編譯 / 張 鷗
編輯 / 周 洲
設計 / 趙昊然

來源 / Automotive News，作者：Karn Dhingra，題圖：WESLEY TINGEY

在我們不太熟悉的黑客世界中，實際上存在著派別，最常見的三大類被稱為黑帽黑客、灰帽黑客以及白帽黑客。

黑帽黑客是一種在未經(jīng)允許的情況下擅自入侵他人系統(tǒng)，借此獲取利益或者進行破壞的黑客，也是最為人熟知的一類；灰帽黑客有時可能會違反法律或道德標準，但不具有黑帽黑客典型的惡意意圖；白帽黑客又稱為道德黑客，他們利用黑客技術識別硬件、軟件或網(wǎng)絡安全漏洞，并且尊重法律規(guī)則。

而這些白帽子，便是正在與各行各業(yè)進行合法交易的一群人。

根據(jù)以色列網(wǎng)絡安全公司Upstream的數(shù)據(jù)，與2018年相比，2022年公開報道的汽車網(wǎng)絡攻擊數(shù)量猛增239%。由于汽車在操作、信息娛樂、自動駕駛和安全系統(tǒng)方面越來越依賴軟件、傳感器和計算機，網(wǎng)絡安全已成為該行業(yè)的一個主要問題。

因此，汽車公司們儼然成為了白帽黑客的新客戶群。他們尋找車輛的安全漏洞并通知汽車制造商和供應商。然而到目前為止，這個行業(yè)支付給黑客們的報酬比其他行業(yè)要少得多。

2022年，白帽黑客先后通報了寶馬、法拉利、福特、捷豹路虎、梅賽德斯-奔馳、保時捷和豐田的安全漏洞，包含多個車型與系統(tǒng)的客戶信息、后端操作。他們還發(fā)現(xiàn)了SiriusXM遠程信息處理服務的缺陷，這些缺陷造成本田、現(xiàn)代和日產(chǎn)汽車出現(xiàn)問題。

幫助經(jīng)銷商清除車輛個人數(shù)據(jù)的Privacy4Cars公司的創(chuàng)始人兼首席執(zhí)行官安德烈·阿米科（Andrea Amico）認為，隨著汽車制造商擴大軟件服務，未來幾年甚至會有更多的消費者數(shù)據(jù)有可能被曝光。他說：“抱著惡意想法的黑客們正在虎視眈眈?！?/p>

交保護費是必經(jīng)之路

2016年2月，特斯拉與Bugcrowd公司聯(lián)合啟動了漏洞賞金計劃，為發(fā)現(xiàn)其軟件漏洞的黑客提供獎金，金額高達1萬美元。同年7月，菲亞特克萊斯勒汽車公司也推出了這一計劃，提供500美元到1500美元不等的金額，合作伙伴依舊是Bugcrowd公司。

Bugcrowd成立于2011年，于2019年成為互聯(lián)網(wǎng)上最大的漏洞賞金和漏洞披露公司之一。

通用汽車同樣在2016年開始了漏洞賞金計劃，由舊金山的HackerOne公司管理，該公司還協(xié)助寶馬、福特、Rivian和豐田開展了項目。

由于客戶在合同中增加了服務，HackerOne的汽車業(yè)務從2021年到2022年躍升了400%。除了漏洞賞金計劃，HackerOne還提供漏洞披露、在線系統(tǒng)的滲透測試和其他服務。

底特律韋恩州立大學電氣和計算機工程系主任穆罕默德·伊斯梅爾（Mohammed Ismail）表示，汽車行業(yè)在網(wǎng)絡安全方面落后于其他行業(yè)。

伊斯梅爾說：“對于任何新技術，這都是一個非常典型的情況。當Wi-Fi和藍牙在25年前開始出現(xiàn)的時候，這些技術花了很多年才發(fā)展成熟，實現(xiàn)安全連接。”

伊斯梅爾估計，汽車行業(yè)還需要大約5年的研發(fā)時間去進行試錯，才能生產(chǎn)出數(shù)百萬輛以軟件為主并且安全的汽車。

友好的白帽黑客則是幫助該行業(yè)實現(xiàn)這一目標的關鍵群體之一。

梅賽德斯-奔馳汽車和貨車公司的IT通信經(jīng)理卡佳·李森菲爾德（Katja Liesenfeld）在一封電子郵件中說：“使用漏洞賞金平臺是引進安全社群知識和專長的一種有效方式。我們不能提供更多關于任何技術細節(jié)的信息，因為這些項目是私有的?！?/p>

