治疗白癜风的著名专家 http://m.39.net/disease/a_5443981.html

若马儿懂语言，它会说：“我是一匹被感情拴住的野马，脱缰之日便是我放荡之时。”如今，马儿得以解脱，取而代之的是用铁血钢筋打造出的车辆“铁马”。

然而，正所谓“铁血也柔情”，如今这匹“铁马”似乎也想脱缰放荡一回。

智能车联网的中控系统作为整车的“大脑”部分，亦是最脆弱的地方。通过应用漏洞、系统漏洞、网络攻击、OTA攻击等方式，黑客可以远程控制网联车系统，甚至影响动力系统的正常运行。

当一个人，一台笔记本就可以操控一辆真车的时候；这匹“铁马”脱不脱缰，似乎已经不是传统车厂力所能及的事情了。

随着汽车新四化（网联化、智能化、电动化、共享化）时代的大跨步走来，传统车厂需要一个能够“悬崖勒马”的人来加固这根缰绳，当然，奔驰也不例外。

12月18日，梅赛德斯-奔驰宣布修复了奔驰智能网联汽车的19个有关潜在漏洞，而此次漏洞的挖掘与修复过程，梅赛德斯-奔驰研究人员与智能网联汽车安全实验室（Sky-Go团队）进行了紧密合作。

一口气被挖出19个漏洞？这些难道都是些无关紧要的小bug？危害性如何，是不是像手机漏洞那样会造成隐私泄露呢，会有更严重的事情发生吗？

实际上，一般汽车信息安全事件都是由多个漏洞组成的，比如以往像克莱斯勒、吉普、自由光汽车攻击也是有好几个漏洞组成的。

但是，火车再长终归是有头有尾，据相关人士透露，这19个漏洞中有两个对整个攻击路径的搭建起到决定性作用，且部分漏洞无法修复，只能通过关停服务来解决问题。

至于目前这19个漏洞具体啥情况，我们不得而知，但雷锋网发现，相比平板、手机出漏洞，似乎汽车漏洞这件事本身对于车主来说更多的还是好奇。

在被问号三连包围的车主脑海里，汽车这么个交通工具为啥能和漏洞扯上关系，车主们是着实搞不懂。

“脱缰野马”有多可怕？

想象一下，一块木板和一张报纸的一角同时浸入水中，结果如何？没错，木板只会湿一角，而报纸则会整张浸透。

汽车漏洞，就像是报纸的一个角，一旦发现漏洞，轻则影响系统运行，重则牵一发而动全身。

怎么，不相信？那咱就用事实告诉你汽车出bug究竟有多严重吧。

事件1：存不住秘密的汽车

年7月，包含大众、特斯拉、丰田、福特、通用、菲亚特克莱斯勒等百余家汽车厂商机密文件被曝光。

其涉及内容从车厂发展蓝图规划、工厂原理、制造细节，到客户合同材料、工作计划，再到各种保密协议文件，甚至员工的驾驶证和护照的扫描件等隐私信息，共计千兆字节，包含近47,个文件。

问题的背后，是这些车厂共同的服务器供应商，名叫LevelOneRoboticsandControls。该公司是一家数据管理平台公司，主要提供基于客户原始数据的定制化服务。

其在使用远程数据同步工具rsync处理数据时，备份服务器没有限制使用者的IP地址，让非指定客户端也能连接，并且未设置身份验证等用户访问权限，比如客户端在接收信息前进行身份验证等，因此rsync是可以公开访问的，任何人都能直接通过rsync访问备份服务器，这是这起事件的主要原因。

遭泄露的客户员工数据

该问题由UpGuard安全团队的研究员ChrisVickery于7月9日报告给LevelOne。10日，LevelOne采取断网脱机的方式，暂时止住了数据库裸露。暴露的信息主要包括客户数据、员工信息及与LevelOne协议数据三类。

猜猜看，世界上哪来的那么多高拟真的山寨产品？这也许就是原因之一。尽管目前还没有出现这种情况，但要是放任不管，哪天也许你开的名牌超跑有可能是华强北产的哦！

事件2：汽车秒变神奇挖矿机

你听说过汽车挖矿机吗？没错，如果你的车存在漏洞，那黑客就可以用它来做各种各样神奇的事情。

年3月，作为“科技巨头”的特斯拉被爆出，其AmazonWebService（AWS）云端服务器帐号遭到黑客入侵，一系列敏感数据因此外泄。

泄露数据包括：遥测数据、地图信息及车辆维修记录等。更有趣的是，该黑客入侵这些服务器的目的并不单单是获取其敏感数据，还趁机将这些服务器变成挖矿机，用来执行加密虚拟货币挖矿恶意程序。

