要點概述

• 研究顯示，考慮到黑客攻擊風(fēng)險，3/5的消費者不會購買智能鑰匙汽車；
• 對于那些擁有高頻率攻擊車型的用戶而言，其面臨的保險成本可能會上漲；
• 我們分享了一些保護自身車輛免受此類攻擊的關(guān)鍵安全建議。

[[246613]]

您是否正身處這樣的險境之中：即便是犯罪分子沒有獲取到您的車輛鑰匙，仍然有辦法竊走您的愛車?

在很早之前，無鑰匙進入還只是一項看起來很高大上的配置，而現(xiàn)在包含本田、豐田、日產(chǎn)、奔馳、寶馬等中高端品牌在內(nèi)的部分車型都已經(jīng)采用了“無鑰匙”系統(tǒng)。不同于傳統(tǒng)的使用鑰匙插入來啟動車輛的方法，無鑰匙啟動采用無線射頻識別技術(shù)，當(dāng)車主進入車內(nèi)時，車內(nèi)的檢測系統(tǒng)會馬上識別您鑰匙內(nèi)的智能卡，經(jīng)過確認(rèn)后車內(nèi)的電腦才會進入工作狀態(tài)，這時您只需輕輕按動車內(nèi)的啟動按鈕(或者是旋鈕)，就可以正常啟動車輛了。

無鑰匙進入采用了世界最先進的RFID無線射頻技術(shù)和最先進的車輛身份編碼識別系統(tǒng)，率先應(yīng)用小型化、小功率射頻天線的開發(fā)方案，并成功的融合了遙控系統(tǒng)和無鑰匙系統(tǒng)，沿用了傳統(tǒng)的整車電路保護，真正的實現(xiàn)雙重射頻系統(tǒng)，雙重防盜保護，為車主最大限度的提供便利和安全。

這種無鑰匙汽車的興起，雖然確實是為車主帶來了一定程度的便利，但同時也吸引了犯罪分子的目光，引發(fā)了一系列車輛盜竊事件，因為犯罪分子可以通過技術(shù)手段欺騙車輛相信智能卡的存在，進而成功啟動車輛。

根據(jù)美國國家統(tǒng)計局的調(diào)查數(shù)據(jù)顯示，自2014年以來，汽車犯罪率已經(jīng)增長了19%，此外，與車輛干擾相關(guān)的犯罪率也增長了29%。

比價網(wǎng)站MoneySupermarket在對汽車黑客的行為進行一番分析調(diào)查后，揭示了犯罪分子可以破解您的無鑰匙汽車的7種方式，并給出了相應(yīng)的緩解建議。

MoneySupermarket公司表示，車輛犯罪率之所以能夠在經(jīng)歷一段時間的下滑后重新獲得飆升的一個重要因素在于——允許汽車黑客遠(yuǎn)程訪問車輛的新技術(shù)的興起。

不過，令人擔(dān)憂的現(xiàn)實是，研究還發(fā)現(xiàn)，大多數(shù)用戶并不知道犯罪分子用于竊取車輛的多種不同的非法手段：

• 幾乎所有的車主都沒有意識到他們的汽車可能正在面臨的主要數(shù)字攻擊威脅。
• 超過3/5的受訪者表示，由于擔(dān)心黑客攻擊，他們可能不會購買無鑰匙汽車。

為了防止進一步的犯罪行為，同時提升用戶的安全意識，MoneySupermarket公司總結(jié)了犯罪分子可以侵入無鑰匙汽車的7種方式，以及如何保護自身免受車輛犯罪侵?jǐn)_的各種建議。

他們還建議無鑰匙車主徹底檢查自己的汽車保險合同條款，以確定其中具體涵蓋或不包含哪些方面的內(nèi)容。

因為事實上，多達4/5的車主并不清楚，如果他們的車輛遭到黑客攻擊，其購買的汽車保險是否承擔(dān)損失賠償。

關(guān)于誰應(yīng)該承擔(dān)責(zé)任這個問題也是界定模糊——究竟應(yīng)該是駕駛員?汽車制造商?還是車載計算機的制造商呢?

據(jù)了解，政府和保險公司目前正在根據(jù)這一現(xiàn)狀制定新的政策，以解決自動駕駛汽車領(lǐng)域所存在的責(zé)任模糊等問題。

7種主要的汽車攻擊方法

1. 使用Relay(繼電器)攻擊無鑰匙進入系統(tǒng)

所謂Relay(繼電器)是具有隔離功能的自動開關(guān)元件，廣泛應(yīng)用于遙控、遙測、通訊、自動控制、機電一體化及電力電子設(shè)備中，是最重要的控制元件之一。

一般來說，配備無鑰匙進入系統(tǒng)的車輛，當(dāng)鑰匙靠近車體時，車門會自動開鎖并解除防盜警戒狀態(tài);當(dāng)鑰匙離開車體時，車門會自動上鎖并進入防盜警戒狀態(tài)。這種產(chǎn)品采用的是世界最先進的RFID無線射頻技術(shù)，但這種無線射頻技術(shù)具有一定的范圍限制，如果鑰匙距離車體較遠(yuǎn)，車輛則無法感應(yīng)到信號并完成解鎖操作。