包括福特、捷豹路虎、日產(chǎn)、Stellantis、寶馬、保時捷和大眾在內(nèi)，大多數(shù)汽車制造商不愿意談論他們在數(shù)字安全方面的花費，本田則表示自己根本沒有漏洞賞金計劃。

通用汽車公司首席網(wǎng)絡安全官兼汽車信息共享和分析中心組織（Auto-ISAC）副主席凱文·蒂爾尼（Kevin Tierney）表示，大多數(shù)汽車行業(yè)都在積極應對網(wǎng)絡安全問題。

Auto-ISAC是一個由汽車制造商組成的團體，他們會分享有關潛在網(wǎng)絡威脅、漏洞和事件的信息。

蒂爾尼說：“每個人都在采取大動作，進行大投資?！?/p>

最小氣的行業(yè)

汽車行業(yè)在過去一年共支付了483809美元的漏洞賞金，是HackerOne追蹤的八個行業(yè)中最少的。

互聯(lián)網(wǎng)部門去年共支付了1310萬美元，電信行業(yè)支付了470萬美元，甚至連政府給的都比汽車公司多，達到了703084美元。

根據(jù)HackerOne的一份報告顯示，汽車行業(yè)平均每次漏洞檢查的獎金略高于2000美元。例如，Stellantis與Bugcrowd公司合作，為每個發(fā)現(xiàn)的漏洞支付150美元至7500美元不等，在2022年12月-2023年2月期間，平均一次漏洞審查支付的獎金僅為737.5美元。

而汽車行業(yè)之外的數(shù)字呢？

根據(jù)新聞網(wǎng)站SecurityWeek報道，2月份在邁阿密舉行的探索工業(yè)網(wǎng)絡漏洞的會議上，黑客們每發(fā)現(xiàn)一個漏洞能獲得5000美元至4萬美元獎金。

谷歌公司發(fā)言人埃德·費爾南德斯（Ed Fernandez）在一封電子郵件中說，2022年，該公司支付的賞金中包括了一筆創(chuàng)紀錄的60.5萬美元。英特爾公司發(fā)言人珍妮弗·福斯（Jennifer Foss）說，自2017年以來，英特爾通過其漏洞賞金計劃共支付了410萬美元。

在這樣懸殊的對比之下，白帽黑客們當然會出現(xiàn)不滿，他們中的一些人希望汽車行業(yè)加大賞金力度。

2022年底，佛羅里達州薩拉索塔市的黑客伊頓·茲韋雷（Eaton Zveare）攻破了豐田公司的全球供應商管理門戶網(wǎng)站，獲得了對1.4萬個公司電子郵件賬戶的讀寫權限、相關的機密文件、項目、供應商排名、評論和其他信息。他通知了豐田，這一問題很快得到了處理。

茲韋雷對豐田的迅速反應十分認可，但他對缺乏金錢補償感到失望。

他說：“考慮到他們每年賺取的利潤，我認為，他們應該撥出一些給安全部門，用來獎勵研究人員。”

佛羅里達州清水市網(wǎng)絡安全咨詢和培訓公司KnowBe4的網(wǎng)絡安全顧問羅杰·格萊姆斯（Roger Grimes）表示，如果汽車制造商希望安全研究人員幫助尋找缺陷，他們需要提供足夠的獎勵。

他說：“要找聰明人來幫助你尋找和消除漏洞，但是不愿意花錢，這是非常愚蠢的行為?！?/p>

如果長期吝嗇下去，白帽黑客可能會感到氣餒，并將他們的努力轉(zhuǎn)向有高回報的行業(yè)。更糟糕的是，他們或許會將自己的技能賣給針對汽車行業(yè)的意圖不軌的人。

格萊姆斯預計，黑客攻擊將成為汽車制造商們需要長期處理的問題，迫使他們反復檢測，反復改進，確保安全和防盜系統(tǒng)盡可能地完美。

HackerOne首席安全技術專家凱拉·恩德科勒（Kayla Underkoffler）在一封電子郵件中說：“汽車是日常生活中的一個重要組成部分，如果安全問題沒有經(jīng)過一次又一次的測試，后果可能是災難性的，我們需要最好的頭腦來研究解決方案?！?/p>

本文由汽車商業(yè)評論原創(chuàng)出品

轉(zhuǎn)載或內(nèi)容合作請聯(lián)系說明

違規(guī)轉(zhuǎn)載必究