2003年的夏天，午后蟬鳴陣陣。老李家的客人把車停在院子里面，進門和朋友敘舊。賓主寒暄，尚未落座，耳聽得院子里引擎轟鳴。說時遲那時快，此車已然沖出大門，如一頭野獸狂奔消失在街角?？腿艘荒樸耎，摸摸后腰，本該掛鑰匙的褲帶上空空如也。

這是當時只有15歲的李均第一次“黑”掉一輛車。什么，你問駕照？呵呵。

【李均】

野生“CTO”

汽車填滿了李均的年少時光。

開車對于我來說，是一種幾乎不用學就會的技術。

在到達法定駕駛年齡之前，李均就是一名不折不扣的“老司機”了。沒有特別的學習，只是坐在車上看過幾次家人開車，就順理成章地掌握了技巧。

說他生在汽車之家并不過分，因為他哥哥開了一家汽車修理廠。初中畢業(yè)的他就成功進入自家的汽修廠。在汽車的“海洋里”，李均體驗到了如魚得水的感覺——不僅可以每天開不同的車，還可以拆不同的車。對于那些復雜的齒輪和皮帶傳動，他都可以過目不忘。樂此不疲地泡在各種汽車中間，讓他對汽車了如指掌，靠耳朵聽聲音就可以診斷大部分的機械故障。

如果修理廠有“CTO”，那么這個職位非李均莫屬。

有一次，有一輛自動擋索納塔的“自動換擋”電控系統(tǒng)出現(xiàn)了問題。李均竟然自己組裝了一套加減擋的按鈕，讓司機根據(jù)駕駛情況手動加減檔。而改裝汽車的警報器等等更是不在他的話下。種種異想天開的修車方式，讓李均閃耀出與眾不同的光芒。在他的世界里，自己搞不定的車也許還沒造出來。

直到那輛寶馬出現(xiàn)在他的生命中。

“皈依”名門

有一天，修理廠開來了一輛寶馬車，它的防盜器鑰匙丟了，要重新配。有個4S店的師傅過來幫車主配鑰匙。由于配這種鑰匙需要解碼，所以他使用了一個專業(yè)的診斷設備。我站在師傅的身后，津津有味地看著他調試。但也許是我盯得太緊，為了防止機密泄露，他居然把語言界面切換到了英文。我瞬間就傻眼了。

仿佛有什么東西重重地打到了李均的胸口。在自以為再熟悉不過的汽車世界里，李均第一次覺得這么無助。

汽車的齒輪和皮帶，我可以一眼就看出其中的規(guī)律；但是這些程序卻是在芯片里，我根本搞不懂，而且這種搭載電子系統(tǒng)的汽車顯然越來越多。

“受了刺激”的李均做出一個重大的決定——上大學。和其他渾渾噩噩的大學生不同，他有著非常明確的目的：

1、學習英文；

2、學習電子系統(tǒng)的工作原理——計算機。

這個學一上就剎不住車。在獲得了成都電子科技大學汽車電子專業(yè)和電子工程專業(yè)雙料學位之后，他又考取了成都信息工程大學信息安全學院的研究生。當然，考慮到他無人能出其右的實操技巧，涉及汽車專業(yè)的實操課程，老師都默認給李均滿分。

僅僅幾年時間，經過專業(yè)訓練的李均已經再也不是那個野生的 CTO ，他已經可以毫無障礙地閱讀海外的英語論文，并且完整掌握了汽車電子系統(tǒng)的工作原理，成為了信息安全方面的行家——一個真正意義上的黑客。

【汽車黑客簡史】

2010年，李均看到了華盛頓大學的一篇論文，在這篇論文里，研究者提出了遠程控制汽車的可能性。但是處于自身的考慮，研究者并沒有在論文中公布細節(jié)。然而事實證明，這篇論文深刻地改變了世界汽車黑客的發(fā)展脈絡。

站在六年以后的今天回望，它啟發(fā)了美國著名黑客查理和克里斯攻破汽車，啟發(fā)了大牛馬克羅杰斯爆掉特斯拉，也讓還是學生的李均發(fā)現(xiàn)了“汽車破解”這個炫酷的新天地。

2014年，成績優(yōu)異的李均受中國計算機大會的邀請，赴鄭州參會。在那里，這個野生“CTO”遇到了一位正牌CTO——360公司的 CTO 譚曉生。正是這次“歷史性”的見面，讓李均得以成為這家頂級安全公司的一員。

