Charlie Miller是黑客界的一名傳奇。出現(xiàn)在他介紹頁(yè)面中的，是一連串的黑客大獎(jiǎng)。

　　讓Charlie Miller真正名聲大噪的是他對(duì)汽車(chē)系統(tǒng)的攻破。

　　2015年，Charlie Miller和搭檔Chris Valasek還在LOActive和Twitter就職，黑客工作只是他們興趣愛(ài)好。就在當(dāng)年的黑客大會(huì)DEFCON上，兩人合作成功入侵JEEP操作系統(tǒng)，實(shí)現(xiàn)了通過(guò)網(wǎng)絡(luò)遠(yuǎn)距離攻擊和控制汽車(chē)。這一舉動(dòng)直接導(dǎo)致福特召回了140萬(wàn)臺(tái)車(chē)輛。

　　此后，Miller又發(fā)現(xiàn)了菲亞特克萊斯勒汽車(chē)的漏洞，再次導(dǎo)致百萬(wàn)量級(jí)的車(chē)輛召回。

　　讓汽車(chē)行業(yè)松一口氣的是，如今，Charlie Miller已近決定從一名“掘墓人”變成“守墓人”。他先是加入了Uber，專(zhuān)攻汽車(chē)駕駛系統(tǒng)相關(guān)的網(wǎng)絡(luò)安全。2017年3月，Charlie Miller又跳槽至滴滴硅谷實(shí)驗(yàn)室，擔(dān)任自動(dòng)駕駛安全領(lǐng)域負(fù)責(zé)人。同年7月，Charlie Miller轉(zhuǎn)投通用公司旗下自動(dòng)駕駛公司Cruise Automation, 擔(dān)任自動(dòng)駕駛安全領(lǐng)域首席工程師。

　　作為一名資深黑客和汽車(chē)界的安全工程師，Charlie Miller對(duì)處于自動(dòng)駕駛和智能網(wǎng)聯(lián)浪潮中的汽車(chē)行業(yè)，有著獨(dú)到見(jiàn)解。日前，在騰訊舉辦的CSS信息安全論壇上，Charlie Miller分享了他對(duì)智能駕駛安全問(wèn)題的看法。

　　黑客們攻擊汽車(chē)的手段在升級(jí)

　　汽車(chē)安全問(wèn)題從2001年就十分明顯，不過(guò)那時(shí)候主要以物理接觸和近距離控制為主，攻擊手段有OBD盒子、藍(lán)牙鑰匙等。當(dāng)時(shí)，黑客們?cè)噲D攻擊過(guò)一輛雪佛蘭，他們通過(guò)破解藍(lán)牙傳輸中的密碼指令，控制剎車(chē)。受限于藍(lán)牙的傳輸距離，這一攻擊方式有30米的距離限制。

　　后來(lái)，汽車(chē)上開(kāi)始增添“車(chē)聯(lián)網(wǎng)”的這個(gè)系統(tǒng)，而且，早期的車(chē)聯(lián)網(wǎng)系統(tǒng)幾乎沒(méi)有做安全保護(hù)設(shè)計(jì)，黑客們不再受到距離限制，在任何地方都可以發(fā)動(dòng)攻擊，通過(guò)遙控控制，向剎車(chē)發(fā)出指令。

　　Charlie Miller在一個(gè)2011年的視頻中展示出，一輛汽車(chē)遭到黑客攻擊后，剎車(chē)被鎖死。更糟糕的是，黑客可以針對(duì)個(gè)別剎車(chē)進(jìn)行控制，比如說(shuō)把前左輪鎖死，導(dǎo)致車(chē)身打轉(zhuǎn)側(cè)翻。

　　2015年，Charlie Miller攻擊Jeep的手段與上述方式很像，Jeep的弱點(diǎn)也是讓娛樂(lè)系統(tǒng)不經(jīng)過(guò)網(wǎng)關(guān)，直接連接CAN總線上，Charlie Miller攻破了娛樂(lè)系統(tǒng)后就直接把CAN指令寫(xiě)入到CAN總線里，導(dǎo)致方向盤(pán)被鎖死。

　　騰訊的科恩實(shí)驗(yàn)室在2016年也“遠(yuǎn)程入侵”了特斯拉，將中控大屏界面換成了該實(shí)驗(yàn)室LOGO。除了這些“小動(dòng)作”，他們還可以遠(yuǎn)程解鎖車(chē)輛、打開(kāi)天窗，甚至實(shí)現(xiàn)遠(yuǎn)程剎車(chē)。

