车联网系统被黑，到底错在哪？ - 安防知识网

当汽车的制造水平到达一定程度时，人们越来越追求除了机械性能以外的东西：「智能化」，「互联化」，这也引发了一些列的安全问题。在黑客攻破 Jeep 自由光的 Uconnect 系统后，最近又有黑客宣布攻破了安吉星信息系统。这两件事引发了新一轮关于汽车安全问题的思考。

　　当汽车的制造水平到达一定程度时，人们越来越追求除了机械性能以外的东西：「智能化」，「互联化」，这也引发了一些列的安全问题。在黑客攻破Jeep自由光的Uconnect系统后，最近又有黑客宣布攻破了安吉星信息系统。这两件事引发了新一轮关于汽车安全问题的思考。

　　怎么被黑的

　　首先我们来看看，这两次攻击事件，事实到底是什么样的呢?

　　Jeep被攻击，根据外媒的报道来看，黑客侵入的是带有无线联网功能的Uconnect车机。黑客通过入侵集成在娱乐系统芯片上的无线通信模块的漏洞，侵入汽车CAN总线发指令，从而控制汽车的机械部件，比如发动机、转向、刹车等。

　　也就是说，攻击是通过网络完成的，而不是物理接触。

　　而一位FCA(菲亚特克莱斯勒)车联网部门的前员工告诉GeekCar，这次的黑客攻击，根源是因为Uconnect的系统安全架构存在问题，这种攻击不是针对于某辆车的，而是「可复制性的攻击」。虽然黑客不会在同一时刻去攻击所有车辆，但是这些车子却是有普遍性缺陷的。所以，FCA才宣布召回140万辆汽车。

　　不过，既然是架构问题，仅凭一次召回，恐怕很难从根本上解决问题。举个不太恰当的例子，中国足球不行，是因为体制原因，不是换几个国脚就能马上变好的。

　　那么这里所说的Uconnect安全架构问题，具体是什么呢?简单的说，一套车载娱乐系统的安全架构通常包括应用层、协议层、底层三个层面，每个层面都需要有加密、解密的过程和安全机制，Uconnect的问题就出在这上面。

　　再来看看安吉星被黑事件。

　　具体情况是，黑客拦截了RemoteLink这款App和OnStar服务之间的通信。通过这个App，车主可以获得监测胎压、开关车门、启动发动机、定位等功能的控制权限，黑客则声称可以实现「定位、解锁和远程启动」。因此一旦被黑客入侵，很有可能车就没了，还是挺危险的。

　　通用方面表示，这种攻击行为不是可复制的，一次只会针对一个车主。

　　由此看来，这两次针对车联网系统的黑客攻击行为，克莱斯勒漏洞的「可复制性」，其影响远远大于安吉星被黑。

　　不能只怪厂商

　　黑客频频攻破车联网系统，只是在车联网技术发展过程中的一个必然，在某个时间节点必然会发生，这不是车厂能够控制的。

　　汽车不同于其他科技产品，新技术量产的周期很长，目前的Uconnect系统和安吉星系统往往是几年前的研发成果，并且批量生产后车主很少注意升级，面对现在层出不穷的攻击方式，无力招架。

　　至于那几位攻破Uconnect和安吉星的黑客，无论是出于对技术的热爱还是个人利益，他们的做法至少都促进了车联网系统安全的进步，毕竟他们都是实验性质的破解。当漏洞被用来伪造车祸，制造谋杀时，就为时已晚了。

　　在克莱斯勒Uconnect和安吉星「里程碑事件」后，留给厂商的问题也很棘手。毕竟配备车联网系统的车型越来越多，未来车联网系统安全层面「滞后性」问题，车联网系统的后续升级问题(克莱斯勒提出的USB的升级方式不可能覆盖到每个车主)，这些问题都是亟需解决的。

　　车厂或许都擅长制造汽车，精通每个部件的工艺，但车联网还是一个薄弱环节。如同计算机行业的安全问题，车联网系统也没有100%的绝对的安全，车厂能做的只是尽量降低攻破损失、提高被攻击成本。

延伸阅读：

　　网络安全漏洞挡道车联网阴霾笼罩