Hackers take over steering
from smart car driver
來源:锌刻度 作者:罗世浩
無人駕駛汽車逐漸開始在商業場景中民用,但其透過物聯網進行操控的自動駕駛系統,仍然存在較大的失控風險。
就在之前,騰訊科恩實驗室發現了特斯拉 Model S 轎車的自動駕駛系統(版本 2018.6.1)存在著三大漏洞,其中包括了可以透過外部激活車輛的雨刷系統、透過在道路上設置一些特定的標記,可以欺騙 Model S 的自動駕駛系統,使其駛入錯誤車道,並且透過無線遊戲手柄,就可以操控 Model S 的轉向系統,從而控制車輛,使其成為「僵屍汽車」。
無人駕駛這樣的漏洞,如同《玩命關頭 8》的一個場景,影片中一名駭客入侵多輛無人駕駛汽車使其成為「僵屍汽車」,通過一對多的操控達到任由擺布的效果。
想像一下,如果在未來有一天幾十輛無人駕駛汽車突然發瘋了一樣四處亂闖,將會嚴重危害公共安全,那麼在現實中,無人駕駛汽車即將投入商業營運,究竟會不會被駭客操控成所謂的僵屍汽車?
僵屍汽車是僵屍網路的延伸
僵屍汽車的概念,是僵屍網路的延伸。網路自上世紀 90 年代初期開始迅猛發展,在其快速發展的過程中誕生的還有一種新的資訊安全威脅方式,即透過結合病毒、木馬、蠕蟲技術為一體的僵屍網路。
僵屍網路的特點在於,透過一個駭客,操控多台被木馬等病毒感染的電腦,實現一種一對多的操控方式,建構成一個由一名駭客就能掌控的網路系統。並且在駭客很少,甚至不插手的情況下,僵屍客戶端能夠協同合作,並針對同一任務完成目標行動。
「想像一下電影塑造所謂的僵屍形象,一個無血無肉,空有軀殼的東西,無自主意識聽從道士安排,僵屍網路的宏觀意思就是這樣,眾多電腦在不知不覺中,如同傳說中的僵屍群一樣被人驅趕和指揮著,成為被人利用的一種工具。「貴州大學車輛工程專業教師羅嘉解釋道,」目前來講僵屍網路對攻擊物聯網設備更感興趣。」
記者透過中國科研與電腦網得知,物聯網中形成的僵屍網路與普通的 PC 電腦病毒不一樣,其傳播性更廣更快,可以透過龐大的物聯網系統感染海量的設備,其中就包括無人駕駛汽車。
駭客可以使用這些相同的物聯網,連接無人駕駛汽車,透過藍牙、WiFi、輪胎壓力感測器,以及透過汽車的 CAN 總線連接幾乎任何外部切入點,一旦駭客控制了 CAN 總線,攻擊 AI 系統是最常見的手段,同時突破自動駕駛汽車的網路防禦。比如駭客可能試圖透過汽車感測器/網路,讓車載人工智慧認為是真實的方式注入虛假數據,從而導致人工智慧做出錯誤決定,並使人員或貨物處於危險之中。
「雖然無人駕駛汽車往往有加密,和身份驗證等硬安全措施,這些在理論上可以提供合理的安全防禦措施,但是這些類型的安全措施的弱點在於,在駭客破解了一個嚴格的安全事件(即解密消息,輸入密碼等)後,通常沒有額外的安全措施,來防止有人濫用系統。」羅嘉介紹。
羅嘉認為未來萬物互聯,汽車是物聯網產品中的重要一環,如果沒有更有效的汽車安全防範機制,無人駕駛技術的安全性時刻會面臨僵屍病毒的威脅,當數據中心發生駭客攻擊時,最壞情況可能是數據丟失,但當自動駕駛汽車被駭客入侵時,可能發生的就是生命損失。
也許情況沒有那麼糟
在三年前的一次實驗中,一名美國記者開著一輛 Jeep Cherokee,然後被兩名駭客 — Charlie Miller 與 Chris Valasek 遠端控制,他們透過資訊娛樂系統,獲得了汽車的控制權,同時控制了車輛的轉向、剎車、雨刷和門鎖,除此之外,車輛的轉速表速度表的參數也被重置。
兩名駭客在此實驗後,開始與無人汽車公司合作,試圖阻止此類事件的發生,就在去年的黑帽大會上,兩人紛紛表示,入侵無人駕駛汽車的難度極大,非一般的駭客可以做到。Miller 解釋說,無人駕駛汽車必須持續監控環境,接收資訊,而目前只要減少攻擊面,就可以大大降低被入侵的風險。
事實上,要想成為僵屍汽車的前提,是透過物聯網來傳播僵屍病毒,透過一對多的形式,操控一輛甚至多輛無人汽車。「自動駕駛汽車目前依靠一個或兩個感測器進行物體檢測,那些完全自動駕駛的車輛,將具有多個感測器和通信層。」Chris Valasek 指出,鑒於破解單個感測器已經很棘手,一些駭客會更難以入侵複雜的感測器系統,並且需要多層設置,才能不斷訪問即時交通和行人數據。
「從理論上講,自動駕駛汽車的多個感測器和通信層之間,固有的互聯性,可能使他們更容易受到網路攻擊,因為他們提供了更多的切入點,然而,出於同樣的原因駭客攻擊連接的自動駕駛汽車也更加困難,」
