“我在位于圣刘易斯下城区的边界,以70码的时速驾驶着切诺基,突然间,汽车失去控制。
在没有触碰仪表盘的情况下,切诺基的制冷系统以最大档功率开始送风,通过座椅背部的循环系统,让他的背部感到一阵寒意。接下来,收音机切换到了本地嘻哈频道,音量自己调至最大,喇叭里发出刺耳的音乐。他将控制旋钮转向最左侧,同时不停的按动电源开关,一切都没有反应。这时候,雨刮也开始凑热闹,不断喷出清洁剂,让挡风玻璃变得一片模糊。”
这一切不是好莱坞惊悚片中的情节,而是由两名黑客——查理·米勒(Charlie Miller)以及克里斯·瓦拉塞克(Chris Valasek)——一手导演的结果。两人在去年进行了汽车入侵方面的研究,上述结果尚在预料之中。这些漏洞被安全领域称之为“零日漏洞”,袭击者可以通过无线连接入侵上述切诺基车型。我们的代码正是汽车制造商的噩梦:通过软件,黑客通过切诺基的车载娱乐系统发送指令,启动仪表盘上的各种功能,包括转向、刹车以及换挡,所有这些都可以通过一台笔记本轻松实施,而发起袭击的人可以身处任何地点,只需连接至网络即可。
为了更好的让他体验到车辆在驾驶中被入侵的感受,米勒和瓦拉塞克拒绝透露我们会具体实施哪些步骤,我们只是做好准备,在他驾驶的车辆以西10英里的家中,通过米勒的笔记本发起入侵。然后,我们告诉他驾驶切诺基驶入高速公路。“记住,安迪,”米勒透过他放在仪表盘上方的iPhone的扬声器说道。“无论发生什么事情,不要惊慌!”
在这两名黑客远程控制切诺基的空调系统、收音机以及挡风玻璃雨刮时,他为自己在压力之下的勇气感到由衷的敬佩,要知道,我们已经切断了车辆的变速器。
他的油门立刻停止工作。他一脚将油门轰到底,发动机转速持续攀升,但切诺基仍然持续减速,最后几乎接近怠速状态。这一切都在他驶入立交桥的时候发生,没有路肩可以供他缓口气。这场实验不再充满乐趣。
现在,前方出现缓坡,切诺基的行进速度更加缓慢,几乎让他担心“溜坡”的发生。车道后方的汽车不断鸣笛,时而有车辆超车而过。他从后视镜看到一辆18轮大货车缓慢逼近,他希望司机可以看到他的存在并且理解他的处境。
“你完了!”瓦拉塞克在扬声器中咆哮着,但他无力做出任何回应,驾驶室中回响着知名饶舌歌手坎耶·维斯特(Kanye West)兴奋地嘶吼声。一辆半挂车又出现在了他的后视镜中,正在朝他的切诺基碾压过来。
他谨遵米勒的教诲:不要惊慌。他照做了。然而,他最终决定放下伪装的勇气,用满是汗液的手一把抓起iPhone,祈求黑客们立刻停下来。
无线劫车
米勒和瓦拉塞克已经不是第一次如此操纵汽车让他置身险情了。早在2013年夏季,他驾驶福特Escape和丰田普锐斯在印第安纳州的南本德泊车,我们两人坐在后座,拿着笔记本,一边谈笑风生,一边让他的刹车失灵,同时还不断鸣笛、收紧安全带以及控制转向。
“当你对车辆的操控无能为力且失去信心的时候,”米勒当时观察到,“你就会彻底改变自己的看法,重新审视这些东西。”当时,我们的入侵手法存在局限性——必须将PC经由硬连线直接连接至车辆的故障诊断端口。通常情况下,只有维修工程师才需要访问这些端口来获得车辆的电子控制系统信息。
