一樣的,只是界面發生了變化。”
獵豹移動安全專家李鐵軍也稱,“不管是汽車還是家電等智慧化産品,從表面上看,廠商將産品與網際網路技術結合的很好,但是從專業技術人員來看,漏洞是比較嚴重的,並且有一些漏洞是比較初級的”。
在張志勇看來,不管智慧化的技術、車聯網的技術多麼複雜,總會有駭客去破解,這是必然的,這也是未來新的智慧化産品所面臨的共性問題,需要全社會、全行業共同解決的問題。
“電腦、手機系統被駭客侵入,通常會導致個人資訊被洩露、最多也就是財産損失,而汽車産品的系統一旦被侵入,用戶面臨的可能就是生命健康問題了。”張志勇説。
可能導致集中召回
那麼,大眾汽車將會如何處理這些存在軟體漏洞的車輛,會不會如菲亞特克萊斯勒一樣發起召回呢?
大眾集團在回復法治週末記者的郵件中並未對此進行表態。
張志勇認為,只有當産品存在缺陷威脅到消費者的健康和生命安全時,才適用召回,其他情況可能也會召回,但更多是通過三包的方法來進行解決。
不過,李鐵軍則表示,汽車不像windows等這些電腦軟體,直接線上升級就能修好。對於汽車來講,一旦發現系統存在漏洞,很有可能需要集中召回,由專業技術人員對其系統進行修復。
據了解,菲亞特克萊斯勒公司召回相關車輛後,提供的解決方案有兩種:一、將車送至經銷商處,由4S店工作人員負責為客戶進行系統升級;二、自行下載軟體更新,將其保存至隨身碟,隨後插入汽車儀錶板處的USB介面,在車機上執行安裝程式即可。
在張志勇看來,這些漏洞是無法徹底修復的,“當前只能解決所發現的問題,修復之後,還會有新的漏洞出現,就如電腦一樣,每隔一段時間,就要進行一次系統升級”。
“任何一個公司都是永遠處在一個持續改進、與駭客進行破解與反破解的過程之中。”張志勇説。
但是,張志勇認為,雖然系統漏洞無法避免,但也不能簡單説智慧汽車沒有傳統的燃油車安全,當然也不會阻礙汽車智慧化的發展。
“智慧化的發展肯定會持續進行,這些漏洞只會警醒我們怎麼在汽車的智慧化上做得更好。另外,還一定會促使相關部門或者行業協會來制定相關的規範和標準,同時會引起司法部門對此監管的重視,一旦發現駭客人群有危險行為,對其實施相應的處罰。”張志勇進一步補充説。
“隨著網際網路對汽車介入越來越深,汽車將會更智慧,受攻擊的可能性也會增大,但同時在這方面的研究會逐步增多、防禦水準也會越來越高。”張百川説。