?
大眾等6品牌汽車因一項技術的應用使得這些汽車很容易被黑客攻擊,大眾中國方面承認技術漏洞的事實,并表示被提及車型的防盜性能總體上是安全的,但對是否涉及中國市場以及如何處理相關車輛,并未表態(tài)
法治周末記者 馬金順
據(jù)美國彭博社8月14日報道,一項專家研究顯示,數(shù)千輛大眾汽車防盜鎖加密系統(tǒng)存在安全風險。而大眾汽車公司兩年前就已經(jīng)知悉此事。
兩年多以前,歐洲3名計算機科學家發(fā)現(xiàn),涉及奧迪、菲亞特、本田、起亞、大眾和沃爾沃6品牌的126款汽車,由于使用了瑞士EM Microelectronic制造的芯片(這些芯片存在漏洞),很容易被黑客攻擊。不過,由于大眾采取的法律措施,這一發(fā)現(xiàn)此前一直處于保密狀態(tài)。直到目前,通過一項法律和解協(xié)議,這些文件才被公布。
對此,大眾汽車集團(中國)(以下簡稱大眾集團)公關傳播部向法治周末記者確認了芯片存在漏洞的事實,“根據(jù)相關研究成果顯示,就一些老款車型(配備的是相關報道中所提及的防盜監(jiān)控系統(tǒng))而言,盜竊分子至少需要一套配套的車鑰匙及兩次以上成功啟動的記錄才可獲得相關破譯信息。基于上述事實,被提及車型的防盜性能總體上是安全的”。
此外,大眾集團強調(diào),大眾汽車現(xiàn)有產(chǎn)品的防盜監(jiān)控系統(tǒng)的安全等級則更優(yōu)。對于是否涉及中國市場以及如何處理相關車輛,大眾集團并未提及。
與汽車智能鑰匙有關
報道稱,這一漏洞與當前汽車采用的智能鑰匙有關。以往,竊賊需要手動點火才能發(fā)動汽車。而目前,汽車鑰匙和點火開關中使用了計算機芯片。只有這兩個芯片相互接近并發(fā)出正確的代碼后,汽車才能發(fā)動。
這一技術使得竊賊無法盜走汽車。即使他們能復制實體鑰匙,但如果沒有芯片,汽車也無法發(fā)動。
然而信息安全研究人員發(fā)現(xiàn),這些芯片由于使用了過時的加密技術,存在漏洞。如果有人監(jiān)聽芯片的通信過程,只需兩次,那么就可以通過計算機去識別其中的模式,隨后復制鑰匙和芯片。因此,代駕司機將有可能竊取汽車,而用戶在租賃汽車并歸還后也有可能進行盜竊。
其實,上述信息安全研究人員于2012年就已經(jīng)發(fā)現(xiàn)了這些漏洞,并且告知了汽車廠商,同時,給EM Microelectronic公司9個月時間去修復問題,隨后會把這一漏洞公之于眾。
然而,大眾集團于2013年對研究人員和幾所相關大學提起了訴訟,阻止他們公開發(fā)布這一發(fā)現(xiàn)。英國一家法院最初出于汽車用戶的安全問題對大眾集團表示支持,而雙方近期達成了和解,這一信息才得以公開。
在大眾集團給法治周末記者回復的郵件中,并未對阻止研究者公開這一發(fā)現(xiàn)的做法作出回應。
系統(tǒng)漏洞不可避免
多位業(yè)內(nèi)人士向法治周末記者指出,隨著智能汽車和車聯(lián)網(wǎng)時代的到來,傳統(tǒng)汽車行業(yè)面臨的安全問題早已超越了車部件本身,汽車遭受黑客威脅的事件也越來越多。
除了上述大眾等品牌汽車智能鑰匙漏洞外,近日,菲亞特克萊斯勒宣布召回140萬輛汽車,原因是其旗下Jeep自由光車型車載系統(tǒng)軟件存在漏洞,可能被黑客利用。這也是全球首例因黑客風險而召回汽車的事件。
汽車行業(yè)分析師張志勇向法治周末記者介紹說:“現(xiàn)在汽車車聯(lián)網(wǎng)智能化的發(fā)展趨勢,是把汽車產(chǎn)品從過去僅僅是一個交通運輸工具逐漸演變成一個跨界的產(chǎn)品,即既是一個交通工具,同時又是一個移動終端、IT產(chǎn)品,這其中有很多互聯(lián)網(wǎng)的功能,但只要是IT產(chǎn)品,就有被黑客侵入的危險,這并不是大眾等品牌面臨的個案,而是所有的互聯(lián)網(wǎng)化、電子化、智能化產(chǎn)品都面臨的危險。”
