Charlie Miller是黑客界的一名傳奇。出現(xiàn)在他介紹頁面中的，是一連串的黑客大獎(jiǎng)。讓Charlie Miller真正名聲大噪的是他對(duì)汽車系統(tǒng)的攻破。

2015年，Charlie Miller和搭檔Chris Valasek還在LOActive和Twitter就職，黑客工作只是他們興趣愛好。就在當(dāng)年的黑客大會(huì)DEFCON上，兩人合作成功入侵JEEP操作系統(tǒng)，實(shí)現(xiàn)了通過網(wǎng)絡(luò)遠(yuǎn)距離攻擊和控制汽車。這一舉動(dòng)直接導(dǎo)致福特召回了140萬臺(tái)車輛。

此后，Miller又發(fā)現(xiàn)了菲亞特克萊斯勒汽車的漏洞，再次導(dǎo)致百萬量級(jí)的車輛召回。

讓汽車行業(yè)松一口氣的是，如今，Charlie Miller已近決定從一名“掘墓人”變成“守墓人”。他先是加入了Uber，專攻汽車駕駛系統(tǒng)相關(guān)的網(wǎng)絡(luò)安全。2017年3月，Charlie Miller又跳槽至滴滴硅谷實(shí)驗(yàn)室，擔(dān)任自動(dòng)駕駛安全領(lǐng)域負(fù)責(zé)人。同年7月，Charlie Miller轉(zhuǎn)投通用公司旗下自動(dòng)駕駛公司Cruise Automation,擔(dān)任自動(dòng)駕駛安全領(lǐng)域首席工程師。

作為一名資深黑客和汽車界的安全工程師，Charlie Miller對(duì)處于自動(dòng)駕駛和智能網(wǎng)聯(lián)浪潮中的汽車行業(yè)，有著獨(dú)到見解。日前，在騰訊舉辦的CSS信息安全論壇上，Charlie Miller分享了他對(duì)智能駕駛安全問題的看法。

黑客們攻擊汽車的手段在升級(jí)

汽車安全問題從2001年就十分明顯，不過那時(shí)候主要以物理接觸和近距離控制為主，攻擊手段有OBD盒子、藍(lán)牙鑰匙等。當(dāng)時(shí)，黑客們?cè)噲D攻擊過一輛雪佛蘭，他們通過破解藍(lán)牙傳輸中的密碼指令，控制剎車。受限于藍(lán)牙的傳輸距離，這一攻擊方式有30米的距離限制。

后來，汽車上開始增添“車聯(lián)網(wǎng)”的這個(gè)系統(tǒng)，而且，早期的車聯(lián)網(wǎng)系統(tǒng)幾乎沒有做安全保護(hù)設(shè)計(jì)，黑客們不再受到距離限制，在任何地方都可以發(fā)動(dòng)攻擊，通過遙控控制，向剎車發(fā)出指令。

Charlie Miller在一個(gè)2011年的視頻中展示出，一輛汽車遭到黑客攻擊后，剎車被鎖死。更糟糕的是，黑客可以針對(duì)個(gè)別剎車進(jìn)行控制，比如說把前左輪鎖死，導(dǎo)致車身打轉(zhuǎn)側(cè)翻。

2015年，Charlie Miller攻擊Jeep的手段與上述方式很像，Jeep的弱點(diǎn)也是讓娛樂系統(tǒng)不經(jīng)過網(wǎng)關(guān)，直接連接CAN總線上，Charlie Miller攻破了娛樂系統(tǒng)后就直接把CAN指令寫入到CAN總線里，導(dǎo)致方向盤被鎖死。

騰訊的科恩實(shí)驗(yàn)室在2016年也“遠(yuǎn)程入侵”了特斯拉，將中控大屏界面換成了該實(shí)驗(yàn)室LOGO。除了這些“小動(dòng)作”，他們還可以遠(yuǎn)程解鎖車輛、打開天窗，甚至實(shí)現(xiàn)遠(yuǎn)程剎車。

