你可能在电影里见过这样的剧情:一位具有亿万身家的虚构社交网络公司创办人原本正在开车,却突然无法操控车辆;于是车子在马路上横冲直撞,不停变换车道闯红灯…但那位被困在车内的驾驶人却毫无办法,他对车子的控制权、特别是煞车,显然被车子本身夺走了──也就是说,那辆车被人从远程遥控了。然后,你看到那辆车子在屏幕上爆炸(很刺激的画面),但身为软件开发天才的男主角在千钧一发中逃脱。
以上只是电视剧的情节,而且是科幻影集;能支持远程遥控的车辆是一个制造惊悚画面吸引观众的好题材,但在现实中真的有可能吗?….嗯…听起来不可思议,但是,有。
在2011年3月,美国华盛顿大学(University of Washington)与加州大学圣地亚哥分校(University of California-San Diego)的研究团队,共同发表了一份《汽车攻击面的综合实验性分析(Comprehensive Experimental Analyses of Automotive Attack Surfaces)》技术论文,提供给美国国家科学院(NAS)一个针对电子车辆控制与意外加速议题的委员会参考。
NAS的立场是为了协助厘清汽车产业界对于车载电子设备是否可能遭受骇客攻击的质疑──传统观念认为,骇客若要达到攻击目的,会需要将发动攻击的硬件与车载计算机网络实际连结。因此论文作者以最新的量产轿车为平台,进行了系统性与实证性的远程攻击面分析。
而研究人员在分析过程中发现,以往在现实世界不曾有过(像电视影集情节那样)严重的汽车安全漏洞危及车辆与驾驶人:“传统汽车并不支持连网功能,因此汽车制造商也不需要预防外来敌人可能会采取的行动。”但是他们提出警告:“我们的汽车系统现在支持广泛的连结功能,路上行驶的数百万车辆能直接透过手机与网络来对付。”
根据NAS委托研究,汽车可能遭受攻击的安全漏洞是存在的
恩智浦半导体(NXP)汽车系统与应用部门工程主管Dirk Besenbruch表示,上述论文激励该公司研究汽车安全议题。他指出,目前汽车电子装置采用的CAN总线是一种“良好的容错网络”,但骇客们确实有许多种方法能透过网络对车内的电子控制单元(ECU)发动攻击。
CAN总线协议可打造高安全度、高成本效益的网络平台,让供货商为汽车添加各种透过计算机控制的系统(从车窗、门锁控制,到煞车、引擎控制等安全关键功能);但该种弹性也可能为新型态的骇客攻击提供机会──例如侵入环绕所有车内计算机控制系统(包括煞车、引擎控制等关键任务功能)的汽车内部网络。Besenbruch坦承,举例来说,全程从远程控制汽车音响音量,甚至更糟的是,蓄意停止或激活汽车引擎,是完全有可能做到的。
