自动驾驶等汽车科技日趋普及 成为CIA攻击通道

据PCWorld网站报道，维基解密披露CIA(美国中央情报局)探索攻击汽车计算机控制系统，让消费者感到担忧，尤其是越来越多新汽车和卡车在出厂时都带有自动驾驶功能的情况下。

隐私权保护组织电子前线基金会(Electronic Frontier Foundation)律师基特•沃尔什(Kit Walsh)表示，“考虑到汽车上安装有大量计算机，我认为这是一种合理的担忧。CIA、其他情报机关或犯罪分子，没有理由不能利用这些计算机系统中的缺陷，损害用户利益。自动驾驶汽车被攻击的风险更大。”

维基解密上周披露据它称来自CIA网络情报中心的逾8700份文档，部分文档揭示，CIA已经在考虑利用智能手机、智能电视和车载计算机系统中的安全缺陷。

维基解密称，“截至2014年10月，CIA还在考虑入侵现代汽车和卡车中的车辆控制系统。虽然攻击的目的没有被明确说明，但它使得CIA能实施几乎无法被发现的暗杀行动。”

维基解密还指出，2014年的会议记录列出了CIA嵌入设备分部的“潜在任务范围”。会议记录提到了“Vehicle Systems”(车辆系统)和“QNX”——用于车载信息娱乐系统的黑莓汽车软件平台。

越来越多的汽车厂商采用QNX软件。例如，福特2016年宣布将不再把微软软件作为其SYNC信息娱乐系统的平台，而换用QNX。福特采用QNX的SYNC 3，去年夏季开始被应用在新车中。

PCWorld表示，汽车厂商还一直为汽车提供无线软件更新功能，为恶意代码感染车载计算机系统提供了可能性。

政府的任务是保护美国民众

沃尔什表示，美国政府的任务，是探索安全缺陷，使厂商了解可能的危害，而非利用安全缺陷为非作歹。

2014年，奥巴马政府向美国民众保证，被称作“Vulnerability Equities Process”(以下简称“VEP”)的政策，禁止联邦机构对受影响的企业隐瞒“重大”安全缺陷，尤其是可能危及消费者权益的缺陷。被安全机构利用的任何安全漏洞，只能用于国家安全目的。

沃尔什表示，“联邦机构应当披露安全缺陷，以便相关厂商能修正缺陷，保护美国民众的安全。这是联邦机构不遵守政策，使民众面临缺陷威胁的例子，目的仅仅是方便它们利用这些缺陷。以前美国政府就这么干过。”

去年，一个自称Shadow Brokers的组织发布了部分疑似NSA(美国国家安全局)用于“翻墙”网络防火墙的攻击工具，其中包含与数个之前没有被披露的安全缺陷(也被称作“零日缺陷”)有关的信息。

路透社在一篇报道中称，这些NSA工具旨在利用由思科和Fortinet生产的广泛普及的网络产品中的缺陷。

电子前线基金会发表博文称，目前，从理论上说隐瞒还是披露安全缺陷的决策受制于VEP，但由于这一政策对政府没有约束力，因此不具有权威性。

密码和计算机安全专家布鲁斯•施奈尔(Bruce Schneier)表示，现在需要解决的是政府合规问题，“这是一个大问题，它直接对世界产生影响，会危及民众财产和生命安全”。

施奈尔表示，他不怀疑CIA为发现监视民众和暗杀敌人的方法而利用了零日缺陷。

他说，“我认为这件事最坏的影响是，它表明——就像Shadow Brokers揭示的那样，奥巴马政府有关VEP优先于防卫的保证，是彻头彻尾的谎言。”

《华盛顿邮报》刊文称，维基解密披露的CIA攻击努力的目的无法获得独立证实，CIA也没有证实自己实施了这类活动。

PCWorld称，在数次善意攻击行为表明汽车能被远程攻击和控制后，车辆电脑系统安全受到汽车厂商和立法机构的重视。

据市场研究公司Navigant Research称，现代汽车安装有数十台计算机，运行多达1亿行代码，平均而言，每1000行代码中可能隐藏有15个安全缺陷，它们都可能成为黑客入侵的后门。

专家称，由于更多车型配置手机、WiFi和蓝牙连接，它们更容易受到黑客攻击，黑客可以利用无线监控设备或通过互联网发动攻击。

市场研究公司Gartner预测，到2020年，路上将有2.5亿辆无线“联网”汽车。

例如，2015年，安全专家查理•米勒(Charlie Miller)和克里斯•瓦拉赛克(Chris Valasek)与《连线》杂志合作，进行了远程入侵、控制一辆吉普•切诺基的车载信息娱乐系统和更关键功能的演示。

他们两人都是富有经验的IT安全研究人员。米勒是前NSA黑客和Twitter安全研究人员，瓦拉赛克是咨询公司IOActive安全研究总监。

米勒和瓦拉赛克的入侵演示，促使全球第七大汽车厂商菲亚特•克莱斯勒(Fiat Chrysler Automobiles)召回了140万辆汽车，以修正使黑客能控制关键功能的软件漏洞。

施奈尔表示，“标志出现在2或3年前，当时2名黑客控制了一辆汽车的加速和刹车系统。如果还不觉醒，这会产生怎样的影响？”

沃尔什表示，过去的情况表明，恶意黑客入侵计算机系统的目的，通常不是危及用户人身安全，而是谋取经济利益。不过，CIA探索入侵车辆计算机系统的方法，目的不会是谋求经济利益。

沃尔什说，“我对此感到意外吗？不。有关入侵汽车、杀死乘车者的说法一直存在，但是，根据我迄今为止掌握的信息，我们不能证实，可能利用入侵汽车计算机系统杀人的部门，在研究相关方法。”

施奈尔也不感到意外，“我们能想到的是，20年前CIA研究人为破坏汽车刹车系统杀人的方法。这是CIA的工作，因此我认为它会这样干，它不这样干我才感到意外呢。”