撰文 / 馬曉蕾

編輯 / 錢亞光

設(shè)計(jì) / 趙昊然
來源 / Nytimes，作者：Eric A. Taub

如今，停在你家車庫或甬道上的那輛汽車，它的代碼行數(shù)可能比一架現(xiàn)代客機(jī)還多。

黑客隨著互聯(lián)網(wǎng)的誕生而出現(xiàn)。我們都見過某個(gè)網(wǎng)站被黑、電腦被黑等等。而一輛汽車或車隊(duì)被黑的后果可能會(huì)是致命的。就像電影《速度與激情8》里面的場(chǎng)景，整條街道上所有的車輛都被黑客操縱。

汽車制造商和供應(yīng)商都有積極的計(jì)劃來應(yīng)對(duì)，還設(shè)立了很多防火墻。

今天的汽車，只要有網(wǎng)絡(luò)連接，就能報(bào)告天氣、支付油費(fèi)、找到停車位、躲避交通擁堵，收聽世界各地的電臺(tái)。很快它們還可以互相交流，在路過你最喜歡的商店時(shí)提醒你里面的具體情況。未來的某一天它們甚至?xí)约洪_車。

不僅消費(fèi)者可能會(huì)喜歡這些功能，黑客們可能更喜歡它們。這讓汽車行業(yè)的許多人夜不能寐，擔(dān)心如何才能一直比那些對(duì)交通系統(tǒng)搞破壞的人領(lǐng)先一步，甚至兩到三步。

黑客們似乎已經(jīng)迫不及待地想要劫持車輛。2019年，汽車網(wǎng)絡(luò)安全公司Karamba Security在網(wǎng)上發(fā)布了一個(gè)假冒的汽車電子控制單元。在不到三天的時(shí)間里，有兩萬五千次入侵嘗試，其中竟然有一次成功了。

比黑客快一步

2015年，兩名研究人員黑了一輛Jeep切諾基，還把自己的照片投在了顯示屏上▼

最著名的車輛被黑事件發(fā)生在2015年，當(dāng)時(shí)安全研究人員在10英里（16公里）外，僅憑一臺(tái)筆記本電腦便讓一輛Jeep切諾基斷電、給無線廣播換臺(tái)、打開雨刷并打開冷氣。Jeep的母公司FCA召回了140萬輛汽車以修復(fù)該漏洞。

如今，黑客入侵的影響可能只是輕微的騷擾，也可能是毀滅性的。黑客可以竊取駕駛員的個(gè)人數(shù)據(jù)或竊聽電話通話。在車輛的電子控制單元中插入惡意代碼，可能會(huì)導(dǎo)致車輛突然加速、熄火或剎車失靈。

如果一支車隊(duì)被劫持，造成轉(zhuǎn)向失控，更有可能造成重大事故。一輛被黑的電動(dòng)車可能會(huì)在汽車充電時(shí)斷電、甚至是用人眼看不到的方式更改路牌信息，使汽車把“停車”標(biāo)志誤判為“限速”標(biāo)志。

消費(fèi)者監(jiān)督機(jī)構(gòu)Consumer Watchdog 2020年在一輛特斯拉的屏幕上發(fā)送了一條信息 ▼

而2020年，美國(guó)加州圣莫尼卡（Santa Monica）的一個(gè)非營(yíng)利組織Consumer Watchdog向一輛特斯拉的屏幕發(fā)送了一條“！被黑了！”的信息。

這不僅僅是為了演示黑客入侵。Karamba一直在與一家南美卡車運(yùn)輸公司合作，該公司的車隊(duì)被黑客攻擊，將追蹤系統(tǒng)關(guān)閉，讓小偷神不知鬼不覺地偷走了它們的貨物。而只要在互聯(lián)網(wǎng)上搜索一下，你就會(huì)發(fā)現(xiàn)多起案例，都是針對(duì)世界主要汽車品牌的入侵成功但迄今無害的黑客攻擊。

