电动汽车制造商特斯拉常在有意无意间成为舆论焦点。这一次，“躺枪”的要害在于S型车存在网络安全隐患，轻易即可被黑客攻破。这个结论也让互联汽车的安全问题再次进入人们视野。在与网络实现连接后，汽车变得有多脆弱？黑客攻击到底给互联汽车造成哪些危害？面对“脆弱”防线，我们又能做些什么？

■破解6位密码即可操控S型车

在不久前落下帷幕的2014亚洲黑帽大会上，企业网络安全顾问、同时也是特斯拉S型电动汽车用户的尼特施·丹贾尼公布了自己的一项研究成果。他称，网络黑客仅凭传统黑客技术就能破解该款车的6位密码，从而对汽车进行锁定和解锁。

根据丹贾尼的研究成果，虽然只有随车遥控钥匙才能发动特斯拉S 型车，但通过无线网络发出的指令也可以对其进行解锁。他表示，一旦密码被盗或被解密，黑客就能锁定该款车的位置，然后进入车辆系统窃取内容，不过无法将轿车开走。

据介绍，当用户订购S型车时，特斯拉要求用户设定一个6位账户密码，用来解锁一款手机应用程序，从而激活该用户的特斯拉在线账户。该款应用程序可对车辆进行远程定位和解锁，还能够控制和监控该车的其他功能。

丹贾尼表示，破解电脑或在线账户的多种方法同样适用于破解特斯拉S型车的6位密码。黑客有可能通过该公司网站猜出用户设置的密码，因为特斯拉并没有对错误密码信息输入的次数加以限制。此外，黑客还可以通过植入病毒窃取用户电脑中的密码，或者使用窃取来的密码接入用户使用相同密码的其他账户。

丹贾尼表示：“售价高达10万美元的特斯拉S型车依赖这样一套6位静态密码作安全屏障，真是一个让人担心的大问题。我们不应该采用保护电脑的相同方法来保护汽车。”值得庆幸的是，他目前没有发现特斯拉S 型车的主要系统中存在软件漏洞。据报道，丹贾尼已将研究结果转交特斯拉公司。

■20美元5分钟“攻陷”汽车

2014亚洲黑帽大会的主题之一就是揭露普通公众身边的网络安全漏洞，其中互联汽车的隐患成为今年会议一个新的亮点。大会上，除丹贾尼公布特斯拉S型车的密码“软肋”外，西班牙的网络安全研究人员还展示了如何以最低的成本、最短的时间让汽车“沦陷”。

据了解，研究人员花费不足20美元，组装了一款只有苹果　i-Phone3/4大小的装置(CHT)。它可以通过四根电线与汽车的CAN总线连接，利用车内电源系统获取电力，随时待命接收远程攻击者发出的指令。该设备在不到5分钟的时间内即可安装完毕。

研究人员之一的瓦兹奎斯·维达尔是一名汽车IT安全顾问。他称：“我们可以等待一分钟或者一年，在程序设定的任何时间操控汽车。”据维达尔介绍，至于具体在CHT中植入什么指令，则要取决于不同的车型。他和同事目前可以实现的操控功能包括关闭头灯、车窗、警报、ABS或紧急刹车系统。

目前，CHT只能通过蓝牙传输数据，因此攻击范围不大。不过，维达尔称，他和同事将升级该系统，以便在数英里控制该装置。另据他介绍，CHT的所有零部件都是市面上可以购买且无需改造的，所以即使外界发现黑客的存在，也很难追踪其身份。

■无近忧不能无远虑

虽然从理论上设想，汽车一旦像计算机一样实现互联很难排除黑客入侵的可能，但目前在现实生活中它的网络安全还暂时无忧。去年，黑客精英查理·米勒和克里斯·维拉塞克曾表示，能够使低速行驶的2010款福特翼虎刹车系统失灵。不过，他们需要坐在车内实现笔记本电脑与汽车系统的硬件连接。对此，福特方面认为不必小题大做。该公司方面回应称，既然黑客“无法实现远程攻击”，而且需要“在相当长的时间中实施高度恶意的直接物理操作”，因此“对福特用户和社会大众并不构成威胁”。

虽然黑客攻击汽车还缺乏现实可操作性，但特斯拉S型车6位静态密码容易被盗的事例也提醒汽车制造商，不能对互联汽车网络安全问题掉以轻心。至少，欧美国家政府部门已开始重视这个问题。比如，美国国家高速公路交通安全管理局(NHTSA)启动了针对汽车被黑客攻击的网络安全调查项目，并希望设立车对车(V2V)技术工作组负责相关事宜。

MWR信息安全公司总监艾利克斯·菲哲指出，汽车制造商或安全系统供应商应该与研究人员合作，了解他们面临的汽车网络安全威胁和可能造成的不利影响。

(责任编辑：安博涛)