对话白帽黑客 Charlie Miller：智能汽车的信息安全如何保证？

2018 年，整个汽车行业所有人都在谈论智能化、网联化......却没有多少人谈论汽车变得智能后会衍生出的一个大问题：信息安全问题。

今天的两位主角，是全球知名的白帽黑客、顶级安全专家 Charlie Miller 和 Chris Valasek，两人如今的 Title 都是通用 Cruise 自动驾驶汽车首席安全架构师。 这两位的履历有多强悍呢？

2012 年，Miller 和 Chris 开始研究入侵丰田普锐斯和福特 Escape 车型的 CAN 总线协议

2013 年底，他们入侵了吉普车型的 Uconnect 车载系统，还入侵了凯迪拉克 Escalade 和英菲尼迪 Q50

2014 年，两人的注意力重新回到了吉普 Cherokee 车型身上，开始破解 CAN 总线协议

2015 年，Miller 和 Chris 联手干了一件震动汽车行业的大事。

两人利用克莱斯勒 Uconnect 车载系统的漏洞，为 Cherokee 车型刷入了带有病毒的固件，并向 CAN 总线发送指令控制汽车。通过OBD接口黑进了 ECU 系统，远程接管了这台车的加速、制动和转向。

最终吉普母公司 FCA 集团耗资数亿美元在全球召回 140 万辆车进行返厂升级。

12 月 18 日，Miller 和 Chris 出席了腾讯汽车 2018 全球汽车 AI 大会并发表演讲，会后我们跟 Miller、Chris 和腾讯科恩实验室总监吕一平做了交流。

Miller、Chris、吕一平

科恩实验室我们相对熟悉了，这家 2016 年 1 月才成立的年轻实验室连续两年入侵了特斯拉 Model X，2018 年，科恩实验室攻入了宝马车载信息娱乐系统(Head Unit)、车载通讯模块（T-Box）和车载中心网关(Central Gateway)三大模块，涉及车型包括 i系、X系、3系、5系、7系等。

问：2015 年至今，整个汽车行业是否在加大对汽车安全性的重视？

Miller：从我们和汽车厂商合作伙伴的一些非正式的对话当中，我们可以看到，现在确实有了很大的不同。他们在做大量的研究、在倾听更多的声音、在汽车安全方面投入了更大的预算。不好百分之百的说怎么样，但是从我们和很多工程师的非正式对话当中来看，现在确实有了很大的不同。

Chris：我们最开始做这个事儿的时候，车企甚至都没有设置专门用来接收相关（安全）问题的公开邮箱地址，甚至你都不知道，如果发现了他们汽车有安全问题，你该给谁发邮件来反应这个事。所以，这确实是一个进步。

问：自动驾驶汽车分为单车智能（依赖车辆传感器）为主和网联智能（依赖 V2X 技术）为主，从安全的角度看这两种技术路线有什么差异？

Miller： 我想这里面应该有两个层面的问题，一个是工程设计——设计是否能够满足要求，一个是安全性。那么对于工程设计来说，那肯定是信息越多越好，但是我们并没有那么多的路侧传感器——至少在美国是这样的。所以现在唯一能够实现它的方法就是车载传感器、车载雷达，让单车更智能，应用更多的技术。

Chris： 从安全性的角度来说的话，我们一直都比较担心的就是，与外界的通信，因为这个（的稳定性）会取决于外界。比如（对方的）代码可能有错，那么就可能将错误的数据在彼此之间进行传输。

Miller： 如果你的车更依赖于来自路侧信息的输入，或来自交通灯、或外界其他别的传感器的信息，那么你的车就无法封闭错误数据传输的入口。

所以从安全性的角度来说，我们还是希望汽车能更独立一些，尽量保证安全。Chris 刚才也提到了安全性，像 iPhone 是安全性很好的，所以我们希望汽车也像 iPhone 一样。自已能实现驾驶、完全自主化，不是很依赖于外界信息的输入，因为这样相对更安全一些。

