特斯拉被爆可被黑客遠(yuǎn)程控制，智能硬件安全市場(chǎng)浮出水面

【IT時(shí)代周刊編者按】作為汽車(chē)行業(yè)備受矚目的標(biāo)桿，特斯拉似乎永遠(yuǎn)處在風(fēng)口浪尖。這不，其應(yīng)用程序漏洞再一次成為聚光燈下的寵兒，并將智能硬件的安全市場(chǎng)這一藍(lán)海呈現(xiàn)在世人面前。從特斯拉的回應(yīng)來(lái)看，也認(rèn)為安全是智能汽車(chē)的重中之重。作為交通工具，無(wú)論是駕駛失控，還是被遠(yuǎn)程解鎖，都是不可接受的。東言東語(yǔ)就從這一看似不大的時(shí)間表面，看到了智能硬件發(fā)展過(guò)程中三個(gè)值得深思的問(wèn)題。

7月15日，360宣布發(fā)現(xiàn)了特斯拉應(yīng)用程序的缺陷，攻擊者利用這個(gè)漏洞，可遠(yuǎn)程控制車(chē)輛，實(shí)現(xiàn)開(kāi)鎖、鳴笛、閃燈、開(kāi)啟天窗等操作，很明顯，這是在為將要到來(lái)的SyScan360大會(huì)熱身造勢(shì)，這個(gè)大會(huì)將舉辦智能汽車(chē)系統(tǒng)安全破解挑戰(zhàn)賽，比賽對(duì)象正是特斯拉的Model S。

而據(jù)最新消息，特斯拉已經(jīng)對(duì)此消息進(jìn)行了回應(yīng)，其內(nèi)容歸納有3點(diǎn)：

一是支持和鼓勵(lì)尋找安全漏洞，“我們支持這種想法，即提供一個(gè)環(huán)境，讓負(fù)責(zé)任的安全研究人員幫助識(shí)別潛在漏洞”，“我們鼓勵(lì)安全研究人員以負(fù)責(zé)任的態(tài)度參與比賽”。

二是表態(tài)會(huì)正視和應(yīng)對(duì)漏洞，“我們致力于與安全研究人員共同合作，根據(jù)我們的安全漏洞報(bào)告政策，以負(fù)責(zé)任的態(tài)度驗(yàn)證、重現(xiàn)、應(yīng)對(duì)和修復(fù)報(bào)告中的漏洞”、“對(duì)于報(bào)告的任何合法漏洞，我們都會(huì)展開(kāi)調(diào)查，并采取快速行動(dòng)進(jìn)行應(yīng)對(duì)和修復(fù)”。

三是強(qiáng)調(diào)不能借比賽黑特斯拉。“特斯拉的網(wǎng)站、服務(wù)器和網(wǎng)絡(luò)并不在此次破解比賽的范圍之內(nèi)，因此我們不允許以任何形式試圖控制我們網(wǎng)絡(luò)或服務(wù)器等行為。”

此次事件表面看并不大，但卻是智能硬件發(fā)展過(guò)程中一個(gè)值得深思的問(wèn)題，有幾個(gè)觀點(diǎn)：

智能硬件的安全已經(jīng)刻不容緩

當(dāng)前智能硬件已經(jīng)開(kāi)始迅速向工各個(gè)領(lǐng)域延伸，從基礎(chǔ)設(shè)施、工業(yè)設(shè)備、汽車(chē)、家電、甚至個(gè)人的物品，實(shí)現(xiàn)物物相連已經(jīng)不是個(gè)夢(mèng)想，在實(shí)現(xiàn)遠(yuǎn)程控制提高便利和效率的同時(shí)，安全應(yīng)當(dāng)越來(lái)越受重視，如同好萊塢大片中一個(gè)人可以控制和擾亂一個(gè)國(guó)家那樣，現(xiàn)實(shí)中一樣存在大量的可能，除了特斯拉汽車(chē)可能被遠(yuǎn)程控制外，工廠的生產(chǎn)設(shè)備可能被遠(yuǎn)程切斷，電梯也可能被遠(yuǎn)程停止或關(guān)門(mén)，我們的空調(diào)可能被遠(yuǎn)程打開(kāi)，電視可能被接管，冰箱可能被停止，健康監(jiān)控設(shè)備可能會(huì)發(fā)出錯(cuò)誤信息給醫(yī)生……從某種角度，硬件的安全比軟件的安全更重要。

