译者 | 小兵手

编者按：你如果黑进汽车，操纵一个控制单元，比如娱乐系统，通过一些逆向工程技术就可以控制方向盘。随着自主驾驶技术的普及，安全变得越来越重要。原标题“How to hack a self-driving car”。

汽车在路上行驶总会有这样那样的危险，某一天，我们也许可以通过减少人类错误来提升安全感，甚至有希望减少死亡。然而，科技背后站着硬件和软件，它们也许会为黑客打开方便之门。

2019年3月，一辆全新的Model 3汽车停在加拿大Vancouver的酒店前。Amat Cama 和Richard Zhu没花几分钟就钻进了汽车，他们从信息娱乐系统的浏览器中找到一个漏洞，然后黑进汽车电脑。紧接着，他们让系统运行几行代码（自己编写的），没多久命令就出现在屏幕上。

总之：他们成功黑进了特斯拉汽车！

Cama和Zhu钻进汽车，但他们不是小偷，他们就是传说中的“白客”，也就是技艺高超的黑客，专门寻找联网设备或者其它设备的漏洞。对于黑客来说，成功黑进拥有自动驾驶功能的汽车可以算是最高奖励。

在2019年Pwn2Own 年度黑客大会上，攻破Model 3是最终测试。竞赛很诱人：在2019年Pwn2Own大会上，Cama和Zhu在一个名叫Fluoroacetate的团队下工作，二人合作夺得奖金37.5万美元。当然，汽车也归了他们。

按照Pwn2Own的惯例，如果黑客发现安全漏洞会报告给特斯拉，很快汽车公司就会推出补丁。尽管如此，并不代表特斯拉汽车就安全了，它永远不可能安全。让汽车自动行驶，或者要启用自动泊车、变道监控技术，都需要硬件和软件，还要彼此协调。不只如此，汽车还要保持连线状态，随时获取交通数据，与其它汽车连接，然后才能制定决策，下载必要的安全补丁。

研究人员管这些漏洞叫“攻击面”，如果不保护，漏洞就会变成“网络自助餐”，导致人人都可以利用漏洞攻击汽车。计算机科学家Simon Parkinson说：“汽车与汽车交流时牵涉到许多不同的系统。要想真正理解到某人可能会以怎样的方式滥用系统，这是一件很复杂的事。风险永远存在。”

物理学家、数学家、计算机科学家已经开发一些模型，它们可以模拟某些漏洞，但并非没有遗漏。数学家、安全研究员Charlie Miller在2019年的论文中指出：“不论我们如何努力，也不论我们给汽车配备如何复杂的解决方案，在安全方面总是不完美，并非不可攻破。”

一些积极的支持者认为，自动驾驶汽车也许可以增强安全性，拯救生命。但正是同样的技术可能会让生命暴露在新的、未经测试的网络威胁和风险之下。最近的研究发现，如无意外，黑客攻击会导致撞车、致命危害增加。

佐治亚格威内特学院（Georgia Gwinnett College）的物理学家Skanda Vivek甚至向统计物理学求助，他想用这门科学来预测黑客攻击可能的结果，然后开发、提出解决方案。Skanda Vivek指出，任何汽车只要安装联网设备，就有被黑的风险，对无人驾驶汽车来说风险尤其巨大，因为许多汽车功能由计算机控制。

到目前为止汽车制造商还没有开发出真正的无人驾驶汽车，也就是可以在所有公路上合法安全行驶的汽车。这是一个很美好的梦想，但其中充满未知。因为汽车极为复杂，所以研究人员难以掌握所有风险和黑客攻击，所以要增强安全就会变得更棘手。

无人驾驶汽车咨询服务公司Chaos Control的运营者Vivek说：“一旦你黑进汽车，基本上就掌控了所有部分。你如果掌控一个控制单元，比如娱乐系统，通过一些逆向工程技术就可以控制方向盘。”

汽车计算机到来

2014年 SAE International制定一套分级系统，从Level 0到Level 5。如果汽车达到Level 5等级，不需要人干预就可以在任何环境下行驶。

在汽车诞生的前100年里，它基本上就是机械，基本原则就是将燃料变成运动。内燃机输出动力，驾驶员用油门控制速度，配有4个车轮1个方向盘，用刹车降速。

汽车系统出现之后，一切都变了。从那时开始，汽车开始引入电子控制单元，也就是ECU，之后汽车电子系统越来越复杂，ECU数量越来越多。今天的汽车一般配备70-150个ECU。ECU会监控曲轴和凸轮轴，控制气囊，从轮胎和油箱接收信号。还有就是汽车通过Controlled Area Network（CAN总线）互联，这也就为黑客开了一条通道。

有了复杂的计算机系统，无人驾驶变得更加接近。1920年代，工程师第一次远程操纵汽车穿过纽约街道。在1939年的世界博览会上，我们似乎看到了超酷的未来，市民通过巨大的超级高速公路在城市之间穿梭，路上全是无人驾驶汽车，它们利用路上嵌入的电磁场导航。1940年，图书Magic Motorways告诉我们未来的汽车可以自己行驶。

