■文汇报首席记者 张懿
有人把互联网时代的汽车比作“有轮子的手机”,但如果这台手机遭遇骇客攻击,那它潜藏的危险也许远远超过一个账号被盗。
昨天,美国特斯拉公司官方确认,由上海信息安全研究团队Keen发现的一组软件漏洞的确存在。利用该漏洞,Keen在全球首次实现了对特斯拉汽车的远程驾驶——只要借助微信,攻击者就能剥夺驾车人对油门和刹车的控制权,让特斯拉在行进中突然倒车、熄火。
特斯拉以及越来越普及的智能设备正面临前所未有的安全考验。面对这种局面,我们该做何准备?
智能化打开安全“黑匣子”
这场曾引起全球关注的特斯拉“攻击首秀”发生在一个多月前。当时,在北京举行的智能设备安全挑战赛“极棒”会场,当着数十位知名专家、教授、官员的面,Keen团队负责人王琦用一台iPhone手机完成了令人目瞪口呆的演示。他在微信中打开一幅特斯拉的图片,点击后轮,距离会场有上百米远的特斯拉后轮缓缓倒转,再次点击,车轮忽然停了下来。
目前,特斯拉已经成为信息安全专家的焦点。不仅因为它“惹眼”,更因为它代表了汽车行业变革的趋势——传统汽车,其控制系统采用封闭架构,就像是“黑匣子”,但智能汽车的架构会越来越开放,一个软件漏洞可能波及大量车型。这就仿佛智能手机流行后,传统手机的“黑匣子”被打开,安全威胁也急剧上升。
上周在沪举行的一场高规格车联网会议上,安全专家指出,智能汽车系统多半由Linux系统改装,它们面临的隐患不仅是通过劫持手机App来鸣笛、开灯,更包括远程断电、关闭气囊等。
汽车的智能化不仅影响单车,整个产业也在模仿iPhone手机,努力营造一个更大的生态系统。包括上汽在内,全球汽车工业正致力于研究一种新技术,通过让车与车、车与红绿灯“对话”,减少不必要的刹车,提高通行效率。可以想象,一旦汽车控制权被非法篡夺,道路上将会出现怎样的混乱。
让研究者与骇客比拼速度
面对因为产业变革、技术进步而出现的新型风险,汽车行业不仅要在安全上加大投入,更重要的是更新理念,借鉴老牌IT厂商的策略。
微软、谷歌、苹果等IT厂商早就把第三方研究者看作提升安全水准的重要手段。在视窗、iOS等系统定期发布的补丁中,大部分漏洞都由第三方捕获、提交,由此形成了一套漏洞收集的规则。
Keen就遵循了这样的惯例。在公开演示后,他们保守了技术秘密,将漏洞细节直接提交给特斯拉公司。经过严格的确认程序,特斯拉安全团队负责人凯尔·奥斯博恩前天专程飞到上海,向Keen致谢。
不过,与微软、苹果等不同,面对安全风险,智能汽车、乃至数量更大的智能家电、可穿戴设备厂商对安全形势并未做好准备。知名安全研究者、腾讯玄武实验室负责人于旸告诉记者,国内很多厂商对第三方安全研究很不友好,视其为“故意找茬”。即使是特斯拉,也不例外。在被Keen破解之后,特斯拉也曾发布过措辞强硬的声明,否认漏洞的存在。
启明星辰公司首席战略官潘柱廷说,社会应该接受这样一种安全观:绝对的、静态的安全并不存在,及时发现并修复漏洞就是安全。王琦也说,存在漏洞并不可怕,关键是被谁先发现。
在智能设备日益普及的当下,国家也在尝试一些深层次调整,希望能契合新的安全形势。中国网络空间安全协会负责人、网络安全应急技术国家工程实验室原主任杜跃进说,不久前,教育部在部分信息安全本科教育中试点课程改革,提升学生的安全对抗能力。同时,全国首个国家级安全对抗赛XCTF即将在上海交大、清华大学等学校启动。
目前,被Keen捕获的漏洞正由特斯拉仔细修补,等到下一个版本升级后,特斯拉将变得更加安全。
友情链接 |
国家互联网信息办公室 | 上海静安 | 上海秀群 |