2018年，黑客們通過一個(gè)假基站發(fā)送短信息控制了寶馬的車聯(lián)網(wǎng)系統(tǒng)。

所以，通過以上案例，Charlie Miller總結(jié)了兩點(diǎn)：

首先，如果不攻擊車的系統(tǒng)就黑客不了這輛車，而最糟糕的結(jié)果是車輛被遠(yuǎn)程控制； 其次，很多車如果裝上網(wǎng)關(guān)，會(huì)減少風(fēng)險(xiǎn)。因?yàn)榫W(wǎng)關(guān)連接了娛樂系統(tǒng)和控制系統(tǒng)，它會(huì)對(duì)傳輸和控制進(jìn)行一定分離。

自動(dòng)駕駛汽車會(huì)更安全？

在Charlie Miller看來，自動(dòng)駕駛沒有剎車、沒有方向盤等等設(shè)計(jì)，甚至沒有藍(lán)牙、wifi等媒介，所以會(huì)更安全。

更重要的是，自動(dòng)駕駛車目前的運(yùn)作方式與一般汽車不同?！按蟛糠值淖詣?dòng)駕駛車一般都是不向一般客戶銷售的。一般的汽車是公司生產(chǎn)，然后賣出后有人在使用，而自動(dòng)駕駛的汽車目前的運(yùn)作方式不是這樣的，這些車一般都是屬于一個(gè)公司，然后它基本上都有固定維護(hù)?！盋harlie Miller說道。

自動(dòng)駕駛車的智能性也讓汽車安全多了保障?！氨热畿浖梢赃M(jìn)行更新，可以增加一些新的硬件，有很多的機(jī)會(huì)。讓自動(dòng)駕駛車一直保持一個(gè)比較好的狀態(tài)?！?/p>

Charlie Miller解釋道，“我們剛才所說的汽車的黑客攻擊，都有一個(gè)主控制的地方，而自動(dòng)駕駛的汽車沒有這樣的一個(gè)媒介，比如它不需要藍(lán)牙、也不需要車?yán)镉衱ifi，這對(duì)你的車來說這是更安全的機(jī)會(huì)?！?/p>

此外，Charlie Miller還給出了一個(gè)自動(dòng)駕駛車更安全的理由，即現(xiàn)在自動(dòng)駕駛技術(shù)還不夠普及，接觸到自動(dòng)駕駛車的機(jī)會(huì)很少。

“目前為止，像我這樣的研究人員，要黑飛機(jī)的話我覺得比較難，因?yàn)槲覜]有飛機(jī)。所以，類似的道理，自動(dòng)駕駛的汽車目前的安全度主要是來源于黑客還沒有太多接觸它的機(jī)會(huì)。所以，現(xiàn)在自動(dòng)駕駛的汽車會(huì)有一些安全優(yōu)勢(shì)?！?/p>

當(dāng)然，自動(dòng)駕駛汽車出于技術(shù)的完善階段，一些安全薄弱環(huán)節(jié)也需要注意。

未來可能產(chǎn)生的對(duì)自動(dòng)駕駛的攻擊

隨著激光雷達(dá)、以太網(wǎng)、GPS被應(yīng)用，也給自動(dòng)駕駛汽車帶來了一些新挑戰(zhàn)。此外自動(dòng)駕駛汽車用到傳統(tǒng)汽車的底層架構(gòu)也是一個(gè)問題：比如你想讓車?yán)锏母踩?，想跟其他模塊單元進(jìn)行溝通，可能還不支持TLS，甚至TCP都不支持，這些都是新的情況。