到了今天，我们已经进入21世纪，无人驾驶看起来不再遥远，而且汽车似乎注定会向无人驾驶进化。开发者已经改变观点，认为汽车不只是一种交通运输类型，还是一个平台，我们可以将新的科技应用植入平台。一些研究人员也开始思考另一个问题：伴随着无人驾驶汽车会有怎样的危险？

黑客名人堂

2009年，加州大学圣地亚哥分校（University of California San Diego）和华盛顿大学的研究人员买了两辆新车，里面有复杂的电子设备。研究人员将汽车开到废弃的飞机跑道，然后测试。请注意，研究人员不知道汽车是哪个厂家生产的，也不知道是什么型号。他们将笔记本与仪表板的接口连接，用名叫CARSHARK的特殊开发软件将信息发送到汽车CAN总线，看看能否修改汽车配置。

事实证明有很多配置可以修改。研究人员于2010年5月发布报告，声称他们已经找到一种方法控制汽车显示屏和音量。不只如此，他们还成功篡改燃油表信息、关闭打开雨刷、锁定并打开车门、打开行李箱、按喇叭、不定时喷洒挡风玻璃液体、锁死刹车、打开关闭灯光。研究人员还写了一个计算机程序，里面只有200行代码，程序可以启动一系列自毁项目，屏幕上会显示倒计时，从60到0，然后就会关闭引擎，锁死车门。

2011年8月，看到黑客坐在汽车内操纵汽车，批评者和汽车制造商轻描淡写，说没什么大不了的，同一个黑客团队再次出马，远程黑进CAN总线，既可以通过蓝牙黑进去，也可以通过移动网络。这次黑客行动让人震惊，它首次向世人证明：从理论上讲，我们可以从任何地方黑进汽车。

尽管如此，上述努力还是无法打醒汽车制造商。2012年，研究人员Miller和Valasek黑进2010款福特Escape和2010年丰田Prius。和2010年的破解一样，这次研究人员也是通过物理方式黑进汽车的。丰田在声明中回应称，他们担心的只有无线黑入方式。声明还说：“我们深信自己的系统牢固且安全。”

2014年，Miller和Valasek对许多汽车的计算机信息进行分析，寻找“攻击表面”和网络架构漏洞，看看能否制造混乱。2014年，他们在Jeep Cherokee汽车上找到漏洞。

2015年，研究人员向世人展示，即使舒舒服服坐在家中，汽车在路上行驶，他们也可以控制汽车。随后它们又扫描附近的汽车，发现同一时间路面上有2695辆汽车有相同的漏洞。如果研究人员想瞬间黑进这些汽车也不是什么难事。

Miller在2019年的报告中写道：“你不难想到，这是最糟糕的事情。我坐在客厅就可以黑进很多汽车，在美国可以黑进140万辆汽车。”

模拟测试

受到事件的影响，2015年Jeep发布软件补丁，修复漏洞。就在同一年，又有一个团队控制GM汽车，让Corvette刹车失灵。2016年3月，FBI发布一份警告，提示说汽车存在网络安全风险。

Parkinson指出，一些游说组织、政府机构、汽车制造商开始重视黑客风险。不过造车供应链很长，很复杂，汽车制造商经常将科技功能交给其它企业代劳。特斯拉、奥迪、现代、奔驰及其它品牌的汽车都信赖第三方软件，最终项目的代码可能由几十个编码员编写。和其它联网设备一样，如果你匆匆将产品推向市场，要保证安全就会难很多。

Parkinson说：“功能优先于安全，因为汽车制造商销售的主要就是功能。”他还说，即使厂商后来修复问题，往往也是被动修复，并非提前预测问题。

Vivek说，以前著名的黑客事件针对的都是单独的汽车，现在研究人员正在努力，想看看在真实世界是否可以同时黑进多辆汽车。Vivek是乔治亚理工学院的博士后，他与同事合作建立一个模型，想看看如果黑客同时让多辆联网汽车失灵后果如何，最坏能坏到什么程度。

一直以来，物理学家都很重视交通运输。至少在过去20年里，研究人员研究交通车流时已经将它看作多体系统，也就是各部分是相互影响的。比如高峰期，如果一辆汽车加速或者减速，它会影响后面的所有汽车。物理学家为车流建模，分析交通堵塞，研究证明交通拥堵和冲击波有些相似，如果能进行预测并干预（比如让汽车保持足够间距）可以节省燃料。在一个名叫Intelligent Driver Model的模型中，研究人员可以模拟遵循运动方程式的驾驶员。

最终，研究人员利用IDM系统及其它模型模拟交通状况，有些活动是人发起的，有些是汽车自主发起的。例如，研究人员让汽车拥有变道能力，单辆汽车可以让方程式控制，根据周边交通状况精准回应。变道时，研究人员给汽车植入一个框架，如果变道能够让汽车更接近程序速度，程序就会允许汽车变道。

