通用特斯拉纷纷中招

上个月底克莱斯勒被Charlie Miller Chris Valasek联手破解的事件似乎打开了一个开关，通用、特斯拉纷纷中招，还有黑客发现了可以在品牌之间无差别攻击的手段。黑帽大会+USENIX安全会议，也公布了一个又一个让车企们胆跳心惊却还要表现得面不改色的安全漏洞。

随着联网功能、近场通讯手段的愈加增多，上可被攻击的地方也越来越多。要攻破一辆汽车的防线，能从哪些方面入手？汽车制造商和供应商们又该怎么防止入侵呢？在逐个分析完破解案例之后，下面进入总结篇。

安全攻击案例的一夕爆发打了车企们一个措手不及，黑客希望藉此引起车企、乃至汽车行业对于信息安全重视的目的，也达到了。

但是这种方式，也难免让一些人走上极端，把信息安全妖魔化：以信息安全为矛进行攻击，引起过分担忧；一味强调自身的安全性能，把攻击破解的案例视作歪门邪道。不论是哪一种，都难免让围观者依旧不明真相。

其实，前人给了很好的案例。现在在汽车上发生的事情，在互联网、移动互联网新兴的时候同样发生过，这也是车联网时代必须要面对、无法回避的一个过程。车企究竟要为信息安全交出多少学费，需要考量的因素也不止一个。

第一弹：安全破防之后果

评估一个事项的重要程度，要看能够引起什么后果。从今年的这些案例之中，以及过往的研究中，不难发现，在汽车上，后果基本分三个方面：

1.隐私数据的泄露带来的间接财产损失

对汽车的远程攻击类大多都能够做到，尤其是从车载系统、车联网服务App为入口开始的攻击。与个人而言，隐私数据可能是个人的身份信息，或者账户信息，有可能带来个人的财产损失；从企业来说，可复制类攻击能够拿到的绝对不止一个人的数据，也不止限于用户信息数据，对于企业的竞争力与发展来说，皆是威胁。

2.直接财产损失

遥控钥匙与点火防盗系统的漏洞均属于此类，或者打开车门拿走车中财务，或者连车一起拿走。

.人身安全威胁

所有能够入侵到CAN总线底层核心功能，远程控制车辆的转向、加速与刹车的攻击都能够对人身安全造成威胁。

对人身安全的威胁危害性大，所以极容易被车企们所否认，并反复强调车辆的安全性能，同时也因为在现实生活中发生概率之低及发生场景之少，也成为车企的借口之一。毕竟真正意义上的黑客攻击，还是利益至上，单纯为了危害生命而危害生命的，并非没有，但是都属于特殊人群才需要考虑的事情。

相比之下，隐私数据的泄露带来的间接财产损失与直接财产损失对于普通大众来说，是更可能发生的事情。而且这一类攻击不会涉及到车辆核心功能的远程控制，无需突破CAN总线就可以达成，实现起来也更加简单。

后果 的另外一个层面，是要如何去修复漏洞。有些漏洞，看似简单，但是却涉及到基础架构问题，堵上一个入口难免会被发现第二个，防不胜防；而有些漏洞，直指底层，比如密码和通讯协议的破解，虽然可能只需要更换一个小小的硬件，但是涉及面广、伤筋动骨。这些都是车企们最不愿意看到的。

不同的损失对应不同的方案，想要面面俱到，就得从底层做起。