“它們能夠控制車輛的方向和速度，這是行業(yè)內(nèi)每個(gè)人都擔(dān)心的事情。”Karamba的首席執(zhí)行官阿米·多坦（Ami Dotan）說，“而且每個(gè)人都意識(shí)到這可能會(huì)發(fā)生?！?/p>

這項(xiàng)任務(wù)可能比保障全球航空公司的安全還要大。根據(jù)麥肯錫公司關(guān)于汽車網(wǎng)絡(luò)安全的報(bào)告，現(xiàn)代汽車采用了大約150個(gè)電子控制單元和大約1億行代碼。到2030年，隨著自動(dòng)駕駛功能和所謂的汽車通信的出現(xiàn)，代碼行數(shù)可能會(huì)增加兩倍。

相比一架現(xiàn)代客機(jī)僅有1500萬行代碼，或一個(gè)大眾化的PC操作系統(tǒng)約有4000萬行代碼，它的復(fù)雜程度就顯而易見了。

像碰撞評(píng)級(jí)一樣的網(wǎng)絡(luò)安全評(píng)級(jí)

汽車制造商明白，一次成功的黑客攻擊一旦造成死亡或損壞，就可能是一次重大打擊。麥肯錫合伙人、報(bào)告作者之一岡伯特·謝爾夫（Gundbert Scherf）表示，“人們阻止一場(chǎng)巨大的惡意攻擊，動(dòng)機(jī)是很足的?！?/p>

而司機(jī)們相信他們的車輛是屬于自己的私密空間，即使是一個(gè)良性的攻擊，如汽車信息娛樂屏幕上收到的整蠱信息，也很容易造成重大的公共關(guān)系問題。

網(wǎng)絡(luò)安全公司必須以多種方式保護(hù)車輛。汽車可能面臨的威脅包括攜帶惡意代碼的SIM卡、偽造的空中軟件更新、從智能手機(jī)向車輛發(fā)送的代碼，以及車輛傳感器和攝像頭被錯(cuò)誤信息欺騙。

此外，惡意代碼還可以通過連接到車輛電腦端口（通常稱為OBD-II端口）的“加密狗”引入，通常在方向盤下方，用于車輛診斷和跟蹤。

GuardKnox網(wǎng)絡(luò)技術(shù)公司的首席執(zhí)行官莫西·什利塞爾（Moshe Shlisel）表示，卡車車隊(duì)面臨的風(fēng)險(xiǎn)更大。他說，整個(gè)車隊(duì)可能會(huì)直接歇菜或以其他方式受到損害，以獲得贖金。

“我們最擔(dān)心的是車隊(duì)被黑客攻擊。”汽車供應(yīng)商大陸（Continental）旗下Argus網(wǎng)絡(luò)安全公司的首席執(zhí)行官羅寧·斯莫利（Ronen Smoly）說，“大多數(shù)厲害的黑客都來自資金雄厚的團(tuán)體，并為他們長(zhǎng)期工作?！?/p>

什利塞爾說，“發(fā)生重大黑客事件只是時(shí)間問題。最安全的汽車是1916年的福特Model T，因?yàn)樗鼪]有連接到任何東西?！?/p>

OTA更新可以修補(bǔ)汽車的軟件漏洞，但汽車行業(yè)的目標(biāo)是在這種情況發(fā)生之前保護(hù)電子系統(tǒng)，包括最容易暴露在外界的系統(tǒng)，如音頻、導(dǎo)航和電話。為了保護(hù)這些系統(tǒng)，從軟件到硬件設(shè)計(jì)的制造鏈的每一步都采取了安全措施。

世界制造商的主要軟件和硬件供應(yīng)商都建立了防火墻，以確保防止信息娛樂系統(tǒng)等元素向調(diào)節(jié)速度、轉(zhuǎn)向和其他關(guān)鍵功能的系統(tǒng)傳遞代碼。