但是，犯罪分子可以通過使用“繼電器箱”(relay box)將感應(yīng)距離擴展到了上百米，鑰匙發(fā)出的無線電信號通過工具傳輸?shù)狡囯娔X，汽車電腦誤以為鑰匙就在旁邊，最終汽車信號和鑰匙被欺騙，允許無鑰匙開啟車門、開動汽車。

早在2016年，全德汽車俱樂部(ADAC)科研團隊就曾對來自19家不同汽車廠商的24款車型進行了實際測試，通過放大房屋內(nèi)汽車鑰匙的信號方式來輕松入侵你的汽車，不僅能夠解鎖你的汽車，而且還能非常輕松的開走。

而最為糟糕的地方在于，這種破解設(shè)備并不昂貴。研究人員表示攻擊設(shè)備的成本大約為225美元(約合1395.7元)

安全建議：

保護自身免受此類犯罪攻擊的最佳方法是：在不使用汽車時將鑰匙信號禁用或?qū)㈣€匙安全地存放在一個可以阻擋信號的安全容器中。

2. 無鑰匙干擾

犯罪分子使用的另一種方法是阻止汽車鑰匙鎖定信號到達您的汽車——這也就意味著，當(dāng)你離開汽車時，您的車輛仍然處于解鎖狀態(tài)，然后犯罪分子就可以輕松地訪問您毫無防護措施的車輛。

安全建議：

為了防止這種情況發(fā)生，請務(wù)必手動檢查車門關(guān)閉情況。此外，還需要使用方向盤鎖定作為額外的防護舉措，這樣一來，即便是車輛處于解鎖狀態(tài)，犯罪分子也無法開走您的車。

3. 輪胎壓力監(jiān)測系統(tǒng)

這是一種不易被人察覺且并不為人所知的方法，黑客可以通過這種方法與車輛輪胎內(nèi)的傳感器進行交互。這就意味著，他們能夠跟蹤車輛并顯示錯誤的輪胎壓力讀數(shù)——如此一來，可能會誘使你停車檢查輪胎情況，犯罪分子就可以借此空檔趁虛而入。

安全建議：

當(dāng)您下車檢查輪胎壓力時，請隨手鎖上所有車門，如有疑問，可以致電修車廠尋求建議。

4. APP漏洞誘發(fā)遠(yuǎn)程遙控危機

許多車輛都可以在未經(jīng)駕駛員許可的情況下，獲取遠(yuǎn)程信息處理權(quán)限，這是因為許多車輛跟蹤應(yīng)用程序都集成了這些技術(shù)。雖說擁有這些應(yīng)用程序?qū)τ谀切┞?lián)網(wǎng)車主而言十分方便，但這確實也意味著，一旦服務(wù)器配置錯誤或遭到惡意篡改，黑客就能找到、解鎖并啟動附近汽車的引擎。

不久前，卡巴斯基的分析師就檢測出了大量車用APP的系統(tǒng)漏洞，黑客可能通過這些漏洞對汽車實施控制、解鎖、關(guān)閉安全警報，甚至偷車，并通過手機應(yīng)用程序得到汽車的GPS坐標(biāo)，打開其輔助設(shè)備。此外，360公司也公開展示了其最新發(fā)現(xiàn)的汽車“無鑰匙”系統(tǒng)漏洞：借助簡單的設(shè)備，不法分子就能在不使用汽車鑰匙的情況下，輕松地將車主汽車盜走。

安全建議：

與您的汽車制造商保持聯(lián)系以及時獲取技術(shù)和軟件更新支持。

5. 控制器區(qū)域網(wǎng)絡(luò)(CAN)禁用安全功能

自20世紀(jì)末以來，汽車已經(jīng)使用了專用控制器局域網(wǎng)(CAN)標(biāo)準(zhǔn)，以允許微控制器和設(shè)備相互通信。CAN總線與車輛的電子控制單元(ECU)通信，該控制單元操作許多子系統(tǒng)，例如防抱死制動系統(tǒng)，安全氣囊，變速箱，音響系統(tǒng)，車門以及許多其他部件，包括發(fā)動機。

黑客可以通過汽車的Wi-Fi或電話連接中的漏洞訪問內(nèi)部汽車網(wǎng)絡(luò)，并發(fā)送“拒絕服務(wù)”(DoS)信號，這些信號可以關(guān)閉安全氣囊，防抱死制動器甚至門鎖。

安全建議：

定期更改密碼有助于防止黑客獲取訪問權(quán)限。

6. 攻擊“車載診斷端口”

汽車擁有一個名為“車載診斷端口”(OBD)的功能，外部OBD設(shè)備可以插入汽車作為執(zhí)行外部命令及控制諸如Wi-Fi連接、進行性能統(tǒng)計和開門等控制服務(wù)的后門。如果安全性無法得到保證，OBD端口則為惡意活動提供了一種途徑。