　　2018年，黑客們通過(guò)一個(gè)假基站發(fā)送短信息控制了寶馬的車(chē)聯(lián)網(wǎng)系統(tǒng)。

　　所以，通過(guò)以上案例，Charlie Miller總結(jié)了兩點(diǎn)：

　　首先，如果不攻擊車(chē)的系統(tǒng)就黑客不了這輛車(chē)，而最糟糕的結(jié)果是車(chē)輛被遠(yuǎn)程控制；

　　其次，很多車(chē)如果裝上網(wǎng)關(guān)，會(huì)減少風(fēng)險(xiǎn)。因?yàn)榫W(wǎng)關(guān)連接了娛樂(lè)系統(tǒng)和控制系統(tǒng)，它會(huì)對(duì)傳輸和控制進(jìn)行一定分離。

　　自動(dòng)駕駛汽車(chē)會(huì)更安全？

　　在Charlie Miller看來(lái)，自動(dòng)駕駛沒(méi)有剎車(chē)、沒(méi)有方向盤(pán)等等設(shè)計(jì)，甚至沒(méi)有藍(lán)牙、wifi等媒介，所以會(huì)更安全。

　　更重要的是，自動(dòng)駕駛車(chē)目前的運(yùn)作方式與一般汽車(chē)不同。“大部分的自動(dòng)駕駛車(chē)一般都是不向一般客戶銷(xiāo)售的。一般的汽車(chē)是公司生產(chǎn)，然后賣(mài)出后有人在使用，而自動(dòng)駕駛的汽車(chē)目前的運(yùn)作方式不是這樣的，這些車(chē)一般都是屬于一個(gè)公司，然后它基本上都有固定維護(hù)。”Charlie Miller說(shuō)道。

　　自動(dòng)駕駛車(chē)的智能性也讓汽車(chē)安全多了保障。“比如軟件可以進(jìn)行更新，可以增加一些新的硬件，有很多的機(jī)會(huì)。讓自動(dòng)駕駛車(chē)一直保持一個(gè)比較好的狀態(tài)。”

　　Charlie Miller解釋道，“我們剛才所說(shuō)的汽車(chē)的黑客攻擊，都有一個(gè)主控制的地方，而自動(dòng)駕駛的汽車(chē)沒(méi)有這樣的一個(gè)媒介，比如它不需要藍(lán)牙、也不需要車(chē)?yán)镉衱ifi，這對(duì)你的車(chē)來(lái)說(shuō)這是更安全的機(jī)會(huì)。”

　　此外，Charlie Miller還給出了一個(gè)自動(dòng)駕駛車(chē)更安全的理由，即現(xiàn)在自動(dòng)駕駛技術(shù)還不夠普及，接觸到自動(dòng)駕駛車(chē)的機(jī)會(huì)很少。

　　“目前為止，像我這樣的研究人員，要黑飛機(jī)的話我覺(jué)得比較難，因?yàn)槲覜](méi)有飛機(jī)。所以，類(lèi)似的道理，自動(dòng)駕駛的汽車(chē)目前的安全度主要是來(lái)源于黑客還沒(méi)有太多接觸它的機(jī)會(huì)。所以，現(xiàn)在自動(dòng)駕駛的汽車(chē)會(huì)有一些安全優(yōu)勢(shì)。”

　　當(dāng)然，自動(dòng)駕駛汽車(chē)出于技術(shù)的完善階段，一些安全薄弱環(huán)節(jié)也需要注意。

　　未來(lái)可能產(chǎn)生的對(duì)自動(dòng)駕駛的攻擊

　　隨著激光雷達(dá)、以太網(wǎng)、GPS被應(yīng)用，也給自動(dòng)駕駛汽車(chē)帶來(lái)了一些新挑戰(zhàn)。此外自動(dòng)駕駛汽車(chē)用到傳統(tǒng)汽車(chē)的底層架構(gòu)也是一個(gè)問(wèn)題：比如你想讓車(chē)?yán)锏母踩?，想跟其他模塊單元進(jìn)行溝通，可能還不支持TLS，甚至TCP都不支持，這些都是新的情況。

　　針對(duì)自動(dòng)駕駛可能會(huì)出現(xiàn)的黑客攻擊，Charlie Miller將其分為以下幾類(lèi)：

　　首先是遠(yuǎn)程攻擊，這是最為嚴(yán)重的，“如果我從遠(yuǎn)程可以攻擊一輛車(chē)，那就證明所有的車(chē)我可能都能攻擊”；

　　其次是近程攻擊，比如說(shuō)通過(guò)藍(lán)牙等等，不需要真正接觸這個(gè)車(chē)；

　　第三種是物理接觸攻擊，通過(guò)插入或者安裝上一些插件，然后對(duì)于它的電腦系統(tǒng)進(jìn)行一些篡改。這種攻擊很難規(guī)?；敹嗫梢云茐?-5輛汽車(chē)，但我們也不希望它發(fā)生。