两年之后,我们已经升级至无线连接方式。米勒和瓦拉塞克计划在网上公开部分漏洞资料,为我们下月在拉斯维加斯举办的黑帽安全会议的演讲造势。两名黑客最新的研究成果让整个汽车行业坐立不安,甚至可能帮助促成相关法规的诞生。
记者了解到,近日,两位参议员艾德·马基(Ed Markey)以及理查德·布鲁门塔(Richard Blumenthal)计划提出汽车安全法案,为轿车和卡车设立全新的数字安全标准。我们的动议正是受到米勒与瓦拉塞克在2013年的研究成果所影响。
该法案应该能够在某种程度上防止事态恶化。现在,米勒与瓦拉塞克开发的入侵工具已经具备远程触发的能力,而且影响的系统远不止当初他在高速公路上遭遇的仪表盘以及传动系统这两部分。就在他于高速公路上遭遇惨痛经历的当日,我们两人还演示了更多的入侵行为。
米勒与瓦拉塞克的手段包括降低速度并且最终关闭引擎、突然制动或者让制动失灵。让刹车失灵是最致命的手段,能够让他的SUV侧滑进路标的壕沟。两位黑客老兄表示,我们正在改进汽车的转向控制,目前我们只能在车辆处于倒档时进行控制。我们同时可以控制车上的GPS设备,获取目标车辆的坐标及车速,进而在地图上对车辆的行进路径进行追踪。
所有这些都得益于克莱斯勒将越来越多的现代技术装备到汽车上,实际上其他车商也是如出一辙。成千上万由克莱斯勒出产的轿车、SUV以及卡车都配备了一种称之为“Uconnect”的可联网计算机功能,负责控制车辆的娱乐以及导航系统,同时可以拨打电话甚至设立Wi-Fi热点。
由于该系统存在的漏洞,任何知道车辆确切IP地址的人都可以通过Uconnect的蜂窝网络连接在任何地点对车辆进行控制,米勒与瓦拉塞克将会在今年的黑帽大会上公布具体的细节。“从袭击者的角度出发,这些漏洞可谓相当诱人,”米勒表示。
米勒与瓦拉塞克的袭击开始于靠近汽车主机的一个芯片,通过娱乐系统硬件,我们悄悄重写了芯片的固件,植入了自己的代码。经过重写后的固件能够被用来通过汽车内部的CAN总线发送命令,从而控制引擎和转向这类机械部件。米勒与瓦拉塞克表示,针对娱乐系统发起入侵的手法似乎可以用在所有配备Uconnect的2013、2014以及2015年早期推出的克莱斯勒车型上,虽然我们只在切诺基上进行过测试,但我们相信经过适当调整,类似的手法可以用在其他配备了Uconnect主机的车型上。
在今年的黑帽大会上公布细节之后,米勒与瓦拉塞克会防止有人利用我们的工具在全球针对克莱斯勒车型发起入侵。首先,我们会省略掉关于如何重写芯片固件的部分细节,指望故技重施的黑客只能自己进行反向工程,而这一过程花费了米勒与瓦拉塞克数月时间。但我们计划公布的代码仍然可以被其他人利用来进行GPS追踪。
其次,早在九个月前,两人就开始将自己的研究成果与克莱斯勒共享,使得公司可以赶在黑帽大会前悄悄推出安全补丁。7月16日,那些车辆配备Uconnect功能的车主收到来自克莱斯勒的通知,要求对系统进行更新,公告只字未提米勒与瓦拉塞克的研究。
问题是,克莱斯勒的补丁需要用户通过U盘手动更新,或者前往经销商处由他人代劳。这也就意味着相当数量的车主仍会面临风险。
克莱斯勒在回应记者的提问时表示,我们对米勒与瓦拉塞克的工作表示“感激”。但公司似乎对上述二人打算公开漏洞细节的行为颇有微词。克莱斯勒在声明中表示,任何鼓励或帮助黑客在未经授权的情况下获取机动车系统控制权限的行为都是不合适的,虽然公司对此类研究的成果表示支持,但任何行为都不应以牺牲公众的安全为代价。
