提到汽车网络安全,被黑得最多的当属Jeep Cherokee。从2014年开始,似乎所有的黑客都喜欢攻击这款车,几乎所有的汽车网络安全论坛上都会拿JEEP来做演讲案例。
在诸多“游手好闲”的黑客群体中,Charlie Miller和Chris Valasek算是比较有名的。因为远程让一辆Cherokee鸣笛、开车窗、启动发动机,大家认识了他们。但在那之前的2013年,这两个人对一辆丰田普锐斯做过同样的事情,甚至除了上述动作以外,还控制了车上的仪表数据以及方向盘。
3年过去了,以丰田为首的日本汽车制造商们似乎对互联汽车所面临的网络安全问题仍然不太上心。而随着自动驾驶这一必然趋势的到来,日本车企最终还是对汽车网络安全抱以了严肃的态度。
亡羊补牢,为时未晚。最早明年,日本汽车工业协会将助力日本的汽车制造商们组建联盟,以共享、分析汽车安全数据,从而防护黑客们对车辆进行恶意的网络攻击。
不过美国在去年已经组建了类似联盟,叫做汽车信息共享和分析中心(Automotive Information Sharing and Analysis Center)。欧洲则从2010年开始就已经从Autosar开源架构中开展网络安全标准相关的工作。
当前,日本国内157家车企、供应商、软件、电子公司组成了一个车载软件标准化团体,该团体的负责人Koji Hirabayashi同时也是丰田汽车电子架构开发负责人,他表示:“所有人都觉得日本在这一领域落后于欧美国家,但现在我们已经赶上来了。”该标准化团体的目标是2020年之前在网络安全技术和标准领域达到与欧美国家相同的水平。
除了汽车行业的驱动力以外,日本还有另一个重要原因使他们加紧这方面的技术进步——2020年东京将举办奥运会,这是政府和汽车制造商秀肌肉的大好时机。日本汽车制造商将在那时展示他们自动驾驶汽车和互联汽车的技术进展。而在此过程中,他们显然不愿意看到自己精心准备的技术展示被黑客搞砸。
黑客可以通过多种途径入侵汽车,例如OBD-II接口或是USB接口,以及网络和蓝牙连接等方式。去年,大约有三分之一的新车能够连入网络。而这一比例到2020年将变成四分之三。
美国工程师学会(SAE)主席Mike Ahmadi表示,即便这样,仍然有不少车企选择“无视”这些数据。“我认为一些制造商还没有意识到网络安全问题的重要性”他说。
他尤其指出了日本车企在这方面偏于保守。他说:“日本人似乎对此挺感兴趣,但他们做的就只是不停地分析、分析、再分析,而不作出决策。”日本车企从不对外公开他们在防止网络攻击方面的手段,他们这么做的原因是害怕“道高一尺魔高一丈”。
近期在东京举行的一场汽车编程安全大会上(Encrypted Security in Cars conference),本田和富士重工表示他们的汽车从未受到过网络攻击,马自达则不愿透露相关信息。
日产表示其对NissanConnect EV app进行了漏洞修复。这款APP允许车主对日产聆风电动汽车进行远程开启空调的操作,不过今年2月份,黑客攻击了这款APP从而能够远程调节车内温度并盗取用户行驶记录。于是在随后一段时间内这款APP被停用。
会议上,一名来自美国的白帽黑客Marc Rogers报告称其发现了特斯拉Model S程序中的缺陷,并与特斯拉共同合作解决了这一问题。这名白帽黑客同样对日产聆风进行了为其1年的研究和分析,他也将与日产进行私密接触并讨论如何修复他所发现的漏洞。
再回到那辆被入侵的普锐斯身上。丰田认为,当时入侵普锐斯的黑客是通过硬件和物理连接才能够篡改一些数据,而这些手脚在日常生活中会被司机很轻松地识别出来。而关于那些非物理连接,例如无线连接,丰田发言人表示:“丰田已经开发出非常有效的防火墙以保护车辆面熟远程网络攻击的侵扰,我们的电子控制系统拥有相当高的鲁棒性与安全性。”
稍微了解日本一些的人都知道,日本人做事不爱声张,技术方面更是如此。相比大张旗鼓地加入世界上现有的诸如Auto-ISAC这类汽车安全组织,日本制造商更希望建立自己的联盟(http://www.jiemian.com/article/899624.html)。
丰田汽车电子架构开发负责人Koji Hirabayashi表示:“北美国家对于信息方面的经验真的能够被日本所借鉴吗?日本有许多特殊的地域特质。此外,一个国家的网络安全防护措施先进,意味着该国的网络攻击更为猖獗,两者永远是水涨船高的关系。”因此,Hirabayashi认为在网络安全方面,不存在哪国先进、哪国落后一说,这是一个需要所有汽车制造商联合对抗的问题。