你的车子可能和初代iPhone有一样的安全漏洞
十年前,第一代iPhone崭露头角,它的出现对移动计算的影响可谓深远。不过第一代iPhone上搭载的英飞凌芯片存在这么一个缺陷,它的基带被篡改后可运行除AT&T之外的运营商网络,要知道当时AT&T是iPhone唯一合法的网络运营商。时间快进到2017年,这同一枚芯片出现在了2011年~2015年间生产的各种配置的日产聆风车型上。
虽然这种芯片在不同市场的多种设备上都有应用,但问题是多年后,具有相似缺陷的英飞凌芯片却出现在了一台现代汽车上。不只是一辆车遇到了这样的问题,宝马和福特的汽车中也发现了有类似缺陷的芯片,通过该芯片,黑客能够远程访问和控制汽车内存。在最近刚刚结束的Def Con黑客大会上,来自杀毒软件McAfee的几位研究员就警告称,“勒索病毒可通过该芯片进入车内。”
研究员迈克表示,他们只是随机地在废料场挑了一辆车子,却偶然发现了这一事实,十分令人吃惊。这个缺陷存在于大陆集团供应的TCU车联网控制单元中,而这个由芯片供应商提供的零部件则封装了英飞凌的芯片产品。而在今年7月27日,美国工业控制系统网络紧急响应团队(ICS-CERT)发布的公告称,类似的硬件存在于宝马、福特以及英菲尼迪车型上。
幸运的是,英特尔(2011年收购英飞凌)和日产与相关研究人员合作为涉事车主提供鉴定服务,并找到了解决这一隐患的方法。同时,日产、宝马和福特通过系统更新的方式,修复或禁用了受影响的调制解调器。但是,这并不一定会解决更大的潜在问题,存在缺陷的芯片一旦感染病毒,这些病毒依旧会渗透入一些与该芯片不相连接的汽车设备上。虽然iPhone是黑客的主要目标,但是与iPhone一样使用相同芯片的不太知名的一些设备则还没有被列入黑客袭击的名单。至少,这些设备最初不会被侵入。
汽车制造商直到最近才开始担忧“汽车黑客”的侵入。即使在这个世界上所有的黑客都是“蹩脚黑客”,不能成功侵入汽车设备,那对于最具有安全意识的公司也会发现,如果要检查汽车上所有的硬件以及车内上千个芯片,那也是非常困难的。
不仅是汽车界应该关注这一隐患。已知有漏洞的硬件装备到了诸多设备以及设施上。船舶、安全系统和基础设施组件上可能有很多硬件是不合格的。2014年,研究人员利尔·奥本海姆(Lior Oppenheim)和沙哈·尔塔尔(Shahar Tal)发现了一批用于内嵌式设备,却仍在运行旧版本软件的路由器。显然大家都忽视了该装备的安全性。即使供应商七年前就发布了更新,但旧版本的软件依旧被反复使用。
Veracode(软件公司)创始人和研究员里斯·威索珀尔(Chris Wysopal)表示,“问题是在涉及到计算机技术与软件时,管理供应链的概念是不存在的。” 威索珀尔指出,当涉及到硬件和软件问题时,似乎没有人可以追踪到组件级别。
那么,当出现“被黑”的情况时,谁将对此负责?汽车制造商, 供应商或芯片制造商?威索珀尔认为所有有关方都应该为此负责。例如,如果芯片出现漏洞缺陷,那么芯片生产商就应该从芯片经销商处召回这批芯片。
此外,企业应该实时追踪产品内的组件,进行更新换代。虽然代价昂贵,但这是必须的。如不然,漏洞再次出现,这可能意味着某些车主清晨醒后会发现自己的车被锁住了,只有缴纳赎金才可解锁汽车。当发生这种情况后,经销商任何的公关努力,甚至是免费修复的售后服务都不可能挽回汽车制造商或汽车产业链上任何一家公司的形象。
威索珀尔表示:“有一个新的世界在等待我们,我们需要一些新的工业流程,我们需要新的标准,只有这样人们才能依赖这些日新月异的设备。”