汽车远程控制功能已经成为新车型的常见配置,用手机App就能远程启动发动机、打开空调、解锁车门、甚至把车从车位里遥控出来。这些功能在夏天提前开启冷气、冬天提前预热车辆的场景下确实很实用。但远程控制功能本质上是一把双刃剑:它给了车主远程操作车辆的能力,同时也给了攻击者远程攻击车辆的可能性。
远程控制功能的技术基础是车辆与云端服务器之间持续保持的网络连接。你的手机App发送一条指令到云端,云再将指令转发到车辆,车辆接收到指令后执行相应的操作。这条指令链条上的每一个环节都可能成为攻击目标。手机端的App如果存在安全漏洞,攻击者可以伪造指令;云端服务器如果被入侵,所有的远程控制请求都可能被拦截或篡改;车辆端的通信模块如果接收了恶意指令,可能在车主毫不知情的情况下被执行危险操作。
手机App是最容易成为攻击入口的环节。很多品牌的远程控制App要求不高,有些甚至没有开启多因素认证。如果你的手机被盗或者被恶意软件入侵,攻击者就可以用你的账号远程控制你的车辆。更隐蔽的做法是通过克隆SIM卡或者获取手机验证码来实现对车主账号的接管。一旦控制了账号,攻击者就能查看车辆的位置、解锁车门、远程启动发动机。还有更复杂的社会工程学攻击手段,攻击者通过钓鱼页面获取车主的账号密码,然后在受害者的车旁边实时操作,解锁车门进入车内盗窃财物。近年来全球范围内已经报道过多起通过攻击远程控制功能实现的车辆盗窃案件,涉案金额相当可观。
车辆端通信模块的漏洞是另一个重大隐患。车辆的远程控制指令由T-Box接收并处理,T-Box是一个集成了4G或5G通信模块的车载终端,直接连接到车辆的CAN总线或车载以太网上。如果T-Box的固件存在缓冲区溢出等安全漏洞,攻击者可以通过精心构造的网络包实现对T-Box的远程控制。理论上攻击者可以在世界上的任何地方向一辆联网汽车发送恶意指令。2015年的一起标志性事件中,研究人员远程入侵了一辆行驶中的SUV,控制了空调、音响、雨刮器等非安全功能,甚至影响到刹车系统。从那之后整个汽车行业大幅提升了联网功能的网络安全投入,但新的攻击面仍然在持续出现。
远程控制功能的认证机制是防御的核心。一个设计完善的远程控制系统应当包含多层认证:手机端需要生物识别支付级验证才能发送控制指令,云端需要对每一次控制请求进行重放攻击防护和时间戳校验,车辆端需要验证云端发来的指令是否来自合法的控制中心并且没有被篡改。但不同车企在这方面的实现水平参差不齐。一些老款车型的远程控制功能几乎没有有效的防重放保护,攻击者只要截获一次合法的开锁指令,就可以反复重放这条指令来控制车门。还有品牌在远程控制指令中使用了固定的鉴权令牌,只要破解一次就能获得永久性的远程控制权限。
远程控制的响应逻辑本身也可能被恶意利用。比如说远程启动发动机功能,在大部分车辆上的设计逻辑是:远程启动后,如果没有检测到合法的钥匙,车辆会在运行一段时间后自动熄火,并且无法挂挡行驶。但如果远程启动逻辑存在缺陷,攻击者可能利用这个功能让车辆持续运行直至耗尽燃油或电池。另外,远程解锁功能的日志记录也是一个盲点。如果攻击者通过技术手段远程解锁了车门然后关闭了车辆的网络连接,车辆就无法向车主或云端发送被入侵的警报。车主可能在完全不知情的情况下,自己的车被陌生人进入过。
数字钥匙技术引入了新的攻击面。现在很多车型支持手机作为数字钥匙,用手机的NFC或者蓝牙功能直接解锁和启动车辆。数字钥匙的便捷性毋庸置疑,但中继攻击针对的就是这种场景。攻击者使用两个设备,一个靠近车主的手机放大蓝牙信号,另一个靠近车辆端假装是车主的手机。两个设备之间通过高速网络连接把信号中继过去,车辆检测到"车主的手机就在旁边",自动解锁车门并允许启动发动机。2019年国外就出现过专门针对无钥匙进入系统的中继攻击工具,目前这类攻击对所有基于蓝牙和NFC的数字钥匙系统构成了现实威胁。
面对这些安全隐患,车主可以采取几项实用的防护措施。一是为远程控制App设置独立的强密码,并且开启App支持的生物识别验证和短信验证码双重认证。二是不在手机上安装来路不明的应用,防止恶意软件窃取账号信息。三是关注车辆制造商推送的OTA系统更新,及时安装安全补丁。四是谨慎管理车辆的数字钥匙权限,不随意分享给他人,发现车钥匙或手机丢失后立即重置数字钥匙。五是检查远程控制记录,定期查看App中的历史操作记录,如有不明操作要及时修改密码并联系车企客服。六是在车辆安全设置中查看是否有关闭远程控制功能的选项,对于长时间停放的车辆可以暂时关闭远程控制以降低风险。
远程控制功能给用车带来了实实在在的便利,但每一次便利背后都对应着一定的信任成本。车企的技术安全能力决定了这个成本的高低,而用户的安全意识决定了这个成本最终由谁来承担。在享受科技带来的便利时,养成给自己车辆远程控制功能加锁的习惯,是当代汽车用户基本的安全素养。
