Tuesday, March 31, 2015

红色警戒,黑客入侵智能汽车


美3月30日下午,国内著名的漏洞报告平台“乌云”曝光了比亚迪智能汽车的一个严重漏洞。


通过这个安全漏洞,黑客可以编写程序获取任意车主的信息(姓名、车牌号、车架号、身份证号、第二联系人姓名、手机号等)和控制密码,获取车辆控制权以及车主隐私。目前厂商正在紧急处理。


最近一段时间,智能汽车,无人驾驶汽车的新闻不断,互联网+的概念更是被媒体热炒,而在喧嚣背后,安全问题却没有被高度重视,如今比亚迪的漏洞给业界敲响了警钟。


漏洞的严重性


这些年来,比亚迪凭借多年电子代工的优势,在汽车电子方面颇有造诣。在大多数中国汽车厂商还没有车联网概念的时候,比亚迪早早得把电子设备,互联网与汽车结合了起来。


比亚迪的车主在比亚迪云服务的帮助下,通过手机APP来控制汽车,包括解锁、上锁、发动汽车、开启空调和开启后备箱……


辅助驾驶方面,比亚迪很早就有了自动泊车、盲区提醒这些功能,在入门级别的速锐上,比亚迪甚至都实现了遥控驾驶。


早在苹果之前几年,比亚迪就把车钥匙集成到了手表之中,单纯从电子化程度看,比亚迪的水平是很高的。


然而,电子化智能化水平越高,安全隐患就越大,因为比亚迪汽车是实时联网的,这就意味着黑客们可以随时对其进行攻击。而高度电子化意味着黑客一旦攻击完成,就取得了汽车的绝对控制权,这是很可怕的。


普通汽车不联网,要攻击请撬开车门,连接行车电脑。而接入互联网的汽车像PC一样可以被随时攻击。


普通汽车采用机械控制,黑客再厉害,不过是车机中控台的控制权,能给车主播放个音乐,开个空调。而高度智能化的汽车发动机、变速箱、甚至方向盘都可以被控制,这意味着黑客可以制造交通事故,甚至远程偷车。


比亚迪目前的汽车智能水平还在初级阶段,如果是谷歌无人驾驶汽车被入侵,那制造恐怖袭击也是完全没有问题的。


“互联网+”隐藏的危险


现在我们在强调“互联网+”的概念,把互联网与传统行业的结合起来。智能汽车算是互联网IT与传统汽车产业的结合。


这种结合能改变很多行业,带来革命性的变化和巨大的效益。但是,通过这次安全漏洞事件,我们也看到了“互联网+”背后巨大的风险。


互联网+传统行业,在带来效益的同时,也把互联网的风险带进了传统行业。


本来黑客们写个木马引导下流量,盗个QQ号,游戏账号不会有太大伤害。而到了互联网+的时代,互联网结合到哪里,黑客就能侵入到哪里。


结合到汽车,黑客们就可以变盗QQ号为盗车,甚至制造交通事故乃至恐怖袭击;


结合到医疗,黑客们就可以干扰正常的医疗数据,导致人身伤害;


结合到工业生产,黑客们就可以干扰正常的产品生产,制造残次品,甚至打击某个行业某个国家。


而其他行业对于风险的防范,入侵与反入侵远没有互联网行业这么丰富的经验和对策,这是非常危险的。


未来的恐怖分子不需要去劫机,他只要通过互联网连接上飞机的自动驾驶系统就可以索要赎金了。


互联网+,安全意识也要互联网化


这次安全漏洞事件是一个警告,传统行业在结合互联网的时候必须建立起足够强大的防火墙,在必要的时候可以放弃智能化。


在互联网兴起的年代,政府机关为了防范泄密,采用了物理隔离的办法,内外网隔离,电脑上两块硬盘,连接内外网时候做切换,硬盘断电。


黑客本领再大,也得肉身入侵到办公室,拆开机箱才能下手。


这类办法同样适用于其他行业,以智能汽车为例,为什么智能汽车非要连接互联网?要用远程控制功能,可以让用户像拨打电话一样给汽车拨号嘛,输入密码成功或者指纹识别、语音识别成功再开启车联网,实现各种高级功能。


黑客不知道车的手机号,物理断网。黑客有天大的本事也没用,安全自然也就有了。


这次汽车入侵事件是一次红色警戒,所有要结合互联网的行业都要警惕,预先做好防范措施。如果麻木不仁,很快我们就会付出沉重的代价。






from 雷锋网 http://www.leiphone.com/news/201503/tAm8QGCmEJvcciOg.html

No comments:

Post a Comment