问：从 Uber 到滴滴再到 Cruise，从业公司从出行平台转换到主机厂，你们工作的内容和看待汽车网联安全问题的方式有没有变化？

Miller： 当然是有变化的。之前在 Uber 的时候，我们用的是沃尔沃的车，我们对沃尔沃车型所能产生的影响是非常小的，如果我们想在车上修改哪些功能，我们可以跟他们提建议，但是他们完全可以不理我们。

现在和通用合作了，我们已经成为他们的一个部门了，合作起来也更紧密了，我们可以直接跟他们提出修改建议，双方的关系更加紧密了。

Chris：之前我们只有是向厂商提供一些安全功能的建议，但是现在我们可以直接跟通用汽车项目上的工程师沟通，把我们的功能直接设计到里面，而不再是像之前的那样简单把建议提交上去。现在这种方式更加有效了。

吕一平：原来跟主机厂的车是做工程化，现在直接对接的是车的研发环节，所以他们可以把安全的能力直接放进去了，而且也在主机厂工程师的要求里。

Miller：对于出行平台来说，安全性的提升是有很大潜力的，因为汽车制造的流程是非常长的，我们在 2018 年所购买的汽车，其实都是 5 年前设计的，所以它上面所采用的安全技术也都是 5 年前的。

但是我们所设计的新的汽车技术软件，这个就是今天最新的，所以我们可以提供最新的安全技术，所以很明显，我们可以做得更多。

Chris：很多时候这个是跟“关系”密切相关的，是在你的组织内部，不是来自组织外部的 OEM，或汽车零部件供应商。所以如果关系更近，那么用时就会更短、效率就会更高。

问：一家中国的新造车企业说他们的车型搭载了独立的安全芯片，这个独立芯片指的是什么？在汽车信息安全技术上有多重要？

Miller：我们称之为硬件安全模块，或可信任硬件模块。我们经常使用这种技术。我们把密钥存储在硬件的某个位置，我们可以随时获取这个密钥。即使黑客进入了我们的系统，虽然他们可能可以使用这个密钥，但是他们并不能把这个密钥取走，所以我们确实是可以利用这一个特性。

有时候会是一个独立的芯片，其他的时候则是可信任区域技术。一个问题是，独立硬件芯片并不完美，所以并不是不能被黑的，只是被黑的难度高了一点。

Chris：只是成本更高一些而已。

吕一平：即使你有安全芯片或者芯片带有安全功能也不意味着这个东西是不能被攻破的，只不过攻击的成本可能会高很多。因为已经从软件层面深入到硬件层面的安全研究和分析了。所以这个攻击的成本和时间可能会高。但并不意味着完全没有问题。

如前面提到的，汽车信息安全问题正在变得越来越重要，吕一平介绍说，很多车企都加大了对该领域的投入。

在互联网领域，一个不成文的惯例是，大公司都会有安全应急响应的流程和机制，有对外沟通的渠道，当外界发现系统漏洞的时候，企业会有对应的奖金和激励。

如今的汽车行业，特斯拉、FCA、日产、奥迪、通用都有类似的应急响应机制和激励计划。另外，吕一平提到宝马在汽车安全性方面投入很大，做了很多工作，“应该是（行业）前5% 的。”

事实上，在科恩实验室提交安全漏洞后，特斯拉给予了科恩实验室 4 万美金的奖励，并将科恩实验室列入了特斯拉安全研究员名人堂。Elon Musk 本人发亲笔信致谢科恩实验室。

在科恩实验室向宝马提交了前文提到的漏洞后，宝马表示该研究是“迄今为止由第三方机构对宝马集团车辆进行的最全面、最复杂的测试”。宝马为科恩安全实验室颁发了“宝马集团数字化及信息技术研究奖”。

车企应该如何加强信息安全的布局呢？根据科恩实验室的统计，市面上的不安全车型中大约 45% 的问题和不安全的技术架构有关，55% 的问题是代码的问题。有 45% 是来自于安全架构本身设计得不合理。设计上就没有考虑太多的安全性。

所以说加强安全设计或者是加强安全代码这两方面都是很重要的。期待中国车企的表现。