針對(duì)自動(dòng)駕駛可能會(huì)出現(xiàn)的黑客攻擊，Charlie Miller將其分為以下幾類：

首先是遠(yuǎn)程攻擊，這是最為嚴(yán)重的，“如果我從遠(yuǎn)程可以攻擊一輛車，那就證明所有的車我可能都能攻擊”； 其次是近程攻擊，比如說通過藍(lán)牙等等，不需要真正接觸這個(gè)車； 第三種是物理接觸攻擊，通過插入或者安裝上一些插件，然后對(duì)于它的電腦系統(tǒng)進(jìn)行一些篡改。這種攻擊很難規(guī)?；敹嗫梢云茐?-5輛汽車，但我們也不希望它發(fā)生。 而第四種就是我們要擔(dān)心的感應(yīng)器攻擊，現(xiàn)在往往會(huì)有比較復(fù)雜的傳感器出現(xiàn)在智能汽車或者自動(dòng)駕駛汽車上。但通過研究，Charlie Miller發(fā)現(xiàn)，這些感應(yīng)器也可以被篡改，而成為一種攻擊汽車的手段。比如，研究人員可以通過對(duì)自動(dòng)駕駛車的激光雷達(dá)數(shù)據(jù)進(jìn)行篡改，讓會(huì)使得汽車做出一些古怪的行為。

Charlie Miller也指出，冗余結(jié)構(gòu)設(shè)計(jì)會(huì)減少攻擊的風(fēng)險(xiǎn)。例如，在感知方案中，一般的冗余感知不完全是通過雷達(dá)和攝像頭來做，所以不會(huì)產(chǎn)生太大風(fēng)險(xiǎn)。

同樣，針對(duì)高精地圖和GPS的攻擊也不會(huì)產(chǎn)生太大問題?！耙?yàn)槠囈话阌凶约旱膬?nèi)部地圖，定位也依靠內(nèi)部的高精地圖，因此攻擊GPS不會(huì)帶來太大問題?！?當(dāng)然，Charlie Miller提到一個(gè)前提，是這些地圖都是經(jīng)過驗(yàn)證核實(shí)以后使用的。

針對(duì)自動(dòng)駕駛汽車的安全建議

“任何汽車的安全，都可以通過數(shù)據(jù)中心，小的網(wǎng)絡(luò)，通過控制器技術(shù)等現(xiàn)有技術(shù)進(jìn)行優(yōu)先保障。”Charlie Miller總結(jié)道。

因此，針對(duì)自動(dòng)駕駛的汽車安全，Charlie Miller也給出了一系列建議：

第一，減少容易受到攻擊的接口，比如把不必要的藍(lán)牙去掉，對(duì)于吉普車來說，非常危險(xiǎn)的是收發(fā)器。這樣的話，外界通訊就不容易進(jìn)入到汽車?yán)?，也?huì)減少缺陷和黑客襲擊的機(jī)會(huì)。

第二，要保證汽車在第一次啟動(dòng)的時(shí)候有好的編碼，而保證沒有惡意編碼。因此，在初步設(shè)計(jì)的時(shí)候就要注意從硬件、一直到應(yīng)用的編碼?！澳阍绯繂?dòng)的時(shí)候你知道這些編碼都是你自己寫的，是你自己通過的，這樣就安全了?！?/p>

第三，要把密鑰進(jìn)行非常好的存放?！氨热缒阋?qǐng)求一些外部服務(wù)的話就需要這些密鑰，你要把這些密鑰進(jìn)行非常好的存放，可以用不同的密鑰加密技術(shù)，如果它們被偷竊了以后就會(huì)給你帶來很大的麻煩。”

第四，車主發(fā)出的任何數(shù)據(jù)應(yīng)該加密以后再進(jìn)行傳輸，用LTS。這樣的行為也不需要用一些新的技術(shù)，因?yàn)榧用芗夹g(shù)現(xiàn)在已經(jīng)很成熟。同時(shí)，要保證重要的編碼在系統(tǒng)上都是加密，這樣即便它被偷竊了以后車主也不需要擔(dān)心，這些加密的編碼被偷走以后對(duì)于黑客來說也沒有用了。

此外，Charlie Miller也提到，保障終端安全、切斷不必要的外部通訊也是提升汽車安全的重要手段。

最終，Charlie Miller總結(jié)道，對(duì)于自動(dòng)駕駛車車進(jìn)行安全保護(hù)的話，跟傳統(tǒng)的方式有所不同，但是我們也看到也有一些共同的挑戰(zhàn)，我們需要建立起一個(gè)控制系統(tǒng)，使得我們的汽車更加安全，我們現(xiàn)在看到還沒有到處都跑的是自駕車。所以，我們現(xiàn)在就要把安全的問題做好，使得自動(dòng)駕駛車在未來不要陷入重大的安全問題。