如今，市場上已經(jīng)出現(xiàn)可以使用此端口編程新密碼的工具包，售價僅為50英鎊，允許黑客使用它們來創(chuàng)建新的密鑰訪問車輛。

安全建議：

使用方向盤鎖保護自己，并從信譽良好的修車廠處獲取建議。

7. 電話/電子郵件網(wǎng)絡(luò)釣魚

如果您在汽車內(nèi)使用Wi-Fi，黑客也許可以通過網(wǎng)絡(luò)釣魚方案訪問它。他們可以發(fā)送帶有惡意網(wǎng)站和應(yīng)用程序鏈接的電子郵件，如果您打開了這些網(wǎng)站和應(yīng)用程序，他們就可以獲取到您的詳細(xì)信息，甚至可以控制您手機上允許您與車輛互動的任何應(yīng)用程序。

安全建議：

當(dāng)點擊來自未知發(fā)件人的電子郵件時一定要保持警惕，如果您不知道來源，請不要隨意打開這些電子郵件中的鏈接。

目前，在汽車保險方面，車主們可能會接收到一份最新的保險政策，其中不僅涵蓋手動駕駛，還將涉及自動駕駛車輛的相關(guān)細(xì)節(jié)。

如果自動駕駛汽車的駕駛員對第三方造成傷害或損壞，那么無論汽車在事故發(fā)生時采用何種模式(自動或手動)，該受害方都可以向駕駛員的保險公司提出索賠。

駕駛員不用對汽車系統(tǒng)中的故障負(fù)責(zé)，而且一旦他們自身因車輛系統(tǒng)故障而受訪或遭到損失，也可以向保險公司要求賠償。

至于遭到黑客攻擊的車輛，只要車主已經(jīng)采取了合理措施來保護他們的汽車，保險公司也將為其支付賠償金。

如果某些車型頻繁遭到黑客攻擊，其保險費用可能會上漲。

易受攻擊的車型盤點

• 奧迪：A3，A4，A6;
• 寶馬：730D;
• 雪鐵龍：DS4 CrossBack;
• 福特：Galaxy，Eco-Sport;
• 本田：HR-V;
• 現(xiàn)代：Santa Fe CRDi;
• 起亞：Optima;
• 雷克薩斯：RX 450h;
• 馬自達：CX-5;
• MINI：Clubman;
• 三菱：Outlander;
• 日產(chǎn)：Qashqai，Leaf;
• 沃克斯豪爾：Ampera;
• 路虎攬勝：Evoque;
• 雷諾：Traffic;
• 雙龍：Tivoli XDi;
• 斯巴魯：Levorg;
• 豐田：RAV4;
• 大眾汽車：高爾夫GTD，途安5T;

安全專家表示，汽車黑客雖然很少被人所理解，但卻是一個真實存在的威脅。上述一些場景在現(xiàn)實生活中已經(jīng)切實地發(fā)生了，其他目前未知的惡意攻擊也許還會令我們始料未及。

目前，汽車制造商正在為我們的車輛增加越來越多的新技術(shù)，以便進一步方便我們的出行，但同時這些新技術(shù)也帶來了新的攻擊面，對于這些新的攻擊面，駕駛員們必須具備清楚地認(rèn)識并做好相應(yīng)的防范措施。

無鑰匙盜竊等黑客行為確實令人擔(dān)憂，為此，保險公司將為那些已經(jīng)采取了合理措施來保護自身設(shè)備及財產(chǎn)安全的車主/駕駛員提供保險支持。

那些被保險公司認(rèn)定為“頻繁遭受攻擊的車型”的車主，可能會面臨更高的保險成本。

調(diào)查顯示，絕大多數(shù)駕駛員/車主并不知道他們的行為是否被保險條款所覆蓋;且有16%的受訪者聲稱，他們知道有人已經(jīng)成為汽車黑客的受害者。

目前，只有19%的駕駛員通過采取一些簡單的措施來保護他們的車輛免受黑客攻擊，例如將鑰匙放在微波爐或法拉第屏蔽箱(Faraday cage，由金屬或者良導(dǎo)體形成的籠子，放置在其內(nèi)的物體可以免受靜電影響)中，以防止?jié)撛诠粽呓邮账麄冭€匙的信號。

據(jù)悉，只需區(qū)區(qū)幾英鎊就能夠在線購買到這些信號阻擋袋。

近日，又有新聞報道稱，犯罪分子使用高科技繼電器裝置掃描汽車鑰匙鏈，成功竊走了一輛價值3萬英鎊的豐田汽車。不難看出，針對智能汽車的攻擊行為正在成為一個不斷增長的趨勢。

對此，安全專家建議稱，消費者在購車之前應(yīng)該充分研究車輛及其功能和限制，對于已經(jīng)購買完成正在使用中的車輛也需要具備充分地認(rèn)識，以確保您能夠了解該車輛所具備的任何潛在的安全漏洞。甚至有時候，一種最傳統(tǒng)的安全方法——比如方向盤鎖，就可以成為防范罪犯所需的最佳保障措施。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文