您现在的位置: 主页 > QQ黑客资讯 > QQ黑客新闻 > 文章内容

在黑客帝国中失控的汽车消费者并非避无可避

作者: QQ黑客 来源:未知 时间: 2015-09-16 阅读:

QQ黑客基地网报:早期厂商、消费者、产业链都没有经验应对各种黑客攻击,而经过一个阶段的发展,随着经验的的丰富,攻防双方的进步,最终会有一个比较可靠的安全方案出来。电脑如此、手机如此,汽车也会如此。

  (作者黑客联盟,消费电子与汽车行业资深撰稿人)

  2015年8月1日至6日,在美国拉斯维加斯举行的黑帽信息安全大会上,有两名研究人员公布了特斯拉Model S系统存在的六个重大安全漏洞,并通过其中一个漏洞实现对车辆的控制。汽车信息安全由此开始引起多方重视。

  实际上,特斯拉系统被黑客攻击并非特例,就在一个多月前,比亚迪通过官方微博确认,自家车辆云服务控制系统存在安全漏洞。虽然比亚迪官方称只有当用户手机被木马、病毒或登陆恶意Wi-Fi热点被入侵或破解时才会存在一定风险。但由于该车型是量产车,所以这一消息让人们大吃一惊。

  当黑客遇到汽车,我们还有安全吗?消费者应该何去何从?这个问题得从头说起。

      QQ密码为什么会被黑

  早年的破解QQ密码软件一个普通的设备,上面没有多少电子设备,而现在的QQ密码破解软件几乎已经直接通过安装就可以破解,远程控制QQ。

  以加速为例,在踩下油门踏板之后,结构上并不是直接通过钢丝来控制节气门开合,而是通过油门踏板传感器把我们踩下的信号传给行车电脑,行车电脑通过马达来控制节气门开合的程度,达到让汽车加速的目的。现代汽车的开发调试标定,其实很多都是软件开发工作。所以,在行驶过程中,如果行车电脑的信号被干扰,驾驶员就被剥夺了汽车的控制权,后果不堪设想。

  2007年丰田在美国被爆出“刹车门”事件,美国法院听取了嵌入式技术专家Michael Barr的证词。结论其实很简单,因为丰田电子系统设计有缺陷,容易出现堆栈溢出同时缺乏足够的校验纠正,而这个计算机领域的简单问题,出现在汽车上就有可能造成油门信号锁死,车辆一直加速,油门刹车全部失灵,汽车持续加速停不下来,最终车毁人亡。

  也就是说,现代汽车的核心是行车电脑,汽车的所有控制信号都是驾驶员通过操作传递给行车电脑,然后行车电脑通过电传信号完成控制和操纵。如果黑客入侵了行车电脑,远程给行车电脑下达指令,那么驾驶者就失去了车辆的控制权,而黑客可以完全控制汽车,造成车毁人亡。面对一台油门一直加速,刹车失灵,方向失灵的车子,车上的人除了祈祷还能干什么呢?

  汽车的行车电脑需要专用的线路或者设备才能连接,这种连接只有去4S店维修保养的时候才会用到。现在流行的OBD盒子,其实也是连接行车电脑获取信息。但是,现在汽车厂商转变策略、为了提高销量,逐步开始研发车联网、智能驾驶等功能,而这种功能,先是把汽车的中控系统与互联网无线连接,同时为了完成一些远程的故障诊断和操控,又把行车电脑与互联网连接在一起,这就建立起来一条黑客通过互联网直接操控汽车的通道,危险随之发生。

  危险的现状

  在美国圣路易斯下城区的街道上,一辆以70码时速行驶的Jeep自由光突然失去了控制。首先是冷风突然调到了最大档,雨刮喷出清洁剂,然后是加速失去了控制,不管怎么踩油门踏板,车速都不再增加,后面的车子路过的时候愤怒地看着它……

  这并不是一场意外事故,而是由两位黑客侵入并控制车辆的测试研究。他们在10英里以外的地方对车辆实现了无线控制。他们成功利用了JEEP的Uconnect系统的漏洞,对车辆进行控制。

  美国马萨诸塞联邦议员Edward J. Markey的一份汽车安全报告中也提出多数主机厂尚未有意识,或者还不具备能力汇报以往的黑客入侵事件。

  从本质上来说,汽车的计算机系统所采取的手段与普通的计算机没有什么不同,也要做安全认证,需要防范入侵。但是汽车主机厂应对黑客的经验远不如IT企业,对于信息的安全意识也不如IT企业,有些用户会发现自己的信息莫名其妙的就出现在网上的汽车商城。对黑客来说,大多数汽车厂商的电脑系统不堪一击。用户信息轻易就可以获得,这就是缺乏经验与意识造成的。

  汽车同样如此,以比亚迪为例,厂家的云服务并没有对黑客做太多考虑。手机可以控制汽车,只是简单的密码认证,而手机上的密码可以轻易被木马软件或者盗取密码的WIFI热点获得。而更糟的是比亚迪云服务系统安全设计过于简单,黑客只要编写一个穷举手机号的小程序,就可以获得服务器端全部车主的车主姓名、车牌号、车架号、身份证号、手机号甚至第二联系人姓名等信息和车辆控制密码。

  车主信息泄露不算,控制密码也被泄露,汽车就危险了,虽然比亚迪接到通知后即时修补了漏洞,但是这个事情也说明了汽车厂商的安全意识还较为薄弱。

  消费者并非避无可避

  目前,汽车的安全问题比较严重,这是因为整个车联网还在一个过渡期。现在绝大部分汽车已经有行车电脑,但是行车电脑是不接入车联网、互联网的。虽然行车电脑的一个数据错误,就可以车毁人亡。但是不联网,黑客天大的本事也修改不了你的数据,黑不了你的汽车,汽车反而是安全的。而少数先进一些的汽车,直接接入了互联网,但是在安全防护上没有经验,容易被黑客入侵。

  从个人电脑和智能手机的安全史可以发现,电脑安全挑战最大的时代就是互联网宽带刚刚流行的阶段,厂商也好,用户也越好,还没有防范黑客、病毒、木马的安全意识。而智能手机安全形势严峻也是3G普及,安卓刚刚流行的阶段。同样是用户和厂商缺乏防护的经验造成的。早期厂商、消费者、产业链都没有经验应对各种黑客攻击,而经过一个阶段的发展,随着经验的的丰富,攻防双方的进步,最终会有一个比较可靠的安全方案出来。电脑如此、手机如此,汽车也会如此。

  汽车的信息安全不仅仅关系到用户的财产,也关系到用户的生命。所以对于汽车的选择,消费者可以保守一点,目前先不要选择直接接入互联网的汽车,可以选择不带车联网,不带辅助驾驶的低配车型,或者断开与互联网的连接,确保安全。而等到黑客和汽车厂商互相过招,汽车厂商在安全上逐步成熟起来之后,消费者再选购带有车联网和自动驾驶功能的智能汽车,充分享受科技的乐趣,而到那个时候相关的法案,政策也会出台,乱象会成为历史。虽然目前汽车安全形势严峻,但是消费者可以通过选择回避风险,有时候落后一点并不是坏事。