Jeep自由光被黑客入侵失控的事件正在持续发酵，面对汹涌的质疑浪潮，上周五，菲亚特-克莱斯勒公司宣布，将在美国召回140万辆汽车，并对这些汽车的车载软件进行升级，以避免黑客远程控制发动机、转向系统，以及其他车载系统。

　　而美国国家高速公路交通安全委员会也在周五表示，将关注菲亚特-克莱斯勒的软件升级方案是否足以保护用户避免黑客的攻击。

　　菲亚特-克莱斯勒在召回公告中表示，目前尚不清楚这一问题是否导致了人员受伤事故。

　　菲亚特-克莱斯勒宣布召回的车型包括2014和2015款吉普大切诺基和切诺基SUV，以及2015款道奇挑战者等。

　　此次攻击控制Jeep自由光的二名黑客是Twitter公司软件安全工程师米勒（Charlie Miller）和IOActive安全公司智能安全总监瓦拉塞克（Chris Valasek），二人关注车联网安全其实已有些时日。

　　去年他们两位就联合发布了一份报告，在报告中他们对20余款车型抵御黑客网络入侵的能力进行了系统评估。当时的新款Jeep自由光等三款车即被他们评为“最容易遭黑客攻击”（most hackable）的车型。

　　2014年8月6日，在美国拉斯维加斯召开的“黑帽安全技术大会”（Black Hat security conference）。二人在会上发表了讲话并展示了一份92页报告，对多款不同车型面对黑客时的脆弱性进行了评级。

　　当时瓦拉赛克即表示：“我们对24种不同的车型检验了远程攻击如何操作。很大程度上取决于（网络）架构。如果你能‘黑’进无线电系统，能否向刹车或转向系统发送消息？倘若你能做到这一点，那么会怎样为所欲为？”

　　在他们发布报告前，两位专家在获得美国政府许可的情况下，对经由网络入侵攻击汽车进行了数月的研究，并公布了攻击丰田普锐斯和福特翼虎关键系统的方法。

　　按两人的方法，可以通过远程攻击迫使普锐斯在80英里/时（128千米/时）的条件下猛刹车、使得汽车猛打方向盘、让发动机加速；也能使得翼虎在超低速行驶时刹车失效，无论司机如何猛踩刹车，车辆都将继续前进。

　　米勒和瓦拉赛克强调研究结果并非对汽车网络安全的精确评级，其报告并非通过亲身实践总结，大多数是通过下载车型官网手册，然后分析车辆的电脑网络架构得出结论。

　　在他们列出的车辆网络安全评级中都被分为三大块：1、攻击面（Attack Surface），类似蓝牙、Wi-Fi、蜂窝网络连接、智能无钥匙进入系统，甚至包括无线电读取胎压监测系统。所有的无线连接从潜在角度而言都可能被黑客利用，找到安全漏洞，并侵入汽车网络。2、网络架构。进入关键系统后能够获得多少权限，尤其是针对转向和制动等系统。3、信息物理（Cyberphysical）功能，类似自动刹车、自动驻车和车道辅助系统等，可能将一些指令转换为实际控制操作的功能。

　　两位专家当时给出了24款车型中20款车的网络安全评级，其中14款为2014款或2015款新车。通常旧款车因为网络功能较少，受攻击的漏洞也相应不多。如果除去6款旧款车，新车中网络安全性能最差的为2014款Jeep自由光、2014款英菲尼迪Q50和2015款凯迪拉克凯雷德；2014款道奇蝰蛇、2014款奥迪A8和2014款本田雅阁LX相对较难遭黑客攻克。

　　在评级中，用加号表示更容易被入侵，减号表示不容易被入侵，双重符号表示程度更高。

　　看到你所驾驶的车辆有没有在名单之内？

　　Jeep自由光为何成为最易受攻击的车型，这与克莱斯勒各种车型上的Uconnect系统的漏洞有关。

　　说来奇怪，Uconnect曾被美国媒体评为十大车载信息系统之首，被称为当时最优秀的车载信息系统。

　　其评误说：它界面简洁明快，信息列表井然有序，触摸屏相应迅速，堪称完美。Uconnect还可以创建车内Wi-Fi热点，让车内乘客体验高速上网的乐趣。此外，新的系统还具备更多的功能，例如在车内安装多款应用软件，或是通过手机应用连接并控制汽车等。