对此,米勒与瓦拉塞克表示,尽管这些代码可能让心怀不轨的黑客更容易入侵目标车辆,但这也是我们的研究工作获得人们肯定的唯一手段。此举同样传达出一条讯息,那就是:汽车生产商需要对自己产品在数字领域的安全负责。“消费者需要意识到问题的严重性,”米勒表示,“这也许是某种形式的软件bug,但后果却足以致命。”
实际上,米勒与瓦拉塞克并非是首批通过网络入侵汽车的人。早在2011年,来自华盛顿大学以及加利福尼亚大学的研究人员就曾经示范过如何通过无线方式打开轿车的门锁并且紧急制动。但这些研究人员的行事方式相当低调,我们没有透露过多细节,并且选择私下与车商分享了研究成果。
米勒与瓦拉塞克的行为实际上扮演了“好警察/坏警察”的角色。当年从事研究的加利福尼亚大学圣迭戈分校计算机科学教授斯蒂芬·萨维奇(Stefan Savage)表示,研究人员早在2011年便发出过警告,那些选择无视的车商现在有可能面对公众蜂拥而至的指责,其结果可能是产品召回甚至民事诉讼。实际上,本月早些时候,路虎揽胜就针对一处软件安全缺陷对产品进行过召回,该漏洞可能会被用来开启车辆的门锁。
对于汽车行业以及相关监管部门来说,米勒与瓦拉塞克公布的研究成果也许是最后的警告,一大波针对“零日漏洞”的袭击很可能不日便会发生。萨维奇表示,行业和监管部门无法选择继续忽略现实,进而祈祷漏洞不会造成大规模的影响。如果我们仍然不认为这是迫在眉睫的危险,那么结果将会是致命的。
471000辆暴露在危险中的汽车
米勒与瓦拉塞克正待在前者家中起居室的皮革沙发上。室外,夏日雷暴正在轰鸣;室内,两人正在互联网上扫描潜在的牺牲者。
Uconnect计算机通过Sprint的移动网络连接至互联网,只有其他Sprint入网设备才能与它们进行通讯。因此,米勒选择了一部廉价的京瓷安卓智能手机连接至一部MacBook,通过带宽有限的3G数据网络,同时将手机设为Wi-Fi热点,扫描就此展开。
不多时,GPS坐标、机动车识别码、制造商、型号以及IP地址纷纷出现在了笔记本屏幕上。米勒选择了一辆道奇公羊,将它的GPS坐标配合谷歌地图进行追踪,该辆汽车在德克萨斯州德克萨肯纳市高速公路上巡航的情形一目了然。米勒继续扫描,一辆吉普切诺基出现在屏幕上,其正在连接圣迭戈与阿纳海姆的立体高速公路上飞驰。接下来是一辆道奇拓荒者,它正在密歇根州北部半岛的乡间小路上行进。当他让他继续扫描时,他犹豫了。看到从未谋面的陌生人驾驶车辆在地图上移动,驾驶者置身于危险中却毫不知情,想到这些,米勒的内心产生了动摇。
当米勒与瓦拉塞克首次发现Uconnect存在的漏洞时,我们认为入侵仅仅通过直接Wi-Fi连接才能发起,这样就将袭击的距离限制在了几十码的范围内。而当我们于今年夏季早些时候发现了Uconnect还存在移动网络漏洞之后,我们仍然认为,袭击只能经由与车辆连接至同一无线基站的手机才能发起,而要符合条件,入侵距离也被限制在了数十英里以内。
但是,我们很快就发现,上述距离限制其实并不存在,我们找到了在任意地点实施入侵的手段。瓦拉塞克表示,他对这一发现感到相当震惊。想象一下,任何正在高速公路上疾驶的车辆都可能成为牺牲品,这是多么可怕的景象!
