2020-06-12
【汽車黑客】無人車成黑客攻擊目標,癱瘓交通,構成巨大安全隱患!
大家在出門上班前,用手機APP電召無人自駕的士(RoboTaxi);帶著惺忪睡眼登上車廂後,再也不用顧忌司機目光,就可以一覺睡到公司門口——自動駕駛技術為大家描繪出一個理想的智慧出行畫面。但伴隨無人車一路發展而來,還有「汽車黑客」。他們能夠通過無線網絡入侵自動駕駛系統,奪去車輛控制權,對智慧城市構成巨大的安全隱患。
2017年上映的荷李活電影《狂野時速8》(The Fate of the Furious 8)中,黑客隨意在鍵盤上輸入幾行程式碼,便可遠程遙控汽車集體跳樓!時至今日,具備局部自動駕駛功能與網絡連線能力的汽車,已漸次進入市場。國際市調機構Gartner估計,這種新類型車輛在2020年的銷量將超越普通汽車,可望達至6,100萬輛,總計全球數量會高達2.5億輛。電動車大廠特斯拉(Tesla)創辦人暨執行長馬斯克(Elon Musk)更豪言,2020年底前將會有100萬輛Tesla自駕的士在路上行駛。
當汽車愈趨智慧化、網絡化,隨之而來的安全問題亦日益浮現。2019年3月,美國喬治亞理工大學(Georgia Institute of Technology)發表黑客入侵汽車所帶來的風險研究報告。研究團隊利用物理學的滲透理論,模擬黑客藉網絡入侵手段,挾持紐約曼哈頓街道上汽車的情境——被入侵的汽車停在路上,成為其他車輛無法繞過的障礙物,造成大規模的交通擠塞。
研究人員指出,黑客甚至不用入侵路上的所有車輛,只要讓其中20%熄火,便足以令城市交通完全癱瘓。部分駕駛者或許仍可緩慢行駛,惟卻無法在街道上穿梭往返。如此一來,這個城市便會變成一座孤島,沒有人可以駕車離開,前往其他地方,致使經濟活動停擺,帶來重大的經濟損失。
2019年7月,美國消費者權益組織Consumer Watchdog發表的調查報告指出,2022年美國將會有三分二車輛擁有網絡連線功能,假如在交通繁忙時段遭受大規模網絡攻擊,可能會觸發911等級的災難,導致3,000人死亡。因交通陷入癱瘓,救護車無法及時趕到現場進行救援,有機會令傷亡情況進一步惡化。
這兩份來自不同機構的報告均指出,假如黑客對車輛發動攻擊,即可癱瘓路面交通。可是,汽車真的那麼容易被黑客入侵嗎?對黑客來說,答案是易如反掌!
早於2015年的「Black Hat USA」黑客大會上,黑客高手Charlie Miller與Chris Valasek示範如何從10公里外入侵一輛佳士拿Jeep Cherokee,遠程控制其轉向、剎車、雨刷、門鎖開關;同時又重設車輛的速度表和轉速表,並調控了引擎運轉。當時兩位高手更揚言,可針對任何連接到美國電訊商Sprint網絡的Jeep,做出同樣的遠程入侵。結果,害得快意佳士拿(Fiat Chrysler Automobiles)要緊急回收受影響的140萬輛Jeep休旅車,也迫使Sprint要切斷為車輛提供的網絡連線服務。
Black Hat USA 2015黑客大會上,Charlie Miller(右)與Chris Valasek即場示範如何遠程入侵一輛Jeep Cherokee,結果一戰成名,現已雙雙被通用汽車Cruise羅致旗下。(圖片來源:Kaspersky官網)
Black Hat Europe 2018黑客大會上,豐田技術團隊所展示的汽車安全測試台「PASTA」,可被收納到一個8公斤重的金屬手提箱內,以便攜帶。(圖片來源:Black Hat 官網)
