編者按：本文發(fā)表于 Spectrum，原標(biāo)題《Why the Next Denial of Service Attack Could Be Against Your Car》，作者 Tekla S. Perry ，由雷鋒網(wǎng)編譯，未經(jīng)許可，不得轉(zhuǎn)載。

提起 Charlie Miller，人們并不陌生，這個(gè)有名的黑客曾經(jīng)在 2014 年和同伴研發(fā)出了一套工具，通過無線網(wǎng)絡(luò)攻破汽車系統(tǒng)。他們希望廣大廠商認(rèn)識(shí)到這種安全漏洞的存在，給汽車制造商和無人駕駛研發(fā)者敲響警鐘。

事實(shí)上， Charlie Miller 還是一名汽車安全研究員。在上周舉行的 ARM TechCon 大會(huì)上， Miller 坦言目前汽車制造商還沒有做好應(yīng)對(duì)黑客攻擊的準(zhǔn)備?！暗请S著他們?cè)絹碓搅私獾狡囀呛驼麄€(gè)世界在建立聯(lián)系，他們會(huì)意識(shí)到這些危險(xiǎn)的存在?！?/p>

Charlie Miller

Miller 現(xiàn)在在 Uber 擔(dān)任工程師，據(jù)他介紹，目前黑客對(duì)汽車的攻擊主要有兩種方式：第一種針對(duì)的是汽車的移動(dòng)應(yīng)用及頭部裝置（核心是音頻系統(tǒng)），另一種是針對(duì)汽車的控制器局域網(wǎng)總線（CAN bus）。兩者相比，后一種的危險(xiǎn)指數(shù)更高。因?yàn)槠嚨膭x車系統(tǒng)、制動(dòng)裝置等關(guān)鍵部位都是與 CAN bus 進(jìn)行關(guān)聯(lián)。目前，黑客可以很容易地攻克移動(dòng)應(yīng)用和音頻系統(tǒng)從而改變無線裝置信號(hào)。

今年，日產(chǎn)聆風(fēng)（Nissan Leaf）配套的 NissanConnect 應(yīng)用被曝存在安全隱患，黑客能夠控制該車的風(fēng)扇設(shè)置（導(dǎo)致汽車電池耗盡），以及下載過往的日志文件。Miller 表示，這是對(duì)汽車的“拒絕服務(wù)攻擊”（DoS）。危險(xiǎn)指數(shù)并不高，但它會(huì)越來越常見。

2014 年對(duì)吉普車的攻擊，讓 Miller 和同行出了名。當(dāng)時(shí)，Miller 曾演示過對(duì) CAN bus 的攻擊。他發(fā)現(xiàn)，車載娛樂系統(tǒng)的 ARM 芯片雖然沒有直接連接到 CAN bus，但卻連接到 CAN bus 的關(guān)聯(lián)芯片，通過該連接，這個(gè)關(guān)聯(lián)的芯片可以被重新編程。

Miller 為了弄清楚該芯片是如何被二次編程的付出了很多努力。最后他建議在未來的車輛設(shè)計(jì)中，一個(gè)簡(jiǎn)單的解決方法是不要將兩個(gè)芯片連接起來。不過，Miller 也表示，這可能會(huì)引起車主的不滿。因?yàn)檐囍骺赡芨Ｍ麑⑦@些功能都串聯(lián)起來。拿汽車音響系統(tǒng)舉例，當(dāng)車主提高音響的音量后，顯示屏上會(huì)指出他當(dāng)前的位置路徑，給出建議行駛速度以及前方道路是否噪音增加等等。

“汽車的功能會(huì)越來越多，我們能做的不是切斷它與外界的聯(lián)系，而是想出怎么保護(hù)它的方法?！?Miller說道?！拔覀儽仨毟优矸乐购诳偷墓??！?/p>

Miller 表示在他們攻擊了吉普車系統(tǒng)后，吉普并沒有對(duì)其網(wǎng)關(guān)密碼進(jìn)行修補(bǔ)?！叭绻椰F(xiàn)在進(jìn)入到吉普的頭部裝置，我仍然可以對(duì)它的網(wǎng)關(guān)進(jìn)行二次編程，攻擊它的 CAN bus?！?/p>

相比之下，前不久，中國黑客通過 CAN bus 控制了特斯拉行車系統(tǒng)，之后特斯拉在接到黑客報(bào)告 10 天內(nèi)就快速修補(bǔ)了安全漏洞。 ”特斯拉改變了兩個(gè)處理器之間的網(wǎng)關(guān)，并且要求每一個(gè)代碼簽名在發(fā)送的時(shí)候都必須證明其擁有制造商的授權(quán)。所以，現(xiàn)在想攻擊特斯拉的黑客只能在有限的頭部裝置中得逞，并不會(huì)影響到汽車的控制系統(tǒng)?！?Miller 表示。

雖然這些安全補(bǔ)丁并沒有被公之于眾，汽車制造商們也一般很少會(huì)談?wù)撟约涸谠鰪?qiáng)車輛安全性上做出的努力。Miller 仍然希望，車輛安全相關(guān)的信息能夠更加透明，讓公眾了解汽車制造商們是如何將安全問題考慮到汽車設(shè)計(jì)當(dāng)中的。

那么，在此期間，車主可以做些什么？

“不要下載殺毒軟件，或者自己添加其他的安全修補(bǔ)程序?！?Miller 說，“車主也沒辦法給車下載殺毒軟件或者打補(bǔ)丁。不要使用保險(xiǎn)公司提供的汽車監(jiān)控插頭。”

Via spectrum

推薦閱讀：

不安全？“神奇小子”的自動(dòng)駕駛產(chǎn)品被監(jiān)管部門叫停

天才黑客的首個(gè)自動(dòng)駕駛產(chǎn)品被叫停，這3個(gè)問題值得探討

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。