智能汽车、自动驾驶、无人驾驶等概念的风声水起论证了“汽车行业总是对新科技趋之若鹜”。今天汽车行业正处于一个技术创新的引爆点，智能、联网、大数据、云计算、人工智能诸多新技术开始在其中得以应用，创新不再局限于汽车的机械部件本身，据统计，部分汽车的总体成本中电子及信息系统的占比已经超过了50%，其中一些甚至会运行超过1亿行代码。与此同时，美国独立研究机构波莱蒙(Ponemon Institute)发布的一项有关“汽车网络安全”的报告中预计：未来70%的汽车将因为软件漏洞被召回。
 

　　安全漏洞的存在引发了汽车行业新的安全隐忧，因为近年来，越来越多的黑客将目光投向了汽车。今年7月份两名黑客在家中，通过计算机远程入侵了一辆在公路上行驶的吉普车后，汽车的网络安全问题进入了一个的新时代。
 

　　正如完成上述入侵研究的世界著名黑客查理·米勒所说：“人们也许不能理解入侵浏览器是多么危险的事，但是他们很容易理解黑客控制汽车是多么可怕的事情。”可以预见，未来漏洞、入侵、劫持、破解等网络安全领域的词汇将会越来越多地出现在汽车行业中。
 

　　1、远程劫持行驶中的切诺基
 

　　这注定成为汽车史上的一次标志性事件，从此网络安全已经成为汽车安全的必然组成部分。2015年7月，前美国国家安全局黑客、现就职于“推特”网站的查利·米勒和美国安全公司IOActive的研究人员克里斯·瓦拉塞克，利用美国菲亚特克莱斯勒汽车公司的车载信息服务系统“UConnect”，入侵了一辆在公路上行驶的汽车。他们通过远程的方式打开了汽车的空调、广播和雨刮器，接着控制了汽车的油门、刹车和转向，彻底接管了这辆汽车的驾驶权。随后美国菲亚特克莱斯勒汽车公司宣布在美国召回140万辆存在漏洞的轿车和卡车，以防有黑客通过互联网远程控制操控车辆。

　　 

　　2、利用一条短信黑掉雪弗兰科尔维特汽车
 

　　加利福尼亚大学在圣地亚哥分校的研究小组又发现了一种攻击汽车的新方法，利用这种方法黑客可以控制雪弗兰科尔维特汽车的一些特性，而攻击方式非常简单，只需发送一条短信即可。研究人员成功入侵了2013年生产的雪弗兰科尔维特的OBD-II端口，该端口是一个支持接收短信功能的移动设备;这一成功证明了他们所提理论的正确性和可行性。这种端口通常会包含一个软件狗，保险公司会用它来跟踪车辆的活动或汽车的驱动效率。 该研究小组攻击了Mobile Devices生产的该设备，最终该小组不仅能输入毫无恶意的指令，同时也能向其发送包含风险的恶意指令。例如，削减刹车、激活雨刷等。不过，汽车厂商已经修补了存在于这个移动设备中的漏洞。

　　

 

 

　　3、通用用5年时间修复了一个OnStar车载系统漏洞
 

　　早在2010年，安全专家Karl Koscher就发现了通用汽车公司的OnStar车载通信管理系统存在安全漏洞，拨打和OnStar系统相关联的手机号码后播放一段恶意音频，就能触发缓冲区溢出进行sub-sequentially访问并获得对整车系统的完全控制。
 

　　时隔5年，通用汽车公司联合美国国家高速公路交通安全管理局共同修复了该漏洞。根据通用汽车公司的声明，公司事实上早在2011年的时候就曾尝试修复该漏洞，他们和美国最大电信运营商Verizon合作，尝试组织来自OnStar系统的所有网络连接访问任何非通用服务器的IP地址。这个解决方案不知为何原因失败了，随后公司在2015年上半年开始对已经部署在车辆中的OnStar 8系统使用OTA更新进行修复。
 