这起事件中，黑客入侵了Tesla缺乏密码保护的Kubernetes主控台，在某个Kubernetes容器包（Pod）中获取了Tesla的AWS环境下的账户登入凭证。该AWS环境中有一个AmazonS3（AmazonSimpleStorageService）储存贮体（Bucket）内含敏感数据（如遥测数据）。随后，黑客进入Tesla的AWS服务器，利用Stratum比特币挖矿协定部署了一个挖矿作业。

目前暂未披露，该挖矿作业具体执行了多久，以及挖了多少虚拟货币。但可以肯定的是，该黑客运用了一些技巧来避开侦测并暗中执行作业，包括将恶意程序隐藏在某个CloudFlare的IP位址背后，以及尽可能压低挖矿时的CPU资源用量等。

智能网联汽车的很多功能都依靠与云服务的大量数据交互来完成，因此，无论对于主机厂，还是服务提供商等，都部署或使用了大量云服务器。这都将成为这些不法分子的潜在攻击对象。

事件3：“自焚”上头的汽车

看了前两个案例，也许会有人说，汽车厂商泄露数据和车主的关联不大，而遇到突发奇想用汽车挖矿的黑客的似乎也不会有太多。那如果，一个人用一台电脑就可以接管整车的控制权，你怕不怕？

先别急着说这种说法过于天马行空，早在几年前，便证实了这一想法。

年5月7日，一名来自美国俄亥俄州的白人男子JoshuaD.Brown，在使用特斯拉Autopilot自动模式时发生事故死亡。

你们猜猜看，当时这位车主经历了什么？

造成这次事故的原因，NHTSA在一份初步报告表示：当时在一个十字路口，特斯拉前面的一辆大型拖车在路口左转，但可能由于拖车高度较高，特斯拉的自动制动系统未能工作。

在这之后，智能网联汽车安全实验室主任刘健皓对这次的事故进行了分析。他表示，特斯拉通过ADAS功能的Mobileye摄像头、77G毫米波雷达以及车身8个超声波传感器实现自动驾驶的功能。

在事故发生的时候，白色大型拖车左转弯行驶过来的时候，特斯拉的ADAS识别到白色物体，导致图像识别的功能基本丧失：强光打在白色拖车上，白色反光可能使摄像头致盲，识别不到路面车辆。

白色拖车的高度过高可能也是导致这起事故的原因之一。拖车的高度高于毫米波雷达的探测距离，导致毫米波雷达没有检测到前方有障碍物。

据刘健皓透露，特斯拉自动驾驶7.1版本能够识别箱式货车。当时这辆白色拖车可能在行驶过程中车头与车厢的间隙太大，特斯拉的传感器无法识别对相向而来或从侧面拐弯过来的拖车，只能识别到前方车头，最终导致毫米波雷达在输出结果上出现问题。

自动驾驶有两大类：一个是感知，一个是控制。前者依赖于传感器，但是存在技术盲区，比如摄像头，可能有强光对它造成致盲，或者其他光学攻击让图像识别的功能丧失。毫米波雷达和超声波也可以通过其他方式对他们进行干扰，造成自动驾驶数据的不可靠，从而反向造成车辆控制的不可靠，最终造成交通事故。

与之类似的攻击事件频频出现，汽车安全问题已经超出了传统车厂的认知范围，安全厂商的出面协助就显得尤为重要。

如何保证网联车安全？

这些汽车，显然都不是车主们通常认知的种类，之所以让黑客有机可乘，是因为它们全部都是网联车产品。

智能网联车的中控系统作为整车的“大脑”部分，亦是最脆弱的地方。通过应用漏洞、系统漏洞、网络攻击、OTA攻击等方式，黑客可以远程控制网联车系统，甚至影响动力系统的正常运行。

正所谓“铁血也柔情”，人们常说汽车的出现彻底解放了马儿，而网联车系统的出现，也让让这匹“铁马”有了脱缰放荡一回的机会。

当电影桥段变成现实，安全厂商正在努力为汽车构建一个坚不可摧的网络安堡垒。

比如，车载娱乐系统。

你还记得被绑在座椅后面，很少被人