　　米勒和瓦拉赛克在去年对以上车型的网络安全发出警告后，实际上并没有引起众多汽车制造的注意。

　　而今年能引起如些的轩然大波，是二人联合一位驾驶自由光的朋友一起导演了一次黑客入侵汽车的事件，这段视频可以说引起了Jeep自由光车主极大的恐慌。

　　在画面中，一名男子正开着Jeep自由光以70码的时速行驶在圣路易斯下城区时，车辆突然失去了控制。首先是冷风突然调到了最大档，收音机切换到嘻哈频道，音量调到最大，雨刮喷出清洁剂，挡风玻璃免得一片模糊，然后是加速失去了控制，不管怎么踩油门踏板，车速都不再增加，车速逐渐慢了下来，后面的车子排着长队按着喇叭，在路过的时候愤怒地看着……。

　　在国外之所以可以实现这一点，与UConnect 与美国的3G网络有关，米勒和瓦拉赛克首先侵入了与车相连的3G网络信号，进而进入车内，控制了CANbus，并实现了控制雨刷，控制刹车等行为。

　　二人对自由光的入侵与去年在我国360公司曾组织自己的360网络攻防实验室的安全专家破解了特斯拉，他们成功利用电脑实现了对特斯拉的远程开锁、鸣笛、闪灯、开启天窗等操作。

　　他们破解的方式同样是利用特斯拉与外界互联的Ｗifi信号。

　　因而对待这样的黑客行为，简单的回避方式就是关闭汽车的联网信号。

　　对于中国的Jeep自由光车主而言，完全不必象美国车主那样恐慌，因为中国大量的自由光车辆并没有实现这样便捷的联网功能。

　　在汽车智能化的过程中，随着运行的软件越来越多，漏洞多也是正常的。

　　360总裁齐向东曾说，只要是软件就有漏洞。这是任何一家公司都无法回避的现实，通用汽车的ONSTAR、雷克萨斯的ENFORM、丰田的SAFETY CONNECT、现代的BLUELINK和英菲尼迪的CONNECTION等大体存在类似的风险。

　　通过无线信号，远程控制汽车，近年来事例越来越多，但切入的方式都相对简单，以特斯拉为例，其大量车主与车辆的信息集中在云端，一个远在美国的人甚至可以让一辆远在北京的汽车启动。

　　针对云端的网络攻击同样存在具大的风险。

　　此次事件引发参议员马基以及布罗曼索将提出法案，就机动车抵御入侵制定新的标准。法案要求国家公路交通安全管理局以及联邦贸易委员会设立新的安全标准，同时针对消费者建立隐私与安全评级系统。

　　这其实是一件好事。

　　车联网正从概念变为现实，各大汽车厂商、IT业界都在努力占据一席之地，据多家国外市场机构预测，即便不计算智能汽车的整车生产，全球车联网相关市场规模在未来5年也会达到惊人的2000亿美元。

　　但在庞大的市场利益面前，汽车的安全问题似乎被有意忽略了。

　　SyScan360主席Thomas Lim曾说，“未来针对智能设备的攻击会越来越多，我们所处的安全形势严峻。一旦智能汽车车载系统被黑，黑客不仅能远程打开车门、更将发动汽车完全，严重的甚至威胁用户生命安全。”

　　德国汽车安全专家哈维尔·维达尔表示，在汽车智能化的发展趋势下，已经有不少汽车厂商着手将信息技术整合入汽车的驾驶系统中，当以获取利益作为支撑点，入侵智能汽车系统可能成为黑客的下一个目标，但与智能手机泄漏隐私不同，汽车安全的代价是生命。

　　与生命相关，车联网的未来需要跨越这一难题，而不正视这一问题，信息安全有可能成为智能汽车的阿喀琉斯之腱。