但是由于以往聯(lián)網(wǎng)的設(shè)備更多是工業(yè)級(jí)設(shè)備，管理相對(duì)封閉，一般都在專(zhuān)網(wǎng)管理，而且懂的人也和黑客氣質(zhì)相差較大，比如懂ModBus的人更接近工業(yè)界工程師的氣質(zhì)。不過(guò)隨著越來(lái)越多智能設(shè)備接入公網(wǎng)、能被人們通過(guò)手機(jī)遠(yuǎn)程進(jìn)行管理，潘多拉的盒子就被打開(kāi)，能夠被用戶(hù)遠(yuǎn)程管理意味著也有可能被黑客遠(yuǎn)程控制。不過(guò)幸運(yùn)的是，現(xiàn)在還只是產(chǎn)業(yè)的初期，智能硬件本身操作系統(tǒng)也繁多（不像PC有windows、手機(jī)有Android那樣的相對(duì)統(tǒng)一的平臺(tái)），有攻擊能力的人估計(jì)都是做這些產(chǎn)品的人，惡意人群還不多。

智能硬件安全市場(chǎng)有很大的縱深度

由于智能硬件領(lǐng)域繁多、操作系統(tǒng)山頭林立、人才也處于匱乏的狀態(tài)，在這樣的細(xì)分之下，能做安全的人就更少，因此在這個(gè)階段，智能硬件的安全市場(chǎng)還是一片藍(lán)海，還沒(méi)有誰(shuí)能做主導(dǎo)，甚至很少聽(tīng)到廠商進(jìn)軍的聲音。

此次360借特斯拉漏洞事件狠狠博了把眼球，也顯露出其想進(jìn)入智能硬件安全市場(chǎng)的野心。實(shí)際上，從去年開(kāi)始360已經(jīng)向做泛安全的布局，除了PC端和手機(jī)端的安全衛(wèi)士外，其開(kāi)始大張旗鼓的做硬件，包括了兒童手表、防丟衛(wèi)士、路由器，而其中主打的概念也是安全，兒童手表是兒童安全，防丟衛(wèi)士是物品安全，路由器是網(wǎng)絡(luò)安全，后來(lái)也有風(fēng)說(shuō)要做智能電視的安全衛(wèi)士。

但這些布局可以說(shuō)只是投石問(wèn)路，智能硬件領(lǐng)域太廣，每塊都涉及一個(gè)非常大的產(chǎn)業(yè)鏈，每塊的主導(dǎo)廠家都不同，要吃透不容易。例如在智能汽車(chē)領(lǐng)域，話(huà)語(yǔ)權(quán)在誰(shuí)還未得知，車(chē)廠有車(chē)廠的系統(tǒng)，谷歌、蘋(píng)果也在進(jìn)入，那么對(duì)于安全廠商來(lái)說(shuō)，基于誰(shuí)的平臺(tái)來(lái)做安全系統(tǒng)也是個(gè)難題。

智能汽車(chē)需要新的安全評(píng)級(jí)指標(biāo)