2016年,騰訊旗下科恩實驗室將Tesla Model S自動駕駛系統接駁到有問題的Wi-Fi熱點,再通過網站入侵自駕系統,成功在19公里範圍內遙控汽車的轉向燈、座椅和門鎖系統;更可怕的是,甚至連煞車系統也可玩弄於股掌之間。2017年,科恩實驗室再度以遠程入侵方式,奪得Tesla Model X的操控權,讓車輛在高速行駛狀態下突然熄火。特斯拉隨即針對上述漏洞作出修補。
Tesla執行長Elon Musk宣布,自2020年7月1日起,自動駕駛系統的選配價將調升到8,000美元(約62,400港元);只要安裝此系統,日後特斯拉車主就能讓愛車變成自駕的士,賺取外快。(圖片來源:翻攝Tesla官方YouTube影片)
2019年,有匿名黑客向《福布斯》投函,公開其發現的保安漏洞,聲稱只要按下一個按鍵即可關掉25,000輛汽車的引擎,迫使相關的汽車公司進行了一連串的補救措施。
日後,當無人車正式上路後,上述問題將會變得更加嚴重。自駕車車身裝設大量感測器,每組感測器均裝有自家系統,令車內網絡節點變得更多;對黑客來說,在眾多小系統中選擇其一攻破,總比攻破一整輛車的大型系統要容易得多。另外,為配合自駕車運作,智慧城市內將會架設車聯網(Internet of Vehicles),負責向車輛收集和傳送路況資訊。如此龐大的汽車互聯平台,一旦被黑客入侵,便可一舉制伏路面上所有汽車。
當然,各大車廠不會坐以待斃,現時已採取類似驗證電腦系統安全性的措施,透過網絡攻防演練來尋找漏洞,力求排除潛在隱患。特斯拉自2014年起推出漏洞賞金計劃,只要有黑客找出其車載系統的安全漏洞,就可獲得10,000美元(約7.8港元)的獎金;2018年,賞金金額已增至15,000美元(約11.7萬港元)。2019年,Fluoroacetate團隊在「Pwn2Own」世界黑客大賽上成功入侵Tesla Model 3,特斯拉更送出一輛 Model 3以作獎勵!特斯拉藉此找出車輛的各式破綻後,便會針對性地作出改善,例如引入數碼鑰匙加密技術、軟件加密驗證等。
Fluoroacetate是一個由安全專家Richard Zhu(左)與Amat Cama組成的團隊,在Pwn2Own 2019大賽上只花數分鐘便攻破了Tesla Model 3的安全漏洞,成功控制車輛。(圖片來源:Zero Day Initiative推特帳戶)
因為Fluoroacetate團隊找出Tesla Model 3的安全漏洞,所以特斯拉決定將這輛被成功入侵的車輛獎賞給他們。(圖片來源:Tesla官網)
通用汽車(General Motors)於2016年亦已啟動漏洞懸賞計劃,不僅提供獎勵給回報漏洞的黑客專家,更會邀請他們參加研發中汽車的行車測試。豐田汽車(Toyota)也於2019年釋出便攜型汽車安全測試台「PASTA」,旨在幫助網絡安全專家探索汽車系統的安全漏洞。
通用汽車旗下的無人車技術公司Cruise現正於美國三藩市進行自駕車載客測試,為日後推出的自駕的士服務做好準備。(圖片來源:Cruise官網)
上述舉措是否足以應付汽車黑客攻擊,仍有待觀察。更值得關注的是,各家車廠和無人車公司有否將網絡安全列為自動駕駛的優先處理事項——廠方有責任在車輛上路前堵塞一切漏洞,並嚴防黑客藉入侵手段來挾持汽車,以保障道路使用者的人身安全。
【你點睇】陳美寶、羅淑佩分別被任命為運物局及文體旅局局長,你是否認同新任命有助香港鞏固物流樞紐地位及促進旅遊經濟?► 立即投票