《速8》“僵尸车队”背后：智能汽车远程控制APP安全堪忧

《速度与激情8》刚一上映便迎来了观影高潮。影片中的各种超前的黑客技术，也引起了不少影迷的注意。比如片中高智商美女反派塞弗通过黑客手段，入侵到该街区的整个车联网，控制了一批“僵尸车队”。

现实生活中，网联汽车的安全问题同样存在，智能汽车稍不留神就有可能被黑客入侵。汽车信息安全做为一个新领域、新趋势，所面临的威胁也不单单是电影里描述的那么简单。

360智能网联汽车信息安全实验室近日发布《2016智能网联汽车信息安全年度报告》（下称《报告》），通过对智能网络汽车技术发展的分析，从TSP安全威胁 、APP安全威胁、T-Box安全威胁 、IVI安全威胁、Can-bus总线安全威胁、ECU安全威胁、车间通信安全威胁七个方面详细阐述了汽车面临的安全威胁、主要攻击方法和必要防范措施，帮助企业和用户提高网联汽车安全防范技能。

《报告》指出，汽车电子元器件是通过CAN网络连接的，电子元器件之间通过CAN包进行通信。只要抓住了CAN总线，就相当于抓住了汽车的神经，就能对汽车进行控制。电影中令人惊呼的“僵尸车队”就是这么产生的。

《报告》指出，Can-bus总线安全威胁通过逆向工程、模糊测试等方法获得其通信矩阵并破解汽车的应用层总线协议，在不增加汽车执行器的情况下实现对汽车的自动控制功能。

此外，目前一些车型具备手机APP远程控制功能。《报告》指出，2016年，研究人员测试了多家主机厂的远程控制APP的安全性，测试结果显示，目前市面上大多数远程控制APP居然连最基础的软件防护和安全保障都不具备。

这就意味着通过root用户的手机端或者诱导用户下载安装恶意程序，黑客可以很轻易地利用这些远程控制APP窃取用户个人信息及车辆的控制权，从而控制车辆开锁落锁，甚至启动引擎。

网联汽车安全保障缺失的问题已经不是第一次被提及了，也并不仅仅是Android平台。早在2015年，安全人员Samy Kamkar就向公众演示了通过在车内安置一个小硬件来入侵车辆的远程控制APP的手法，实现车主信息窃取及车辆控制权窃取。

通用安吉星，克莱斯勒UConnect，奔驰MBrace和宝马Remote均惨遭被黑。毫无疑问，随着车主通过手机远程控制功能更加丰富，安全风险也必然随着陡增。

《报告》同时指出，目前没有发现Android平台上有相关的恶意软件。不过黑市论坛上已经出现叫卖车主隐私信息的卖家，包括用户名及登录密码，车型及车辆识别码，PIN码等信息。

研究人员的测试大致解释了黑客常用的几种窃取车主信息的手段。因为目前基本上所有类似的远程控制APP的车主个人隐私信息都在不加密的状态下简单地储存在车主的手机中，对此，黑客可以通过root用户手机，作为根用户直接将用户信息发送到后台主机。或者可以诱导用户下载恶意程序，窃取登录信息。亦可以通过其他恶意软件进行“覆盖”攻击，在用户启动APP的同时创立一个伪造的登录界面诱导用户登录，从而窃取信息，此时黑客亦可以进行多重覆盖攻击，窃取用户其余所有的个人信息。

《报告》指出，远程控制APP应该引入多重身份验证，指纹验证或者后台联合验证机制来防止黑客通过恶意代码诱导等手段进行攻击，同时车主信息应当进行加密或分散保存，从而真正提高使用安全性。

（作者：王峰 编辑：李博）

21世纪经济报道及其客户端所刊载内容的知识产权均属广东二十一世纪环球经济报社所有。未经书面授权，任何人不得以任何方式使用。详情或获取授权信息请点击此处。