對(duì)于汽車(chē)來(lái)說(shuō)，安全穩(wěn)定是最重要的因素。即便在機(jī)械時(shí)代，汽車(chē)也都把安全放在首要考慮的位置，像CNCAP這類(lèi)安全評(píng)級(jí)機(jī)構(gòu)也孕育而生。那么在智能汽車(chē)時(shí)代，不但要考慮機(jī)械安全，還要考慮軟件層面的安全，越智能、越科技也意味著風(fēng)險(xiǎn)因素越多，比如觸控操作替代機(jī)械操作，如果觸控不靈了或者屏幕壞了怎么辦，軟件運(yùn)行不穩(wěn)定出現(xiàn)故障無(wú)法操控怎么辦，甚至如谷歌的無(wú)人駕駛車(chē)還可能出現(xiàn)被惡意操控撞車(chē)的風(fēng)險(xiǎn)等，在這些因素下，原有的一套安全標(biāo)準(zhǔn)已經(jīng)不適用，畢竟汽車(chē)是個(gè)會(huì)造成公共安全危害的設(shè)備，沒(méi)有認(rèn)證的標(biāo)準(zhǔn)，單靠一個(gè)廠家的承諾是不足的，如果沒(méi)有安全標(biāo)準(zhǔn)管控，路上開(kāi)著的車(chē)可能就成為了一件武器，一旦發(fā)生事故責(zé)任該由誰(shuí)承擔(dān)又是個(gè)頭疼的問(wèn)題。因此，智能汽車(chē)真正要大發(fā)展，安全評(píng)級(jí)就不能停留在過(guò)去的方式上，急需一個(gè)軟件層面的認(rèn)證。

問(wèn)題也是機(jī)會(huì)，在汽車(chē)才出來(lái)時(shí)，它也是個(gè)不靠譜的玩意，它的不靠譜帶動(dòng)了從安全帶、氣囊到安全評(píng)級(jí)、道路管理、車(chē)險(xiǎn)等一個(gè)龐大的產(chǎn)業(yè)鏈；而在軟硬結(jié)合的時(shí)代，智能硬件的不完善也必將形成一片新的藍(lán)海。

【IT時(shí)代周刊編后】此前，已經(jīng)有國(guó)外媒體報(bào)道過(guò)有黑客利用特斯拉的6位數(shù)密碼實(shí)現(xiàn)對(duì)汽車(chē)的遠(yuǎn)程操控。而據(jù)公開(kāi)資料顯示，越來(lái)越多的犯罪黑客開(kāi)始瞄準(zhǔn)智能家電，安全問(wèn)題將成為智能設(shè)備不容忽視的一大問(wèn)題。日前，芝加哥企業(yè)數(shù)據(jù)安全公司trustwave成功入侵了一臺(tái)由日本建材和住宅設(shè)備巨頭“驪住”生產(chǎn)的機(jī)器馬桶，能通過(guò)藍(lán)牙連接操縱馬桶蓋的開(kāi)啟和關(guān)閉，甚至能讓馬桶向用戶(hù)下身噴射水流。【責(zé)任編輯/周冬樂(lè)】

作者東言東語(yǔ)，科技撰稿人，自由分析師。微信公眾號(hào)：東言東語(yǔ)（dongyandongyu001）

來(lái)源：IT時(shí)代網(wǎng)

IT時(shí)代網(wǎng)(關(guān)注微信公眾號(hào)ITtime2000，定時(shí)推送，互動(dòng)有福利驚喜)所有原創(chuàng)文章版權(quán)所有，未經(jīng)授權(quán)，轉(zhuǎn)載必究。
創(chuàng)客100創(chuàng)投基金成立于2015年，直通硅谷，專(zhuān)注于TMT領(lǐng)域早期項(xiàng)目投資。LP均來(lái)自政府、互聯(lián)網(wǎng)IT、傳媒知名企業(yè)和個(gè)人。創(chuàng)客100創(chuàng)投基金對(duì)IT、通信、互聯(lián)網(wǎng)、IP等有著自己獨(dú)特眼光和豐富的資源。決策快、投資快是創(chuàng)客100基金最顯著的特點(diǎn)。

相關(guān)文章

特斯拉被爆可被黑客遠(yuǎn)程控制，智能硬件安全市場(chǎng)浮出水面