FBI向美國民眾發出警告黑客攻擊車載系統不再是演習

■ 文 /chulong

FBI向美國民眾發出警告黑客攻擊車載系統不再是演習

■ 文 /chulong

聯邦調查局和美國交通部還給民眾提供了一些防護建議：必須要實時更新自己的汽車軟件；盡量避免安裝一些未經授權的車輛軟件；在汽車網絡中連入一些設備時，必須格外小心等等。

前不久，據一則新聞報道：一位美國公民駕駛著他的2014款切諾基，行駛在圣路易斯州的高速公路上時，切諾基的網絡系統突然遭到了黑客攻擊。

黑客用遠程設備控制了該系統，并切斷了他與外界的聯系。現在，FBI已經介入了此事的調查，同時還對美國民眾發出了警告，讓他們要對這種針對車載系統實施的網絡攻擊，給予高度的重視，因為它是真實存在的風險。

不久之后，美國交通部（DOT）、美國國家公路交通安全管理局（DTNHTSA）、聯邦調查局（FBI）等部門一起發布了一項公共服務公告。

公告中表示：“FBI和NHTSA現在警告美國公眾及汽車、汽車配件和售后設備制造商——應該警惕現代汽車聯網技術帶來的潛在問題和網絡安全威脅。”

該公告稱：“現代化的汽車通常包括一些全新的聯網汽車技術，其旨在提供諸如提升燃油經濟性或增強整體便利度的附加安全功能。而消費者后期購買的設備也能為消費者提供一些新功能，用來監控車輛的狀態等。不過隨著連接性的提升，對消費者和汽車生產商來說，對潛在的網絡安全威脅保持警惕至關重要。”

FBI和NHTSA還在公告中提出了一些建議，以減少汽車遭受網絡黑客攻擊的風險。這些小貼士包括及時更新軟件來修補安全漏洞，并避免在未經授權的情況下修改汽車軟件；在修改軟件時保持謹慎；同時在將不安全的第三方設備接入汽車網絡時要格外小心。

該公告稱，廣大汽車和卡車司機必須要對這種新的網絡攻擊威脅，引起重視并加以防護。

在該公告中，并沒有披露任何的，關于相關機構對車載系統襲擊事件調查的細節，而是在其中引用了一份2015年車載系統襲擊調查報告，它給人們提供了一些如何防止車輛遭到攻擊的措施，以及當你發現你的汽車遭到了網絡攻擊，你應該怎么辦，其中一項就是迅速向FBI報告，向他們尋求幫助。

PSA（標志雪鐵龍集團，一家法國私營汽車制造公司）表示：隨著汽車制造技術的不斷革新，現在的汽車中通常都包含很多新的車輛網絡連接技術。

之所以在汽車制造中加入這些高科技技術，就是為了給用戶提供便利，比如：增加安全功能、提高燃油的經濟性能、以及在整體性上作出了更大的改變。一些售后設備也為消費者提供了一些新的功能，這些功能能幫助他們對自己的愛車進行實時監測，了解運行狀態。然而，這也是一把雙刃劍。

（1）假設數據集 D={x1，x2，…，xn}的維數為d，網格u為邊界稠密網格，考察其鄰近網格單元是否存在稀疏網格單元u′，若存在則進行步驟（2），否則不作處理；

這些新增的科技技術，也給網絡黑客們創造了實施攻擊的機會。正如PSA公司所說的那樣，消費者和汽車制造商必須時刻注意這種潛在的網絡安全威脅。

在公告中，聯邦調查局和美國交通部還給民眾提供了一些防護建議：必須要實時更新自己的汽車軟件；對那些需要用戶提供汽車相關信息之后，才能安裝軟件安全補丁的請求，應提高警惕；盡量避免安裝一些未經授權的車輛軟件；在汽車網絡中連入一些設備時，必須格外小心，要事先確保設備的安全性等等。

這些防護措施其實就是從去年發生的一起車載系統攻擊事件中，總結出的經驗教訓。

2015年7月，兩名叫做查 理· 米 勒（Charlie Miller）和克里斯·瓦拉塞克（Chris Valasek）的黑客攻擊了克萊斯勒（Chrysler）公司的一款吉普車。

之后，克萊斯勒公司迅速發出了一則召回聲明，召回了140萬輛該款吉普，同時向那些遭到攻擊的客戶寄去了新的，帶有及時軟件更新驅動程序的U盤。

8月份，來自圣地亞哥加州大學的研究人員發現，在Corvette（克爾維特，雪弗蘭公司在2015年推出的一款跑車）的車載系統中存在漏洞。

公告中還指出：就像你不會將自己的個人電腦或智能手機放在一個不安全的環境中，或是借給一些你不信任的人一樣，司機們盡量不要將自己的愛車借給陌生人使用，這樣，在一定程度上，就能夠降低被攻擊的風險。

而最重要的是，你必須時刻對那些能夠訪問你的車載系統的人，保持足夠高的警惕性。

克里斯·瓦拉塞克（他也是Jeep-hacking事件的調查員）表示，在FBI發表的聲明中，新的信息少之又少，但他說：“FBI認為，對于那些還沒有認識到車載系統正面臨著數字攻擊威脅的用戶來說，這其實才是真正可怕的地方。

我們要對針對車載系統實施的網絡攻擊，給予高度的重視，因為它是真實存在的風險。

因為比起真正的黑客攻擊，用戶對攻擊威脅的毫不知情，才更為令人擔心。

對于這一點的重要性，FBI強調的太遲了，但也告訴人們，應該認真地看待FBI發表的聲明。”

Valasek 還表示：“該公告中最重要的部分，就是公告中提出的要求了。具體為：一些用戶懷疑黑客侵入了自己的車載系統，并通過其進入了FBI、汽車制造商以及美國國家公路交通安全管理局的相關系統，進行用戶信息篡改和用戶刪除等非法活動，因而他們要求對自己的賬戶進行檢查。直到現在，我和我的‘合作伙伴’Charlie Miller就像掉進了一個信息漩渦之中，整天都會收到大量的信息。在這些信息中，有些有一定的可信度，有些則是無稽之談。而這些信息的發布者都是那些堅信他們自己是車載系統攻擊事件的受害者。同時，Charlie和我每天都會收到一些電子郵件，郵件內容大致都是：你們兩個混蛋攻擊了我的車載系統！”

克萊斯勒公司在一項聲明中稱，該公司“絕不相信公開有可能鼓勵或幫助黑客非法攻入汽車系統的信息是合適的，也絕不會容忍這種行為”。

克萊斯勒公司已經與米勒和瓦拉塞克溝通數月，并在上周發布了據稱可以修補安全漏洞的補丁包。

米勒表示，將研究結果公之于眾是想通過引發公眾關注來提高汽車的安全性能。

“我們所能做的就是指出這些汽車的安全漏洞，讓生產商的研發人員攻克這些問題并提出好的建議。”米勒說。

雖然并不清楚有多少汽車會受到影響，米勒和瓦拉塞克相信他們的攻擊方式在所有搭載UConnect車載信息系統的汽車上都是奏效的，這涉及克萊斯勒公司2013年底至2015年生產的多種新品系汽車。