在开展入侵实验之前，研究人员先模拟测试程序，在虚拟公路上验证，公路有3条车道，里面有汽车，密度不同，车速也不同；验证之后研究人员发现，虚拟测试结果和真实世界观察到的模式吻合。接下来他们继续模拟：如果汽车大面积被黑，而且被黑汽车是随机的，汽车的不同部分失灵，会发生什么严重后果！

在初步分析过程中，研究人员试图搞清如果互联汽车在同一时间全部被黑，会发生什么灾难。在模拟中，至少两种现象会导致拥堵。一种是Clogging，也就是少量汽车可能会停止运动，其它汽车受到影响也会慢慢降速。你不妨想一下，公路边停一辆汽车，车流会受到干扰。Clogging与此类似。还有一种现象就是Percolation，就是说某区域会导致运动完全停止。

在曼哈顿高峰时期，如果有10-20%的汽车停止运动，整个交通会瘫痪。这种现象更像Percolation。Vivek说突然拥堵会给司机带来麻烦，不只如此，消防车、救护车、警车也无法通过。大多时候，如果被黑汽车停止运行，往往会变成大拥堵。

Vivek还说：“现在我们已经知道，即使只有少数汽车被黑也可能会导致交通拥堵。事实上，就算被黑的汽车更少一些，影响也是很大的。就算只有5%的汽车被黑，15分钟内也会导致5x5的网格瘫痪。”

有没有预防办法呢？还是有的。例如，汽车不要连接到同一个网络，它们可以连接到更小、更加本地化的网络，这样一来黑客要作恶就会难很多。

发现黑客

黑客入侵汽车的方式多种多样，专家也没有掌握全部方法。汽车内的计算机如果感染病毒，可能会通过蓝牙、无线连接、手机连接将病毒传播给其它联网汽车。黑客也可能入侵制造商计算机，联网汽车会定期下载软件更新和补丁。黑客可能会利用热点在同一时间黑进多辆汽车。当我们通过汽车浏览器下载App时可能不安全，最终不知不觉将恶意软件装进汽车。

Parkinson还谈到其它一些需要继续研究的风险。许多时候，消费者会购买带有自动驾驶技术的汽车，但他们并不知道如何使用，也就是说当汽车发出警告信息时他们无法理解。Parkinson指出：“我们必须帮助用户，让他们理解正常行为是怎样的。”在过去几十年里，由于计算机手机的普及，当设备和数据流出现问题时，用户能理解，汽车也应该这样。Parkinson解释称，如果汽车落入恶人之手，它会变成武器。本来技术存在的目的是改进体验，但它也扩大了攻击表面，让汽车变得更危险。汽车引入自动驾驶功能和飞机引入自动驾驶有些相似。

Parkinson说：“实际上，自动驾驶要求飞行员为更多事情负责。他们要理解系统，要学会如何掌控。要让自动驾驶汽车买家和用户人人理解并非易事。计算机理解代码，它将代码从输入变成输出，但人类阅读代码并不容易。“

仁慈的黑客正在努力。腾讯旗下Keen安全实验室于2017年黑进特斯拉Model S汽车，2018年又攻破Model X。2020年3月，Keen宣称自己已经可以将恶意代码上传到雷克萨斯NX300的计算机。

Vivek坦言，随着汽车向自主化迈进，风险也会更高。一些专家预测，到了2023年公路上行驶的自动驾驶汽车将会达到75万辆，它们都有可能成为攻击对象。还有一些人估计，到时公路上三分之二的汽车都会存在“攻击表面”，有些是已知的，有些未知。

如何反击

如果你拥有一辆自主无人驾驶汽车，有6个办法可以帮你降低风险：

——修改密码：这个方法最简单，也最有效。2019年4月，一位黑客报告说他成功黑进汽车GPS追踪App，可以让汽车熄火，无数汽车都能进入。怎么做到的？很简单，他用默认密码“123456”进入，车主没有修改过密码。

——部署更多小网络：如果城市联网汽车使用同一张网络，黑客只要攻击网络就能导致所有汽车瘫痪。城市可以部署更多的小网络，替代一整张大网络，这样被黑风险就会降低。

——升级软件：车主应该定期更新软件，这样能降低风险，因为厂商经常会发布补丁，修复漏洞。

——将安全放在第一位：App开发者往往遵循“先发布，再修复”的理念，现在这种做法应该停止。汽车公司应该表明态度，无论谁设计App都应该将安全放在最高位置，确认安全后再装进汽车。

——关闭GPS：GSP攻击就是利用无线电信号干扰GPS定位系统。在军事级保护技术民用之前，我们唯一能做的就是尽量不用GPS。去年黑客证明，他可以骗过车载GPS系统，让系统相信汽车已经到达目的地，从而让汽车停车。

——了解你的无人驾驶汽车：如果驾驶的是普通汽车，出了问题有时用户知道是怎么回事，无人驾驶汽车不太一样。无人驾驶汽车依赖算法和软件，一旦功能不正常很难发现。所以说车主应该好好了解自己的汽车，在危险发生之前排除问题