特斯拉被曝漏洞:智能硬件安全成新蓝海

文/东言东语

日前,360宣布发现了特斯拉应用程序的缺陷,攻击者利用这个漏洞,可远程控制车辆,实现开锁、鸣笛、闪灯、开启天窗等操作,很明显,这是在为将要到来的SyScan360大会热身造势,这个大会将举办智能汽车系统安全破解挑战赛,比赛对象正是特斯拉的Model S。

而据最新消息,特斯拉已经对此消息进行了回应,其内容归纳有3点:

一是支持和鼓励寻找安全漏洞,“我们支持这种想法,即提供一个环境,让负责任的安全研究人员帮助识别潜在漏洞”,“我们鼓励安全研究人员以负责任的态度参与比赛”。

二是表态会正视和应对漏洞,“我们致力于与安全研究人员共同合作,根据我们的安全漏洞报告政策,以负责任的态度验证、重现、应对和修复报告中的漏洞”、“对于报告的任何合法漏洞,我们都会展开调查,并采取快速行动进行应对和修复”。

三是强调不能借比赛黑特斯拉。“特斯拉的网站、服务器和网络并不在此次破解比赛的范围之内,因此我们不允许以任何形式试图控制我们网络或服务器等行为。”

此次事件表面看并不大,但却是智能硬件发展过程中一个值得深思的问题,有几个观点:

  智能硬件的安全已经刻不容缓

当前智能硬件已经开始迅速向工各个领域延伸,从基础设施、工业设备、汽车、家电、甚至个人的物品,实现物物相连已经不是个梦想,在实现远程控制提高便利和效率的同时,安全应当越来越受重视,如同好莱坞大片中一个人可以控制和扰乱一个国家那样,现实中一样存在大量的可能,除了特斯拉汽车可能被远程控制外,工厂的生产设备可能被远程切断,电梯也可能被远程停止或关门,我们的空调可能被远程打开,电视可能被接管,冰箱可能被停止,健康监控设备可能会发出错误信息给医生……从某种角度,硬件的安全比软件的安全更重要。

但是由于以往联网的设备更多是工业级设备,管理相对封闭,一般都在专网管理,而且懂的人也和黑客气质相差较大,比如懂ModBus的人更接近工业界工程师的气质。不过随着越来越多智能设备接入公网、能被人们通过手机远程进行管理,潘多拉的盒子就被打开,能够被用户远程管理意味着也有可能被黑客远程控制。不过幸运的是,现在还只是产业的初期,智能硬件本身操作系统也繁多(不像PC有windows、手机有Android那样的相对统一的平台),有攻击能力的人估计都是做这些产品的人,恶意人群还不多。

  智能硬件安全市场是片新蓝海

由于智能硬件领域繁多、操作系统山头林立、人才也处于匮乏的状态,在这样的细分之下,能做安全的人就更少,因此在这个阶段,智能硬件的安全市场还是一片蓝海,还没有谁能做主导,甚至很少听到厂商进军的声音。

此次360借特斯拉漏洞事件狠狠博了把眼球,也显露出其想进入智能硬件安全市场的野心。实际上,从去年开始360已经向做泛安全的布局,除了PC端和手机端的安全卫士外,其开始大张旗鼓的做硬件,包括了儿童手表、防丢卫士、路由器,而其中主打的概念也是安全,儿童手表是儿童安全,防丢卫士是物品安全,路由器是网络安全,后来也有风说要做智能电视的安全卫士。

但这些布局可以说只是投石问路,智能硬件领域太广,每块都涉及一个非常大的产业链,每块的主导厂家都不同,要吃透不容易。例如在智能汽车领域,话语权在谁还未得知,车厂有车厂的系统,谷歌、苹果也在进入,那么对于安全厂商来说,基于谁的平台来做安全系统也是个难题。

因此可以预见,智能硬件安全市场将会百花齐放,条块分割的市场给各路团队带来机会。

  智能汽车需要新的安全评级指标

对于汽车来说,安全稳定是最重要的因素。即便在机械时代,汽车也都把安全放在首要考虑的位置,像CNCAP这类安全评级机构也孕育而生。那么在智能汽车时代,不但要考虑机械安全,还要考虑软件层面的安全,越智能、越科技也意味着风险因素越多,比如触控操作替代机械操作,如果触控不灵了或者屏幕坏了怎么办,软件运行不稳定出现故障无法操控怎么办,甚至如谷歌的无人驾驶车还可能出现被恶意操控撞车的风险等。

在这些因素下,原有的一套安全标准已经不适用,毕竟汽车是个会造成公共安全危害的设备,没有认证的标准,单靠一个厂家的承诺是不足的,如果没有安全标准管控,路上开着的车可能就成为了一件武器,一旦发生事故责任该由谁承担又是个头疼的问题。因此,智能汽车真正要大发展,安全评级就不能停留在过去的方式上,急需一个软件层面的认证。

问题也是机会,在汽车才出来时,它也是个不靠谱的玩意,它的不靠谱带动了从安全带、气囊到安全评级、道路管理、车险等一个庞大的产业链;而在软硬结合的时代,智能硬件的不完善也必将形成一片新的蓝海。

您可能还喜欢…

发表评论

邮箱地址不会被公开。 必填项已用*标注

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>