到过军营或大使馆的人会注意到,这些地方对使用手机、相机乃至智能手表有严格限制。然而,很少有人意识到高科技汽车可能带来类似的安全威胁。在以色列,军方正在评估装有摄像头和全球定位系统的“智能汽车”隐含的风险,计划禁止这类车辆出入敏感区域。
“间谍行动的完美载体”
以色列《新消息报》旗下财经媒体“Calcalist”近日报道称,很多以色列军人开车前往军事设施上班,甚至直接把车辆停在高度机密的武器装备旁边,这种情况引起了以色列国防部的担忧。
以色列国防军(IDF)发言人表示,“车辆安全系统的不断改进,包括摄像头、定位系统和持续的网络互联,对提高行车安全系数非常重要,但这些系统也让车辆及其所处的环境暴露在网络威胁面前,存在信息泄露的风险。就此,IDF进行了形势评估,以监测持续演变的安全威胁,随时准备采取必要的应对措施。”
智能汽车是对国家安全的潜在威胁吗?
基特伦·伊万斯是美国Infosec信息安全公司的研究员,为多家汽车企业提供网络安全培训和咨询。他告诉美国“突破防务”网站,答案是肯定的。
“给汽车加装智能设备,会让它们变成间谍行动的完美载体。具备联网功能的汽车往往搭载了可以远程激活的摄像和录音功能。这些设备是出厂时就装上去的。如果看到陌生人在周围转悠,你会谨言慎行,而汽车普遍被视为不具危害性。实际上,互联网汽车很容易受到黑客攻击,你甚至不必攻击汽车本身,只需攻击车主的手机和App账号。”伊万斯说。
美国新思科技公司首席汽车安全策略师、《打造安全汽车》一书作者丹尼斯·肯戈·奥卡对“突破防务”表示,“针对汽车的黑客攻击包括多个步骤,从获取权限远程进入车辆系统,到运行恶意程序,攻击者……要具备高超的技术和大量时间。”
“Calcalist”称,特斯拉公司今年3月正式启动了在以色列的新车销售业务,该公司研发制造的车辆被业内人士视为“智能汽车”的典范。“这类汽车配备摄像机和定位系统,一旦遭到入侵,敏感数据可能落入敌人手中。”伊万斯举例说,“高清摄像机在情报监视方面比人眼高效得多。假如车辆在数百米外拍摄到一幢建筑物,把视频或图片调整到合适的分辨率,就能窥伺到原本不应该从大楼外面看见的秘密。”
定位系统也为刺探军事机密提供了便利。伊万斯分析说:“知道某个军事基地的定位不难,但搞清基地内某幢建筑的详细位置就比较麻烦了。假设我知道你在这个基地从事保密工作,你还有辆智能汽车,那么,我就可以通过黑客技术入侵你的手机或者你汽车的在线账号,追踪你每天所在的位置。这样,你工作单位的地理参数就曝光了。”
“突破防务”称,智能汽车会存储敏感数据,可能成为间谍的猎物。这类数据还可能存储在汽车制造商的服务器甚至汽车制造商提供的App程序中。入侵者完全可能以汽车和终端之间的交流渠道、终端本身或与汽车配套的应用程序为目标,瞄准链条上最薄弱的环节下手。因此,除了“加固”汽车本身,汽车制造商还要关注整套系统的后台。
美国Knight Ink公司合伙人、著有《入侵互联汽车:战术、技术和程序》一书的艾丽莎·奈特强调,“很多人以为自己不开特斯拉就不会被攻击。事实上,只要你的汽车是2001年以后制造的,它就有很大概率存在可供利用的系统漏洞。”在一段视频中,奈特演示了用黑客手段操控一辆汽车的过程,在未经授权的状态下遥控车辆启动和熄火,并给车门上锁和解锁。
类似的入侵甚至用不着建立物理接触就能实现。最具代表性的手法之一是通过移动通信网络对汽车的远程信息控制单元(TCU)实施攻击。“TCU就像路由器。”奈特解释说,“它允许制造商向汽车发送升级数据或是与车辆通讯,命令汽车开门或锁门、发动或关闭引擎。”TCU的普及让车辆变成了“带轮子的手机”,这个控制单元包括芯片,能够与基站对话。如果黑客设立“伪基站”,那么,他完全可以在安全措施不到位的情况下控制车辆。
奈特补充说,“车内外的Wi-Fi,是针对智能汽车的又一条入侵路径。”
技术越高,安全性越低?
汽车制造商怎样才能设计和生产更安全的汽车,确保其不被恶意入侵呢?业内人士认为,随着新技术快速普及,特别是在系统架构愈发复杂的情况下,软件层面的弱点和漏洞很难在设计阶段被彻底根除。“考虑到汽车制造商无法控制周围的环境,确保第三方软件的可靠性就非常重要。”奥卡说,“同时,我们必须假设车载系统今后一定会出现新的漏洞,所以,汽车制造商有责任确保车辆具备远程无线升级功能,让系统能及时给自身打补丁。”
“此外,纵深多层次防御应当成为普遍原则。”奥卡指出,“典型的黑客攻击需要多个步骤。通过多层安全对策,汽车制造商可以让入侵者更难得手。例如,黑客利用漏洞通过无线接口入侵了车辆,但因为车载网络采用分散式设计,入侵者接触不到核心功能。”
为保护军事基地等敏感地点的信息安全,“突破防务”列举了若干预防措施:
第一,政府和军队应当加紧审查与网络安全相关的标准、法规和实践;
第二,决策者应了解组织中存在的问题,在组织结构和政策制订方面查缺补漏;
第三,应当部署相关检测手段如代码分析和漏洞扫描,实现风险控制的自动化。
美国彭博社报道说,针对高科技汽车信息安全性的批评,此前在其他一些国家也有耳闻。即便如此,一两家缺乏防范意识的汽车公司也不至于引起当下这样严重的忧虑。现实的威胁是,其他国家的“官方”黑客可能盯上这类车辆,将其转化为情报监视和战略侦察的工具。
就以色列来说,如果以色列国防军禁止智能汽车出入关键军事设施,那么所有装备摄像头和定位系统的汽车就可能不得不停放在军营外边,由专车从基地大门口接送车主。也有分析说,黑客入侵的迫切危险促使以色列军方“加固”可能被远程操控的某些系统,汽车只是顺带被牵连的。
不止以色列,全球其他军事大国也积极推进网络防御。人们相信,即便主要军事资产得到严密保护,像智能汽车被入侵这样的“基础威胁”仍然可能随时随地发生。
责任编辑:张昊天
综合编译 韦盖利