　　而第四種就是我們要擔(dān)心的感應(yīng)器攻擊，現(xiàn)在往往會(huì)有比較復(fù)雜的傳感器出現(xiàn)在智能汽車(chē)或者自動(dòng)駕駛汽車(chē)上。但通過(guò)研究，Charlie Miller發(fā)現(xiàn)，這些感應(yīng)器也可以被篡改，而成為一種攻擊汽車(chē)的手段。比如，研究人員可以通過(guò)對(duì)自動(dòng)駕駛車(chē)的激光雷達(dá)數(shù)據(jù)進(jìn)行篡改，讓會(huì)使得汽車(chē)做出一些古怪的行為。

　　Charlie Miller也指出，冗余結(jié)構(gòu)設(shè)計(jì)會(huì)減少攻擊的風(fēng)險(xiǎn)。例如，在感知方案中，一般的冗余感知不完全是通過(guò)雷達(dá)和攝像頭來(lái)做，所以不會(huì)產(chǎn)生太大風(fēng)險(xiǎn)。

　　同樣，針對(duì)高精地圖和GPS的攻擊也不會(huì)產(chǎn)生太大問(wèn)題。“因?yàn)槠?chē)一般有自己的內(nèi)部地圖，定位也依靠?jī)?nèi)部的高精地圖，因此攻擊GPS不會(huì)帶來(lái)太大問(wèn)題。” 當(dāng)然，Charlie Miller提到一個(gè)前提，是這些地圖都是經(jīng)過(guò)驗(yàn)證核實(shí)以后使用的。

　　針對(duì)自動(dòng)駕駛汽車(chē)的安全建議

　　“任何汽車(chē)的安全，都可以通過(guò)數(shù)據(jù)中心，小的網(wǎng)絡(luò)，通過(guò)控制器技術(shù)等現(xiàn)有技術(shù)進(jìn)行優(yōu)先保障。”Charlie Miller總結(jié)道。

　　因此，針對(duì)自動(dòng)駕駛的汽車(chē)安全，Charlie Miller也給出了一系列建議：

　　第一，減少容易受到攻擊的接口，比如把不必要的藍(lán)牙去掉，對(duì)于吉普車(chē)來(lái)說(shuō)，非常危險(xiǎn)的是收發(fā)器。這樣的話，外界通訊就不容易進(jìn)入到汽車(chē)?yán)?，也?huì)減少缺陷和黑客襲擊的機(jī)會(huì)。

　　第二，要保證汽車(chē)在第一次啟動(dòng)的時(shí)候有好的編碼，而保證沒(méi)有惡意編碼。因此，在初步設(shè)計(jì)的時(shí)候就要注意從硬件、一直到應(yīng)用的編碼。“你早晨啟動(dòng)的時(shí)候你知道這些編碼都是你自己寫(xiě)的，是你自己通過(guò)的，這樣就安全了。”

　　第三，要把密鑰進(jìn)行非常好的存放。“比如你要請(qǐng)求一些外部服務(wù)的話就需要這些密鑰，你要把這些密鑰進(jìn)行非常好的存放，可以用不同的密鑰加密技術(shù)，如果它們被偷竊了以后就會(huì)給你帶來(lái)很大的麻煩。”

　　第四，車(chē)主發(fā)出的任何數(shù)據(jù)應(yīng)該加密以后再進(jìn)行傳輸，用LTS。這樣的行為也不需要用一些新的技術(shù)，因?yàn)榧用芗夹g(shù)現(xiàn)在已經(jīng)很成熟。同時(shí)，要保證重要的編碼在系統(tǒng)上都是加密，這樣即便它被偷竊了以后車(chē)主也不需要擔(dān)心，這些加密的編碼被偷走以后對(duì)于黑客來(lái)說(shuō)也沒(méi)有用了。

　　此外，Charlie Miller也提到，保障終端安全、切斷不必要的外部通訊也是提升汽車(chē)安全的重要手段。

　　最終，Charlie Miller總結(jié)道，對(duì)于自動(dòng)駕駛車(chē)車(chē)進(jìn)行安全保護(hù)的話，跟傳統(tǒng)的方式有所不同，但是我們也看到也有一些共同的挑戰(zhàn)，我們需要建立起一個(gè)控制系統(tǒng)，使得我們的汽車(chē)更加安全，我們現(xiàn)在看到還沒(méi)有到處都跑的是自駕車(chē)。所以，我們現(xiàn)在就要把安全的問(wèn)題做好，使得自動(dòng)駕駛車(chē)在未來(lái)不要陷入重大的安全問(wèn)題。