　　而7月份，安全专家Samy Kamkar上传的视频中展示了一款名为OwnStar的设备，声称可以监控和拦截通用公司旗下OnStar RemoteLink应用和任何装备OnStar系统的汽车之间的通信，OwnStar的尺寸和路由器相仿，当攻入成功后，这个小盒子能够让攻击者对OnStar做任何事情，包括远程定位车辆，解锁车辆，甚至是发动引擎。随后通用汽车迅速推出了新款补丁，但Kamkar表示该补丁并不完全，汽车依然容易存在漏洞，通用公司也证实了这条消息。

　　

 

 

　　4、比亚迪被逼关闭云服务事件
 

　　6月份，乌云漏洞平台、360补天漏洞平台曾曝光比亚迪云服务存在严重漏洞，黑客可以利用该漏洞完全控制车辆，任意获取车主姓名、车牌号、车架号、身份证号、手机号甚至第二联系人姓名等信息和车辆控制密码。随后6月18日的HackPWN上有安全人员演示了利用该漏洞控制比亚迪汽车。
 

　　随后比亚迪官方确认比亚迪车辆云服务应用存在漏洞，不过在HackPWN开幕时，比亚迪紧急向用户发布通知，将在8月21日上午10点到13点临时关闭比亚迪云服务。因此此次破解安全专家无法现场破解演示控制指令。
 

　　不过，根据安全专家刘建浩录制的视频显示，通过比亚迪存在的漏洞可以用手机打开车门、启动并开走，还可以开启车内空调，甚至开启或关闭后备箱，而这是手机APP中没有的功能。此外他还能向比亚迪发送“自杀”指令，控制汽车引擎造成人员伤亡。

　　

 

 

　　5、日本教授通过手机对联网汽车发起DDoS攻击
 

　　12月初，日本广岛城市大学信息科学研究生院的副教授Hiroyuki Inoue，展示了如何利用一个APP和一个定制的WiFi设备来攻击一辆联网的2013年的丰田花冠Corolla Fielder Hybrid，控制汽车车门、速度计显示和加速器。这个定制的WiFi设备仅花费75000日元或82美元，教授会将其插入到汽车方向盘附近的OBD端口中，该端口允许汽车技工进行汽车维护，并直接附加到汽车的内部CAN总线，该总线是所有数据的中心。一旦安置了该端口，教授就可以将设备连接到智能手机上，并以此控制汽车做任何想做的动作。这还没完，该教授甚至能够通过发送大量数据对汽车发起DDoS攻击，从而使整个汽车瘫痪。

　　

 

 

　　6、奥迪TT的气囊系统被入侵控制
 

　　10月份，一个由CrySyS实验室的András Sz ijj和Levente Buttyán，匈牙利布达佩斯大学的Zsolt Szalay组成的研究小组，利用大部分汽车都使用的第三方软件中的一个0day漏洞，已经成功入侵了汽车的安全气囊系统和其他的功能。
 

　　他们演示的汽车型号是大众汽车公司的Audi TT，事实上，其他任何品牌的汽车都存在这种安全隐患。因为这个漏洞存在于被汽车广泛使用的第三方汽车软件上。很多机修师都会使用这个第三方软件来诊断汽车问题。
 

　　攻击者将FTDI DLL(用于和诊断导线通信)替换成了一个含有恶意代码的版本。一旦感染了恶意程序，攻击者就能控制汽车的诊断系统，甚至可在驾驶员不知情的情况下打开或者关闭某些功能。而且在关闭安全气囊之后，还可以不断的向诊断应用报告安全气囊是打开的。

　　

 

 

　　7、加拿大军方巨额悬赏破解汽车系统
 

　　10月份，加拿大国防部悬赏的63.5万美元招标，聘请黑客入侵汽车系统。该部门解释道，相关的团队可以为他们找到自己的汽车和卡车的弱点。加拿大军方的合同将包括黑客对于2015年的轻型皮卡车系统的破解分析，黑客们必须找出其中的漏洞，并展示汽车是如何被黑客入侵的。这项工作将由国防研究与发展部在魁北克市的Valcartier研究中心完成，由国防部门提供车辆和软件。
 

　　国防部表示：“网络攻击对于像个人电脑和服务器之类的信息技术通常会导致物质性的损害，如信息和资金的丢失，变更和被盗，还有操作系统的破坏。但是对于汽车系统，网络攻击会导致他们的用户在路上可能受到威胁，以及其他用户的安全性问题等更为严峻的隐患。”