玩壞汽車的N種方法

加入360的“獨角獸實驗室”之后，李均的團隊獲得了組織上贊助的兩輛汽車：一輛國內知名品牌的汽車，還有一輛特斯拉電動汽車。

這時候，他終于放開手腳，“玩一票大的”。

這似乎是一個真理：你懂得越多，越發(fā)現(xiàn)這個世界不美好。經過一段時間研究，李均和其他團隊成員發(fā)現(xiàn)：目前的絕大部分汽車，都存在著各種各樣的安全漏洞。他脫口而出，向雷鋒網細數(shù)了“玩壞”汽車的N種方法。

【一輛汽車上汽車上可能被攻擊的入口】

遠程操控

目前的主流汽車，發(fā)動機、變速器、車載多媒體等等每個部件上都配有一個控制電腦，而他們之間的協(xié)同工作通過一個名為“CAN協(xié)議”的方式進行。一旦黑客攻破其中任何一個設備，就可以侵入“CAN 總線”，向其他設備發(fā)送指令。

例如：如果通過 Wi-Fi 攻擊，拿到車載多媒體系統(tǒng)的控制權，就可以直接向發(fā)動機、變速器、轉向器發(fā)送指令，從而造成汽車異常加減速、異常轉向，從而引發(fā)嚴重的事故。

這種攻擊可以直接對汽車進行物理操縱，也是目前對智能汽車最大的威脅。

【李均提出的一種安全防御模型】

知識產權竊取

對于一輛車，尤其是像特斯拉一樣的智能汽車來說，其搭載的系統(tǒng)固件就如同 iOS 之于 iPhone 一樣重要，其中包含了非常多的科技成本和專利價值。如果通過逆向分析，可以得到控制軟件的源代碼。而這些源代碼對于黑客來說顯然價值不菲，他們會采用一切可能的手段截獲這些代碼。

在系統(tǒng)推送更新安裝的時候，會有一個解密的過程，這個過程正是黑客們破解固件的關鍵。

在2015年的時候，就有一個600M的特斯拉固件包被黑客馬克羅杰斯獲得。雖然他沒有公布這些代碼的細節(jié)，但是卻證明了破解特斯拉固件的可能性。

這就意味著，其他汽車廠商可以輕易剽竊特斯拉的技術。而第三方也可以通過改動固件的技術參數(shù)，修改掉系統(tǒng)的重要參數(shù)，例如限速，甚至植入木馬。

李均說。

隱私暴露

在一輛車上，存在著諸多傳感器。這些傳感器可以隨時捕捉車主的隱私信息。例如：

• 電話系統(tǒng)的麥克風，可以收集車內的對話；

• 車載GPS系統(tǒng)，則可以暴露汽車的實時位置。

如果這些重要的隱私信息被攻擊者拿到，則可能暴露車主的身份，隱私信息或者實時位置。這些都為敲詐、搶劫等犯罪提供重要的數(shù)據(jù)。

【V2X 車聯(lián)網 和 ITS 智能交通系統(tǒng)】

車聯(lián)網鬼魅

智能交通中有一個重要的領域，名為V2X。大概說來就是汽車之間、汽車和道路之間采用專用短距離無線通信，使得整個城市的交通得以被統(tǒng)一調度。

V2X 可以讓汽車感受到周邊的環(huán)境，如果前方有汽車并道，或者后方有汽車超車。系統(tǒng)都會根據(jù)兩輛車的實時運動狀態(tài)進行安全測算，從而提示駕駛員或者改變自動駕駛的速度。

雖然在我們身邊，V2X 的體系還沒有被大規(guī)模部署，但可以設想，在一個所有汽車都依靠V2X進行自動駕駛/半自動駕駛的世界，如果攻破了這個體系，將會造成多大的混亂。

例如：

• 在倒車的過程中，黑客讓你的倒車雷達“失明”，你就會很有可能撞到障礙物。

• 公路上正常行駛的車輛，如果被黑客干擾，可能會“感知”到面前的障礙物，從而被電腦下令急剎車。

• 黑客同樣可以通過V2X信號追蹤車輛。

李均介紹說，不久前澳大利亞就爆出智能交通系統(tǒng)存在漏洞，黑客可以攻擊城市的信號燈系統(tǒng)。這些攻擊都說明：汽車安全的范圍正在變得越來越廣。

在這些攻擊的可能性里，有些只是理論推演，而更多的已經可以真實地作用于我們身邊的汽車上。例如黑客對 CAN 總線的攻擊，在這兩年已經逐步成為“顯學”。李均說：“這兩年在國際黑客大會上，一直有破解汽車 CAN 總線的議題，有很多黑客還專門制作了 CAN 總線固件的分析工具。這些工具讓黑客研究智能汽車的門檻越來越低，甚至一個“腳本小子”也可以加入到“黑車”的行列?！?/p>

