汽车产业现在像是卡在保险杆和地面之间:在某一方面,汽车厂商积极想讨论他们的连网汽车,迫不及待要让大家知道他们的新车款是如何地对应用程序友善;但在另一方面,汽车业者警觉到了他们正在为连网汽车建立新的受攻击面,却对于他们如何准备因应潜在安全性威胁宁愿避而不谈。
前两天车厂路虎(Land Rover)在英国的公关团队打了两次电话给我,非常积极想推销他们一个全新应用程序,号称能“远程”遥控Land Rover旗下最新Discovery车款的座位布局;为了展示该功能有多么酷炫,该团队还制作了一个视频剪辑(如下),邀请英国知名冒险家、同时也是Land Rover车主贝爷(Bear Grylls),示范操作在高空跳伞之前透过手机App使用新款Discovery搭配的智能座椅折迭技术。
视频链接:http://baidu.ku6.com/watch/07888454198283466870.html
Land Rover公关的结论是:“该系统能让Discovery车主透过智能手机上的InControl Remote应用程序,从世界上任何地方遥控配置汽车座椅──从半空中也行!”
在尴尬的片刻沉默(因为真的说不出话来)之后,我终于问:“嗯…那为什么人们会想这么做?”
那位公关朋友也尴尬地沉默了一会儿,然后解释如果我能坐在家里的客厅滑一滑智能手机,就可以调整汽车座椅的布局,是如何又如何方便。
是这样吗?那如果来个手机App能遥控开关汽车后座上方的雷射霓虹灯球咧?我并没有真的问出口,因为不想硬逼那位公关朋友回答一个关于“完全没必要”的应用程序的问题;但Land Rover的应用程序新噱头让我陷入思考:我想知道Land Rover是否准备好讨论手机应用程序(任何一种)会不会让连网汽车变得对新安全威胁更脆弱,而这家车厂是否会愿意透露他们目前的相关作法?
我们知道汽车厂商迫切想吸引消费者的注意力,他们希望自家的连网汽车看起来“很酷”、“很先进”;但他们也必须了解,没有任何一种连网汽车能避开未来的网络威胁──光是最近安全技术专家Charlie Miller与Chris Valasek“骇”进一辆Jeep的案例,就让车厂Chrysler在去年召回140万辆汽车。
不久前我与一家总部位于美国硅谷的连网汽车安全技术供货商VisualThreat创办人暨首席执行官严威(Wei Yan)透过电话交流;该公司的服务之一,是为车厂以及一线汽车零组件供货商提供“安全渗透(security penetration)测试服务”。
根据VisualThreat的解释,要为汽车开发网络安全性解决方案,首先必须:“辨别出车辆与系统的弱点,这需要对完整车辆、系统、电子控制单元(ECU)与零组件的渗透测试;”目前该公司正与美国与中国的汽车厂商进行合作。
严威表示,VisualThreat近期做过的渗透测试结果不只让委托汽车厂商震惊,也让该公司本身感到震惊;而该公司想透露的信息是,那些测试实在是“太顺利”,不只是能让整辆汽车的某个系统停摆(这也是渗透测试的初衷),还导致整辆汽车的阻断服务。
根据他的叙述,VisualThreat首先将脚本语言(scripts)──也就是一串程序代码──从一辆新车的方向盘下OBD-II端口注入,以测试车内某个系统的弱点;该程序代码一开始是让车载主机(head unit)死当、屏幕全黑,又很快突破一个网关,透过CAN总线散布到整辆汽车,让系统超载、缓冲存储器塞爆,使得任务关键ECU (包括动力传动、防死锁剎车系统在内的)失控,最后让整台车挂点。
该测试证实──不只是一个理论──刚开始可能只是车机内的轻微软件故障,有可能如滚雪球般演变成整辆车子停摆。值得注意的是,一旦注入脚本开始透过车辆的CAN总线传输,它们几乎不可能停下来,特别是当车辆没有安装防火墙、没有机制能监测车内总线网络,也没有运作中的网络安全软件或云端网络安全防护时。
VisualThreat解释,汽车的CAN总线仍未受到保护,而它是一种被普遍的车内通讯总线,负责各个汽车系统的数据讯息实时传递,与汽车运作的各方面息息相关。
不但汽车内部的CAN总线未受保护,手机应用程序也存在安全漏洞;该公司表示:“这会导致新的安全风险,从简单的个资被盗,到严重的非法行为例如汽车本身或车主财务被盗、甚至恶意勒索、劫车等。”
更糟糕的是,不法人士能:“从远程覆写关键汽车系统并取得控制权,因此导致汽车事故,造成受伤甚至死亡。”
在我快完成这篇文章时,严威还传来一则来自中国的实时报导,表示该公司团队刚拜访了一家当地汽车厂商,现场成功展示了如何把一辆他们的车子搞挂:“那家车厂现在正在为车机(telematics)的软件除错。”
我们不必等着看Miller与Valasek再一次示范汽车黑客攻击,现在每一家车厂都能试试看自家的车辆有多么脆弱!
编译:Judith Cheng
本文授权编译自EE Times,版权所有,谢绝转载
关注最前沿的电子设计资讯,请关注“电子工程专辑微信公众号”。