在那一刻,两人多年来的研究工作到达了顶点。米勒是来自Twitter的安全研究员,同时是一位前美国国家安全局黑客,瓦拉塞克则是来自顾问公司IOActive负责机动车安全研究的主管。2012年秋季,我们受到加利福尼亚大学圣迭戈分校以及华盛顿大学研究的启发,向美国国防部高级研究计划局申请了汽车入侵研究方面的许可。我们花费80000美元购买了丰田普锐斯以及福特Escape。在其后一年里,我们从数字以及机械方面对车辆展开了详细分析,对车辆的电子控制单元进行了仔细研究,学习利用CAN网络协议与车辆对话,进而控制它们。
2013年,当两人在DefCon黑客大会上对入侵车辆进行演示时,丰田、福特以及其他汽车行业厂商对此轻描淡写,指出入侵所需的硬连线在实际生活中难以实现。丰田还特别强调,我们的系统面对无线入侵是“健壮和安全的”。“我们的研究无法对汽车制造商造成任何影响,”米勒表示。为了引起这些车商的关注,我们必须找到远程入侵的方法。
因此,在接下来的一年时间里,我们在每个主流车商的网站上注册了维修工程师账号,下载了各种机动车技术手册及布线图。利用这些技术资料,我们根据3种指标,挑选出24款最具入侵危险的轿车、SUV以及卡车。我们评选的依据是:机动车具备多少网络连接能力以及采用何种连接方式;可联网计算机系统是否与关键驾驶系统之间采取了适当的隔离措施;关键系统是否采取了“电子与机械部件”混合设计方式(是否数字指令可以触发机械部件运作,例如转向或制动)。
在那次的研究中,吉普的切诺基被评为最易遭到入侵的车型。凯迪拉克的凯雷德以及英菲尼迪的Q50也没有好到哪里去。米勒与瓦拉塞克将后两款车型形容为第二以及第三易遭受入侵的车型。当《连线》告诉英菲尼迪,米勒与瓦拉塞克的研究中至少有一项威胁已经被证实时,公司在一份声明中回应道,我们的工程师正在展开研究,并将作出相应改进。而凯迪拉克则回应说,数字安全是一个新兴领域,我们将会向该领域投入更多资源和工具,包括于近期雇佣了一名首席产品网络安全官。
2014年,米勒与瓦拉塞克决定将关注重点放在切诺基上,我们花费了整整一年来寻找各种漏洞,同时利用反向工程来证实我们的猜想,但一直没有任何进展。直到6月,位于匹兹堡的瓦拉塞克通过自己的笔记本发出一条命令,成功启动了行驶在圣路易斯公路上由米勒驾驶的吉普的雨刮,事情才有了转机。
自那时起,米勒便多次扫描Sprint的网络,发现并记录存在安全隐患的车辆的识别码。我们利用识别与追踪野生动物数量的算法,配合扫描得来的数据,估算出在道路上大约行驶着471000辆配备Uconnect系统且暴露在危险中的汽车。
根据上述信息找到具体车主不是一件容易的事情。米勒与瓦拉塞克的扫描只能获取随机的机动车识别码、IP地址以及GPS坐标。通过Sprint手机对特定的机动车进行识别基本上属于大海捞针。但是,米勒表示,如果同时启动足够数量的手机进行扫描,还是有希望对特定人士进行定位。
更糟糕的是,一名具备足够经验的黑客可以控制一组Uconnect主机,然后利用这些设备发起更大规模的扫描,同时还可以经由Sprint的网络实施更大规模的入侵。其结果可能导致通过无线连接的方式控制成千上万辆机动车组成的僵尸网络。
“2013年,有些人对我们的工作表示不屑,认为我们的入侵需要接入仪表盘才能够实施,”瓦拉塞克说道,“现在不知道这些家伙又该说些什么了!”