汽車電子控制單元采用了這樣的設(shè)計(jì)：如果一個(gè)平時(shí)從不與另一個(gè)系統(tǒng)通信的系統(tǒng)突然試圖這樣做，就會(huì)發(fā)出警報(bào)。而且它們還被鎖定，這樣注入新代碼的企圖就會(huì)被粉碎。

“涉及到人的生命，所以網(wǎng)絡(luò)安全是我們的重中之重?！蓖ㄓ闷囏?fù)責(zé)全球網(wǎng)絡(luò)安全的副總裁凱文·蒂爾尼（Kevin Tierney）說。該公司有90名工程師全職從事網(wǎng)絡(luò)安全工作，他們踐行著所謂的“深度防御”，刪除不需要的軟件，并制定規(guī)則，讓汽車系統(tǒng)只有在必要時(shí)才能相互通信。

該公司軟件和技術(shù)團(tuán)隊(duì)的發(fā)言人馬伊-布里特·彼得斯（Maj-Britt Peters）表示，大眾汽車公司也采用了這種做法。她指出，大眾汽車公司易感的車輛控制系統(tǒng)都放在不同的域中。

大陸集團(tuán)是汽車制造商電子零部件的主要供應(yīng)商，該公司采用了入侵檢測(cè)和預(yù)防系統(tǒng)來粉碎攻擊?！叭绻?jié)氣門位置傳感器突然與安全氣囊對(duì)話，那是我們?cè)O(shè)計(jì)之外的。” 斯莫利說，“我們可以阻止這一切，但我們不會(huì)在車輛行駛時(shí)這樣做?！?/p>

不過，執(zhí)著的黑客最終還是會(huì)找到入侵的途徑。到目前為止，汽車網(wǎng)絡(luò)安全一直是一個(gè)零碎的工作，沒有國(guó)際標(biāo)準(zhǔn)或法規(guī)。但這種情況即將發(fā)生改變。

2021年，聯(lián)合國(guó)一項(xiàng)關(guān)于車輛網(wǎng)絡(luò)安全的法規(guī)正式生效，規(guī)定制造商有義務(wù)進(jìn)行各種風(fēng)險(xiǎn)評(píng)估，并報(bào)告入侵嘗試，以證明網(wǎng)絡(luò)安全準(zhǔn)備情況。該法規(guī)將于2024年7月起在歐洲銷售的所有車輛生效，2022年在日本和韓國(guó)生效。

雖然美國(guó)不在54個(gè)簽署國(guó)之列，但在美國(guó)銷售的車輛在制造時(shí)將執(zhí)行與其他地方銷售的汽車相同的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

“聯(lián)合國(guó)的規(guī)定是一個(gè)全球標(biāo)準(zhǔn)，我們必須滿足全球標(biāo)準(zhǔn)?！蓖ㄓ玫牡贍柲嵴f。

而2月份，美國(guó)國(guó)家公路交通安全管理局發(fā)布了一份網(wǎng)絡(luò)安全最佳實(shí)踐建議的擬議新草案的征求意見稿，這是2016年報(bào)告的最新版本。

甚至有可能未來新車的前風(fēng)擋貼紙會(huì)多了一個(gè)車輛符合網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的標(biāo)簽?！拔覀儜?yīng)該對(duì)車輛的網(wǎng)絡(luò)安全進(jìn)行評(píng)級(jí)，就像我們對(duì)車輛的碰撞保護(hù)進(jìn)行評(píng)級(jí)一樣。”汽車安全中心的執(zhí)行董事杰森·k·萊文（Jason K. Levine）說。

這一切都引發(fā)了一個(gè)問題。如果美國(guó)政府連俄羅斯入侵自己的電腦都阻止不了，那汽車制造商能做得更好嗎？

“我是一個(gè)說話比較悲觀的人，我會(huì)提醒大家不要這樣。”麥肯錫的謝爾夫說，“我們?nèi)匀挥凶銐虻臅r(shí)間來重寫故事?！?/p>