全球著名白帽黑客：攻击一辆自动驾驶车只需四步

本篇文章2608字，读完约7分钟

在电影《速度与激情8》中，黑客远程控制汽车，形成僵尸浪潮。它会在现实中出现吗？12月18日，世界著名的白帽黑客和顶级安全专家查理·米勒(charlie miller)和克里斯·瓦莱克(chris valasek)在一次主旨演讲中指出，随着自动驾驶技术的普及，好莱坞大片中的每一分钟情节都将成为现实。

"攻击者攻击自动驾驶汽车通常需要四个步骤。"日前，在腾讯汽车主办的2018年全球汽车人工智能大会上，查理米勒(charlie miller)和克里斯瓦莱克(chris valasek)就“如何确保自动驾驶汽车的安全”这一主题发表了看法。他指出，“随着自动驾驶汽车的自动化程度越来越高，未来汽车控制的每个部分都可能遭到黑客攻击。”

自动驾驶汽车已经成为世界各地汽车公司和人工智能开发的关键技术。2014年，国际汽车工程师协会(International Society of Automobile Engineers)发布了一个从l0到l5的自主驾驶六级分类系统，该系统已被美国国家公路交通安全管理局(National Highway Traffic Safety Administration)采用，并已成为自主驾驶研究的主流分类标准。目前，国内外许多汽车公司都根据这一标准规划了自主驾驶产品的推出时间表。

然而，随着一些自动驾驶产品的测试，安全问题开始出现。今年3月，优步在美国的自动驾驶汽车导致行人死亡，除了对自动驾驶汽车的交通安全提出质疑之外，对自动驾驶汽车遭到黑客攻击的担忧贯穿了这项技术的发展。

空航空航天大学北航大学教授田大新认为，汽车技术变革带来的互联网和智能技术在汽车上的应用，使汽车的信息安全风险越来越受到关注，主要包括三大风险源:“一是移动通信网络环境；第二是车内的车载网络环境。这些总线网络脆弱且带宽小，使得车辆的信息流结构在车联网的冲击下极其脆弱；第三，汽车已经成为一个高度复杂的移动系统。因为它承载了更多的功能，所以它也在黑客面前暴露了更多的系统攻击门户。”

过去，黑客经常通过蓝牙和cd播放器攻击车辆，并控制整车的刹车系统。这种攻击方式需要距离车辆不超过30米才能实现蓝牙连接。“随着蜂窝通信网络技术的发展，黑客现在可以攻击美国任何地方的汽车。”克里斯·瓦拉斯克说。

"在未来，汽车控制的每一部分都可能被黑客攻击."查理·米勒说。随着自动驾驶程度的提高，除了最早的自动刹车系统外，汽车的各个部件将通过以太网相互连接，这也为攻击者提供了更多的入口。

克里斯瓦莱克(Chris valasek)援引腾讯科恩实验室(Tencent Cohen Lab)2016年针对特斯拉s型车的远程多步攻击，“主要是通过安装在特斯拉车上的网络浏览器，即让用户访问可疑网站。”获取他们的wi-fi ap地址，然后您就可以进入车主单元，进入网关控制s型车的方向盘和刹车。”他强调说，特斯拉和吉普在遭到黑客攻击时都没有发现这些安全漏洞。

“对于目前的自动驾驶，没有必要通过以前的方法，因为他们有自己的电信通信渠道，所以真正安全的‘代码’并不存在。”克里斯·瓦拉斯克说。

“我们过去是黑客，现在是保卫者。”2015年夏天，白帽黑客查理米勒(charlie miller)和克里斯瓦莱克(chris valasek)成功侵入汽车，并通过车载娱乐系统远程控制了一辆吉普切诺基(Jeep Cherokee)，这导致克莱斯勒紧急升级系统，召回了140万辆存在隐患的汽车。

“白帽黑客”是指那些利用自己的黑客技术维护网络关系的公平和正义，通过测试网络和系统的性能来判断入侵程度的黑客。通常，白帽黑客攻击他们自己的系统或受雇攻击客户的系统进行安全审查。查理米勒(Charlie miller)和克里斯瓦莱克(chris valasek)攻击了吉普切诺基(Jeep Cherokee)，指出由于制造商缺乏应对网络攻击和不透明安全测试的能力，当时许多汽车都存在巨大的安全隐患。

在过去几年中，charlie miller和chris valasek的主要工作是为自动驾驶汽车提供安全技术，例如，为通用旗下一家名为cruise automation的公司提供自动驾驶汽车的安全架构。“l5自动驾驶是在任何路况下，这就要求车辆实现自动驾驶，处理任何意外现象。可以说，要达到l5的水平还有很长的路要走。目前，市场上的最高价格仍停留在l4。”

Charlie miller说，在研究了两三种不同的自动驾驶汽车后，发现每个人都采用了一种共同的架构，即他们通过激光雷达系统、摄像头和其他硬件感知周围的环境，并通过以太网将信息传输到计算单元。最后，计算单元对其进行处理，然后通过控制单元实现汽车的转向、加速和减速。“更困难的部分是你必须确保安全，这需要很多技术。相对而言，我们必须保证数据中心与数据通信之间的安全性。这一部分是安全的重中之重。”查理·米勒说。

"保护自动驾驶汽车的最好方法是研究人们攻击的方式。"克里斯瓦莱克说:“攻击者一般需要四个步骤来攻击一辆汽车，我们可以在这四个步骤中的任何一个拦截他们。”首先，它是利用蜂窝通信进行远程攻击；第二点是通过无线、无线网络、热点、蓝牙等渠道进行短距离攻击；第三点是直接介入车辆的实体层面；第四点是通过改变外部环境来影响汽车的判断，如修改路标等。

针对这些攻击，charlie miller和chris valasek也用实例简要介绍了防护方法。“我们应该抛弃我们在普通汽车上需要的东西，而抛弃我们在自动驾驶汽车上不需要的东西。”例如，删除蓝牙功能，用户在未来的汽车旅行中将使用较少。此外，他们还表示，自动驾驶汽车应该在驾驶过程中面对交通标志，还应该与地图和摄像头结合起来进行实时识别，以提高驾驶安全性。

“我们知道会有一些代码被入侵，不可能有100%的安全性。我们只能说，我们尽可能地考虑它的风险，在实际的实现过程中可能会出现什么样的情况，然后我们实现一个值得信赖的执行。”克里斯·瓦拉斯克说。

目前，世界各地的汽车公司都偏重于自动驾驶，其中信息安全也是一个难以克服的难点，包括领先于汽车互联网的通用汽车。在推广新技术时，汽车公司强调对用户信息安全和反黑客攻击的多重保护。然而，随着越来越多的车载智能软硬件的出现，如何阻断安全漏洞被攻击的机会已经成为整个自动驾驶技术产业化中的一个敏感环节。

来源：搜狐微门户