無人駕駛智行者技術工程師曼曼告訴記者:「必須找到對多層系統的訪問,該系統整合了來自多個感測器的資訊,以及即時交通和行人數據,這可能對駭客構成嚴重障礙。與物聯網相關的解決方案,也可用於增強其安全性,例如整合基於量子力學的安全加密系統。」
目前針對駭客入侵的潛在威脅,一些高科技企業和汽車製造商,已經在這方面採取了一些行動。
飛雅特公司目前透過使用一些額外的感測器吊艙,透過對感測器等硬體的升級改裝,來提升其安全性,但依然有不少專家指出,透過感測器升級,來提升安全性目前可能沒有問題,但其更新速度遠遠趕不上駭客技術的提升,所以這種方法在成本,以及時效性上,還有一定問題。
特斯拉汽車去年參加,在加拿大溫哥華舉行的 Pwn2Own (一年一度的駭客和安全會議)會議時,透過獎勵的方式,最終讓兩名駭客成功入侵特斯拉 Model 3 汽車,對此特斯拉副總裁 David Lau 表示,透過參與此類安全會議,不斷升級自己的安全防禦軟件,並透過人工智能的協作來進一步提升無人駕駛的安全性。
除此之外,GuardKnox 車輛網路安全公司,提出在無人駕駛汽車的通訊連接處,建立一個安全系統。該系統在車輛的各種網路之間,實施正式驗證和確定的通信配置,其阻止任何未驗證的通信。必須驗證任何試圖訪問車輛中央 Gateway ECU 的外部通信,無論存在多少易受攻擊的接入點,都能有效地鎖定整個系統。集中化對於防止駭客,從其通信網路訪問自動駕駛汽車的核心系統非常重要。
5G 時代的出現又將面臨新問題
「5G 時代的到來,毫無疑問會給無人駕駛汽車帶來新的機會。」自動駕駛汽車公司 Voyage 的總經理 Dean Bushey 在去年 1 月表示 5G 技術將有助於使自動駕駛汽車更安全。
Dean Bushey 解釋道:我們任何時候都想要獲得更低延遲,更高效的寬頻,因為任何超過一百毫秒的延遲,都會導致我們的汽車中斷,而這 5G 的到來可以完美的解決這一問題。
針對 5G 時代對無人汽車帶來的影響,網路安全巨頭 Avast 的高級研究員馬丁·赫倫(Martin Hron)卻表示,第五代行動網路很可能使自動駕駛車輛,比現在更容易受到攻擊。
未來 5G 的大量應用,將使得 5G 極有可能允許更多部件和系統的自動駕駛汽車,更容易連接到外部世界,以至於擴大駭客的攻擊面與切入點。
如何降低 5G 對無人駕駛帶來的風險放大機會呢?Martin 表示汽車製造業,特別是無人駕駛汽車的研發和製造要領先於駭客技術,Tesla、Google Waymo 都在朝這個方向做,但需要更完善的車輛網路安全機制。
「汽車製造業需要借助現有的安全技術,並進一步研發領先駭客攻擊的技術,以完善包含無人駕駛在內的車輛網路安全機制,比如在最初產品設計階段車輛,就必須將安全防護詳細化。」
5G 產業化發展對無人汽車,主要影響在於雲端到嵌入式端數據,交互延遲的降低和寬頻速度的增加,但這個方案對資訊安全、隱私保護等都提出挑戰,換句話說,在 5G 時代由於網速的幾何提升,其無人駕駛系統客戶的隱私更易洩露。
除此之外,無人駕駛汽車是基於人工智慧與物聯網基礎上,組成的系統或網路,如上文所述,無人駕駛汽車早已不是單個實體,所以一旦被駭客攻擊,其切入點與攻擊面都更大,駭客找尋到薄弱環節,成功入侵的可能性加大。
所以 Avast 安全專家警告稱:雖然現在 5G 應用內的無人駕駛汽車還在觀望階段,但如果沒有很好的應對方案,未來 5G 與物聯網的結合,將會使無人駕駛汽車被駭客入侵的可能性加大。
小結
每一代新技術的出現,都有他自身的價值,以及伴隨而來的安全隱憂,無人駕駛與網路都有著被駭客侵入的網路安全風險,但這樣的問題並沒有被汽車製造商、研發者所忽視,比如前文提到的特斯拉在駭客會議上出錢出車要求駭客對其攻擊,並因此研究下一代安全防護系統。
事實上,目前對這些風險意識的所有關注,只會有助於鼓勵,以最安全的方式,製造新一代自動駕駛汽車所需的更深入的研究。正如 Avast 的高級研究員馬丁·赫倫所指的那樣,無人駕駛安全技術需要領先於駭客入侵手段,並不斷在軟體硬體上進行升級變更,以提高抵御惡意攻擊的能力,使自動駕駛更安全。
【任何經過翻譯或轉載之中文資訊,我們為了盡量使用台灣常用相關名詞與慣用語法,將與原中文有所變更,但不改內容意義 – 3S MARKET】
0 comments:
張貼留言