智能汽车危险!汽车反黑或可招安“黑帽”

版权声明：本文版权为网易汽车所有，转载请注明出处。

网易汽车8月9日报道 黑帽安全技术大会(Black Hat Conference)被公认为世界信息安全行业的最高盛会。20年来，每年夏天的拉斯维加斯都会成为顶尖白帽黑客们汇聚一堂、各显神通的斗法场。

2015年的黑帽大会，汽车已代替电脑和手机成为了黑客们的新宠，有两位开发者查理·米勒(Charlie Miller)和克里斯·瓦拉赛克(Chris Valasek)展示用笔记本在几英里之外的地方控制一辆Jeep Cherokee汽车，让克莱斯勒选择通过召回来修复安全漏洞。最近，2016年的黑帽安全技术大会上，这两人又对Jeep自由光下手，用笔记本连接车上的OBD接口去破解车辆，并成功接管了车辆的转向与刹车装置。

汽车信息安全或被恐怖分子利用

这两年汽车智能化和互联网汽车的概念炒得火热，汽车越来越不再像一个交通工具，而像一个可以联网的信息载体。这也使得汽车有了跟电脑、手机一样被黑的可能。但汽车信息安全却被绝大多数人忽略，甚至许多主机厂也没有意识到它的重要性。

但是一辆行驶中的汽车被控制可能引发致命威胁，甚至更严重的后果——被恐怖分子利用成为武器。

美国国家安全助理检察官约翰•卡林(John Carlin)说：“当你关注自动驾驶汽车时，会发现其带来的后果可能要比伊斯兰国组织所指使的袭击案更加严重。我们知道这些恐怖分子现在还没有足够的能力。不过，如果他们正在试图指使人开卡车冲向人群，要不了多久他们将会把目标瞄准到自动驾驶汽车，并作为袭击的武器。”

除了控制车辆，黑客对于用户信息的窃取也是一大威胁。通用汽车董事长兼CEO玛丽•巴拉(Mary Barra)表示，对于那些利用车载系统连接银行或进行其他支付服务的消费者，需要保护他们的个人数据。其中最麻烦的问题是最新汽车IT系统的复杂性，这为那些想通过网络袭击做坏事的人提供了机会。在她看来，网络安全已经成为公共安全问题。

那不联网不就行了？

事实上，在汽车互联这个大趋势面前，未来完全不联网的汽车可能很少。就像现在一台不联网的电脑和手机一样，很多重要功能无法实现。高德汽车事业部总裁韦东就曾表示：“2018年底以后，车厂的车辆还不能做到联网，极有可能被淘汰。”

除了层出不穷的互联网汽车概念，我们还经常听到“三年商用、五年量产”的自动驾驶新闻，便利美好的科技生活正向我们奔跑而来。它们真的能那么快进入我们的生活吗？QNX大中华区总代表张人杰对此持否定态度：“如果不能解决根本的通信上的安全，自身的可用性基本上就是空谈。”

消费者的安全掌握在别人手中

提到汽车安全，消费者普遍会想到主动安全和被动安全，很少去关注信息安全。目前已经证实，普通汽车遭到黑客攻击，可以干扰驾驶，而无人驾驶汽车则可以直接被黑客操控。试想，当发现汽车不受控制，而你甚至都没有一个方向盘可以挣扎着扳回一些控制权，听天由命的感觉是不是很可怕？

事实上，车主对于无人驾驶汽车的了解程度和参与度少得可怜，对于传统汽车，部分动手能力强的车主甚至可以自行进行部分改装和维修，但是对无人驾驶汽车而言，他们甚至无从了解自己的汽车在网络连接、操控、预判等方面的程序运作方式。整个过程，实际上是厂商、车载系统公司以及黑客之间的博弈。当自动驾驶汽车出现程序错误或者遭到非法程序入侵时，一旦汽车生产厂商无法及时介入帮助车主，车主自己很可能根本意识不到出了问题，更别说提前预防了。绝大部分车主是没有这方面的知识来维护自己的汽车数据安全的。

Mobileye中国区总经理苏淑萍表示，她认为在无人驾驶领域，今后中国在法律和责任认定上，应该是汽车制造商和技术提供商担责，如果没有方向盘乘客是不需要有责任的。

不过作为乘客，可能更关心的是前期的防护问题，而不是事故发生后谁来担责的问题，毕竟还有没有机会追责还不一定呢。

保护汽车信息安全或可招安黑客

如何解决汽车信息安全问题？通用汽车首席网络安全官杰佛里•马西米利亚(Jeffrey Massimilia)表示，整个行业实现范围更广的信息分享是消灭这种威胁的关键之一。

在过去的一年中，汽车行业以及关键供应商已经获得政府批准，在不违反反垄断条款的前提下，可以就网络安全进行信息分享。

比林顿全球汽车网络安全峰会上提出了一个有意思的观点：若汽车行业想要获得网络安全领域出色人才的保护，那么就需要吸引黑客。美国联邦贸易委员会的Terrell McSweeny也在一次会议中指出，车辆安全性在消费者信任问题中变得愈发明显。那些长久以来不受信任的黑客们应当可以加入到网络安全团体中去。

事实上，有一些车企已经开始尝试了。在菲亚特·克莱斯勒率先试水之后，特斯拉也紧随其后设立奖金，诱请黑客们为自家产品测试安全性。聘用白帽黑客帮助他们找出汽车IT系统中的漏洞，是一个不错的选择。

对此，菲亚特·克莱斯勒的高级安全架构经理认为，他们的做法或许并不传统，但时代快速的发展以及科技的飞速进化促使产业安全人员不得不改变固有思路，而且这种威胁是共有的，需要汽车制造商进行跨界联系，用功能、多领域方式来应对不断严峻的网络安全形势。

而与之合作的网络安全公司负责人也表示，一提到黑客，大家的第一印象都是利用高超的计算机技术盗取信息、为非作歹。其实这些被人们‘黑化’的人中很多只是喜欢技术、测试、编程，把突破安全系统当做是对自己技术的检验和挑战而已。这是他们试图靠近外界的方式，而汽车制造企业正可以对这种方式善加利用，以漏洞奖励的方式拉近与他们的关系。

其实在互联网领域，“招安黑客”这种做法已经不是什么秘密。利用技术好有表现欲的技术大拿们来进行安全漏洞检测，是一件两全其美的事情。国外的汽车安全已经未雨绸缪了，也希望国内车企不要一味用智能互联和自动驾驶概念画饼，也该好好重视一下汽车安全的问题了。