国会的反应
现在,汽车行业是时候采取行动,对自己的消费者实施保护措施了。而国会也许会通过立法督促这些车商切实采取行动。
近日,参议员马基以及布罗曼索将会提出新的法案,就机动车抵御入侵威胁制定新的标准。法案将会要求国家公路交通安全管理局以及联邦贸易委员会设立全新安全标准,同时针对消费者创建一个隐私与安全评级系统。马基在一份声明中对《连线》表示,驾驶者不应该在联网能力和安全性能间进行选择,人们需要清晰的规则来保护司乘人员的安全。
马基多年来一直关注米勒与瓦拉塞克的研究进展。自后两者在2013年开展获得美国国防部高级研究计划局资助的研究项目并进行展示以来,马基便致信20家车商,要求我们回答关于安全准则方面的一系列问题。答案于今年2月公布,印证了马基所描述的情况——这些车商明显缺乏适当的安全手段保护驾驶者免受黑客入侵机动车的威胁。
16家做出回应的车商全都证实,每一辆机动车都具备某种形式的无线网络连接,包括蓝牙、Wi-Fi、无线数据服务等等。仅有7家车商表示我们聘请了独立的安全公司对产品的数字安全进行了测试。仅仅只有2家公司表示,我们的产品配备了监测系统,能够对CAN网络进行扫描,随时检测恶意数字命令。
加利福尼亚大学圣迭戈分校的萨维奇表示,米勒与瓦拉塞克研究并非向人们强调切诺基或任何特定的车辆多么容易遭受入侵威胁,研究的意义在于向人们揭示了任何现代车辆在此方面存在的问题。无论是欧洲、日本还是美国车商在此方面都或多或少存在问题。
除了那些通过无线方式开启车门的盗窃事件之外,迄今为止,仅有一起恶意车辆入侵事件被记录在案。2010年,在德州奥斯汀,一位心怀不满的员工利用强制车主付款的远程锁定系统锁死了超过100辆机动车。无论如何,随着越来越多的汽车具备可联网能力,现实世界中此类事件的发生数量将呈上升趋势。Uconnect只是众多车载信息系统中的一个,通用汽车的Onstar、雷克萨斯的Enform、丰田的Safety Connect、现代的Bluelink、英菲尼迪的Connection,随便都可以列举出一大堆类似系统。
实际上,汽车制造商现在越来越重视数字安全方面。然而,出于竞争方面的考虑,车商可能会针对娱乐、导航及安全功能部署更多的全新联网服务,而且此类服务的订阅费用可以为厂商带来不错的收入。其结果就是,汽车上配备了更多的可联网服务,由此可能引发更多的安全问题。
一家长期关注汽车安全问题的团体提出了五点建议:
采取更加安全的设计以减少可能遭受入侵的节点;
第三方测试;
内部监测系统;
采取彼此独立的架构,限制危害的蔓延;
采取与如今PC更新软件相同的方式来更新汽车上的软件。
最后的一点建议已经被诸多厂商付诸实施。福特在今年3月宣布推出无线网络更新功能,宝马在1月也通过同样方式修补了一处门锁的安全漏洞。
该团体同时表示,车商对发现并公布漏洞的黑客应该更为友善一些,我们可以向如微软这样的软件公司学习,后者邀请黑客参加安全会议,同时为那些发现漏洞的人士颁发奖金,由此可以激励人们更多的发现漏洞,厂商接下来就可以致力于修补这些漏洞,将问题扼杀于萌芽中。
他驾驶着那辆切诺基从圣路易斯下城区返回米勒的家中。他认为,汽车入侵的威胁不太可能在3至5年后才会全面爆发,很可能突然之间,人们纷纷发觉自己正置身于危险之中。而米勒与瓦拉塞克的研究至少为人们敲响了警钟,无论是车商的重视,还是消费者的呼声和压力,至少都能够起到一定的积极作用。至于最终结果如何,只有让时间给我们答案了!