編者按：本文發(fā)表于 Spectrum，原標題《Why the Next Denial of Service Attack Could Be Against Your Car》，作者 Tekla S. Perry ，由雷鋒網(wǎng)編譯，未經(jīng)許可，不得轉(zhuǎn)載。

提起 Charlie Miller，人們并不陌生，這個有名的黑客曾經(jīng)在 2014 年和同伴研發(fā)出了一套工具，通過無線網(wǎng)絡(luò)攻破汽車系統(tǒng)。他們希望廣大廠商認識到這種安全漏洞的存在，給汽車制造商和無人駕駛研發(fā)者敲響警鐘。

事實上， Charlie Miller 還是一名汽車安全研究員。在上周舉行的 ARM TechCon 大會上， Miller 坦言目前汽車制造商還沒有做好應(yīng)對黑客攻擊的準備?！暗请S著他們越來越了解到汽車是和整個世界在建立聯(lián)系，他們會意識到這些危險的存在?！?/p>

Charlie Miller

Miller 現(xiàn)在在 Uber 擔(dān)任工程師，據(jù)他介紹，目前黑客對汽車的攻擊主要有兩種方式：第一種針對的是汽車的移動應(yīng)用及頭部裝置（核心是音頻系統(tǒng)），另一種是針對汽車的控制器局域網(wǎng)總線（CAN bus）。兩者相比，后一種的危險指數(shù)更高。因為汽車的剎車系統(tǒng)、制動裝置等關(guān)鍵部位都是與 CAN bus 進行關(guān)聯(lián)。目前，黑客可以很容易地攻克移動應(yīng)用和音頻系統(tǒng)從而改變無線裝置信號。

今年，日產(chǎn)聆風(fēng)（Nissan Leaf）配套的 NissanConnect 應(yīng)用被曝存在安全隱患，黑客能夠控制該車的風(fēng)扇設(shè)置（導(dǎo)致汽車電池耗盡），以及下載過往的日志文件。Miller 表示，這是對汽車的“拒絕服務(wù)攻擊”（DoS）。危險指數(shù)并不高，但它會越來越常見。

2014 年對吉普車的攻擊，讓 Miller 和同行出了名。當時，Miller 曾演示過對 CAN bus 的攻擊。他發(fā)現(xiàn)，車載娛樂系統(tǒng)的 ARM 芯片雖然沒有直接連接到 CAN bus，但卻連接到 CAN bus 的關(guān)聯(lián)芯片，通過該連接，這個關(guān)聯(lián)的芯片可以被重新編程。

Miller 為了弄清楚該芯片是如何被二次編程的付出了很多努力。最后他建議在未來的車輛設(shè)計中，一個簡單的解決方法是不要將兩個芯片連接起來。不過，Miller 也表示，這可能會引起車主的不滿。因為車主可能更希望將這些功能都串聯(lián)起來。拿汽車音響系統(tǒng)舉例，當車主提高音響的音量后，顯示屏上會指出他當前的位置路徑，給出建議行駛速度以及前方道路是否噪音增加等等。

“汽車的功能會越來越多，我們能做的不是切斷它與外界的聯(lián)系，而是想出怎么保護它的方法?！?Miller說道?！拔覀儽仨毟优矸乐购诳偷墓??！?/p>

Miller 表示在他們攻擊了吉普車系統(tǒng)后，吉普并沒有對其網(wǎng)關(guān)密碼進行修補。“如果我現(xiàn)在進入到吉普的頭部裝置，我仍然可以對它的網(wǎng)關(guān)進行二次編程，攻擊它的 CAN bus?！?/p>

相比之下，前不久，中國黑客通過 CAN bus 控制了特斯拉行車系統(tǒng)，之后特斯拉在接到黑客報告 10 天內(nèi)就快速修補了安全漏洞。 ”特斯拉改變了兩個處理器之間的網(wǎng)關(guān)，并且要求每一個代碼簽名在發(fā)送的時候都必須證明其擁有制造商的授權(quán)。所以，現(xiàn)在想攻擊特斯拉的黑客只能在有限的頭部裝置中得逞，并不會影響到汽車的控制系統(tǒng)。” Miller 表示。

雖然這些安全補丁并沒有被公之于眾，汽車制造商們也一般很少會談?wù)撟约涸谠鰪娷囕v安全性上做出的努力。Miller 仍然希望，車輛安全相關(guān)的信息能夠更加透明，讓公眾了解汽車制造商們是如何將安全問題考慮到汽車設(shè)計當中的。

那么，在此期間，車主可以做些什么？

“不要下載殺毒軟件，或者自己添加其他的安全修補程序。” Miller 說，“車主也沒辦法給車下載殺毒軟件或者打補丁。不要使用保險公司提供的汽車監(jiān)控插頭?！?/span>

Via spectrum

推薦閱讀：

不安全？“神奇小子”的自動駕駛產(chǎn)品被監(jiān)管部門叫停

天才黑客的首個自動駕駛產(chǎn)品被叫停，這3個問題值得探討

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。