游俠安全網(wǎng)創(chuàng)始人張百川對此表示贊同,他說:“出現(xiàn)漏洞是不可避免的。比如Android系統(tǒng)從手機上轉移到汽車中,其實系統(tǒng)漏洞是一樣的,只是界面發(fā)生了變化。”
獵豹移動安全專家李鐵軍也稱,“不管是汽車還是家電等智能化產(chǎn)品,從表面上看,廠商將產(chǎn)品與互聯(lián)網(wǎng)技術結合的很好,但是從專業(yè)技術人員來看,漏洞是比較嚴重的,并且有一些漏洞是比較初級的”。
在張志勇看來,不管智能化的技術、車聯(lián)網(wǎng)的技術多么復雜,總會有黑客去破解,這是必然的,這也是未來新的智能化產(chǎn)品所面臨的共性問題,需要全社會、全行業(yè)共同解決的問題。
“電腦、手機系統(tǒng)被黑客侵入,通常會導致個人信息被泄露、最多也就是財產(chǎn)損失,而汽車產(chǎn)品的系統(tǒng)一旦被侵入,用戶面臨的可能就是生命健康問題了。”張志勇說。
可能導致集中召回
那么,大眾汽車將會如何處理這些存在軟件漏洞的車輛,會不會如菲亞特克萊斯勒一樣發(fā)起召回呢?
大眾集團在回復法治周末記者的郵件中并未對此進行表態(tài)。
張志勇認為,只有當產(chǎn)品存在缺陷威脅到消費者的健康和生命安全時,才適用召回,其他情況可能也會召回,但更多是通過三包的方法來進行解決。
不過,李鐵軍則表示,汽車不像windows等這些電腦軟件,直接在線升級就能修好。對于汽車來講,一旦發(fā)現(xiàn)系統(tǒng)存在漏洞,很有可能需要集中召回,由專業(yè)技術人員對其系統(tǒng)進行修復。
據(jù)了解,菲亞特克萊斯勒公司召回相關車輛后,提供的解決方案有兩種:一、將車送至經(jīng)銷商處,由4S店工作人員負責為客戶進行系統(tǒng)升級;二、自行下載軟件更新,將其保存至U盤,隨后插入汽車儀表板處的USB接口,在車機上執(zhí)行安裝程序即可。
在張志勇看來,這些漏洞是無法徹底修復的,“當前只能解決所發(fā)現(xiàn)的問題,修復之后,還會有新的漏洞出現(xiàn),就如電腦一樣,每隔一段時間,就要進行一次系統(tǒng)升級”。
“任何一個公司都是永遠處在一個持續(xù)改進、與黑客進行破解與反破解的過程之中。”張志勇說。
但是,張志勇認為,雖然系統(tǒng)漏洞無法避免,但也不能簡單說智能汽車沒有傳統(tǒng)的燃油車安全,當然也不會阻礙汽車智能化的發(fā)展。
“智能化的發(fā)展肯定會持續(xù)進行,這些漏洞只會警醒我們怎么在汽車的智能化上做得更好。另外,還一定會促使相關部門或者行業(yè)協(xié)會來制定相關的規(guī)范和標準,同時會引起司法部門對此監(jiān)管的重視,一旦發(fā)現(xiàn)黑客人群有危險行為,對其實施相應的處罰。”張志勇進一步補充說。
“隨著互聯(lián)網(wǎng)對汽車介入越來越深,汽車將會更智能,受攻擊的可能性也會增大,但同時在這方面的研究會逐步增多、防御水平也會越來越高。”張百川說。
突發(fā)公共衛(wèi)生事件再次考驗政府的快速應對能力,疫情爆發(fā)初期韓國政府的應對不力受到多方詬病,目前正面臨新一輪防控形勢的嚴峻考驗。
在京東商城、蘇寧易購、天貓、1號店和亞馬遜這5家綜合性購物平臺購買了智能手環(huán)和家庭裝洗衣液兩種商品。綜合來看, 1號店在退貨政策執(zhí)行上表現(xiàn)比較差。