從小就修車的李均覺得，比起機械故障，顯然這種“電子攻擊”更加危險。所以他為自己制定了的明確的研究方向：識別這種危險的攻擊。

車中的上帝

李均告訴雷鋒網，攻擊一輛汽車，要邁過兩道重要的“關卡”：

1、攻破 Wi-Fi 或蜂窩網絡進入汽車系統(tǒng)內部；

2、繞過系統(tǒng)內部的驗證機制，對重要設備的發(fā)送指令。

如何由外網攻入內網，并不算是李均的長項。不過，一旦進入汽車的鐵甲范圍內，他就成為了這片領土當之無愧的“上帝”。

作為上帝，首先要做到的就是“全知全能”。要想做到全知全能，就要知道系統(tǒng)在什么情況下會被黑客“蒙蔽”。

美國黑客查理和克里斯對克萊斯勒旗下的 Jeep 汽車進行攻擊，可以實現(xiàn)遠程控制剎車和轉向。但是，他們的攻擊有一個非常苛刻的條件，那就是汽車的速度要在5英里以下。在高速行駛的汽車中，系統(tǒng)的自我保護機制會自動忽略轉向的信號。

【查理和克瑞斯遠程控制Jeep“入溝”】

如此一來，黑客想要造成巨大的破壞——例如高速行駛中突然控制汽車轉向——就必須讓轉向器誤以為汽車的速度在5英里以下。這個時候，黑客就需要偽造虛假的速度數(shù)據(jù)來欺騙轉向器。

而李均的任務，就是要用慧眼識別出這種類型的欺騙。他的出發(fā)點，是摸清楚一臺汽車的“性格”。

如果我知道你是一個性格非常溫和的人，而突然有一天，你發(fā)短信來對我大發(fā)雷霆，那么我就會懷疑這條信息不是你發(fā)來的。

他舉例說。

李均研究了國內外很多的異常檢測方法，最終決定用機器學習的方法來解決這個問題。在請教了360天眼的王占一博士和人工智能研究院的顏水成等大牛之后，他認定，這個 idea 是可以實現(xiàn)的。最終，他利用機器學習的方法，為汽車不同數(shù)據(jù)之間的相關性建立了一個模型，這個模型包含了諸多有趣的規(guī)則：

如果發(fā)動機的轉速是5000轉，車速會穩(wěn)定在50邁左右，那么我就把這種相關性定義為一個正常的行為規(guī)則。如果有一天發(fā)動機的轉速還是5000轉，但是系統(tǒng)給出了120邁的速度數(shù)據(jù)，這條規(guī)則就會被觸碰，從而模型會給出報警。

此外，速度的變化應該是一個連續(xù)的量。如果上一個瞬間車速是40，而這一個瞬間車速就變成了80，那么規(guī)則系統(tǒng)就應該認為這臺車出現(xiàn)了異常。

再有，汽車的加速度也有一個合理的區(qū)間值，如果系統(tǒng)顯示加速過于迅速，那么這個模型同樣應該報告出現(xiàn)了異常行為。

事實上，這種依靠行為模式和數(shù)據(jù)相關性對黑客入侵的檢測方法目前在國際上還沒有人提出來。李均在這個領域，“不小心”做到了世界第一。

如果沒有大學這幾年對汽車理論的系統(tǒng)學習，我對于這種研究方法的可行性根本沒辦法確定，更不會想到使用機器學習的方法建立這些識別模型。如果沒有大學期間建立的英語基礎，我不可能看這么多的英文材料，進而得知國際上其他的研究方法和我的不同之處。

就在這個月，李均將會帶著這個議題遠赴荷蘭，在世界著名黑客大會HITB（Hack in the box）上發(fā)表主題演講。

“這是我第一次在世界級的黑客大會上講汽車安全的議題?！?/strong>

李均不無驕傲。

尾聲

李均告訴雷鋒網，安全研究工作，并不像人們想象的那樣酷，這其實是有一定“工作量”的。如果把黑客的工作拆解開來，就可以看到大量枯燥的數(shù)據(jù)比對，逆向分析，還要查看無止盡的圖表?！昂椭钠嚭诳筒槔砗涂死锼菇涣髦?，我知道他們在破解 Jeep 汽車的時候，也做了大量枯燥的工作，例如審計代碼，研究參數(shù)。從這一點上來看，大家可能都差不多。”他說。

【汽車黑客李均和同行查理、克里斯】

不過，這些枯燥和與汽車在一起的樂趣相比，變得不值一提。李均特地告訴雷鋒網，他最近正在寫一本書，名為《汽車攻防技術大揭秘》。寫書的理由很簡單：

很多汽車的研發(fā)人員都只關注氣囊、ABS，對汽車網絡安全的關注卻不足。而我，恰恰可以連接汽車和信息安全。

十年前那個趴在汽車底盤下不斷試錯的毛頭小子，和十年后這個用代碼做武器保護汽車安全的黑客，至此合二為一。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。