大众等6品牌汽车防盗系统存漏洞：可能导致集中召回

  大众等6品牌汽车因一项技术的应用使得这些汽车很容易被黑客攻击，大众中国方面承认技术漏洞的事实。

　　原题：大众等6品牌汽车防盗系统存漏洞

　　易被黑客攻击

　　大众等6品牌汽车因一项技术的应用使得这些汽车很容易被黑客攻击，大众中国方面承认技术漏洞的事实，并表示被提及车型的防盗性能总体上是安全的，但对是否涉及中国市场以及如何处理相关车辆，并未表态。

　　法治周末记者 马金顺

　　据美国彭博社8月14日报道，一项专家研究显示，数千辆大众汽车防盗锁加密系统存在安全风险。而大众汽车公司两年前就已经知悉此事。

　　两年多以前，欧洲3名计算机科学家发现，涉及奥迪、菲亚特、本田、起亚、大众和沃尔沃6品牌的126款汽车，由于使用了瑞士EM Microelectronic制造的芯片(这些芯片存在漏洞)，很容易被黑客攻击。不过，由于大众采取的法律措施，这一发现此前一直处于保密状态。直到目前，通过一项法律和解协议，这些文件才被公布。

　　对此，大众汽车集团(中国)(以下简称大众集团)公关传播部向法治周末记者确认了芯片存在漏洞的事实，“根据相关研究成果显示，就一些老款车型(配备的是相关报道中所提及的防盗监控系统)而言，盗窃分子至少需要一套配套的车钥匙及两次以上成功启动的记录才可获得相关破译信息。基于上述事实，被提及车型的防盗性能总体上是安全的”。

　　此外，大众集团强调，大众汽车现有产品的防盗监控系统的安全等级则更优。对于是否涉及中国市场以及如何处理相关车辆，大众集团并未提及。

　　与汽车智能钥匙有关

　　报道称，这一漏洞与当前汽车采用的智能钥匙有关。以往，窃贼需要手动点火才能发动汽车。而目前，汽车钥匙和点火开关中使用了计算机芯片。只有这两个芯片相互接近并发出正确的代码后，汽车才能发动。

　　这一技术使得窃贼无法盗走汽车。即使他们能复制实体钥匙，但如果没有芯片，汽车也无法发动。

　　然而信息安全研究人员发现，这些芯片由于使用了过时的加密技术，存在漏洞。如果有人监听芯片的通信过程，只需两次，那么就可以通过计算机去识别其中的模式，随后复制钥匙和芯片。因此，代驾司机将有可能窃取汽车，而用户在租赁汽车并归还后也有可能进行盗窃。

　　其实，上述信息安全研究人员于2012年就已经发现了这些漏洞，并且告知了汽车厂商，同时，给EMMicroelectronic公司9个月时间去修复问题，随后会把这一漏洞公之于众。

　　然而，大众集团于2013年对研究人员和几所相关大学提起了诉讼，阻止他们公开发布这一发现。英国一家法院最初出于汽车用户的安全问题对大众集团表示支持，而双方近期达成了和解，这一信息才得以公开。

　　在大众集团给法治周末记者回复的邮件中，并未对阻止研究者公开这一发现的做法作出回应。

　　系统漏洞不可避免

　　多位业内人士向法治周末记者指出，随着智能汽车和车联网时代的到来，传统汽车行业面临的安全问题早已超越了车部件本身，汽车遭受黑客威胁的事件也越来越多。

　　除了上述大众等品牌汽车智能钥匙漏洞外，近日，菲亚特克莱斯勒宣布召回140万辆汽车，原因是其旗下Jeep自由光车型车载系统软件存在漏洞，可能被黑客利用。这也是全球首例因黑客风险而召回汽车的事件。

　　汽车行业分析师张志勇向法治周末记者介绍说：“现在汽车车联网智能化的发展趋势，是把汽车产品从过去仅仅是一个交通运输工具逐渐演变成一个跨界的产品，即既是一个交通工具，同时又是一个移动终端、IT产品，这其中有很多互联网的功能，但只要是IT产品，就有被黑客侵入的危险，这并不是大众等品牌面临的个案，而是所有的互联网化、电子化、智能化产品都面临的危险。”

　　游侠安全网创始人张百川对此表示赞同，他说：“出现漏洞是不可避免的。比如Android系统从手机上转移到汽车中，其实系统漏洞是一样的，只是界面发生了变化。”

　　猎豹移动安全专家李铁军也称，“不管是汽车还是家电等智能化产品，从表面上看，厂商将产品与互联网技术结合的很好，但是从专业技术人员来看，漏洞是比较严重的，并且有一些漏洞是比较初级的”。

　　在张志勇看来，不管智能化的技术、车联网的技术多么复杂，总会有黑客去破解，这是必然的，这也是未来新的智能化产品所面临的共性问题，需要全社会、全行业共同解决的问题。

　　“电脑、手机系统被黑客侵入，通常会导致个人信息被泄露、最多也就是财产损失，而汽车产品的系统一旦被侵入，用户面临的可能就是生命健康问题了。”张志勇说。

　　可能导致集中召回

　　那么，大众汽车将会如何处理这些存在软件漏洞的车辆，会不会如菲亚特克莱斯勒一样发起召回呢？

　　大众集团在回复法治周末记者的邮件中并未对此进行表态。

　　张志勇认为，只有当产品存在缺陷威胁到消费者的健康和生命安全时，才适用召回，其他情况可能也会召回，但更多是通过三包的方法来进行解决。

　　不过，李铁军则表示，汽车不像windows等这些电脑软件，直接在线升级就能修好。对于汽车来讲，一旦发现系统存在漏洞，很有可能需要集中召回，由专业技术人员对其系统进行修复。

　　据了解，菲亚特克莱斯勒公司召回相关车辆后，提供的解决方案有两种：一、将车送至经销商处，由4S店工作人员负责为客户进行系统升级；二、自行下载软件更新，将其保存至U盘，随后插入汽车仪表板处的USB接口，在车机上执行安装程序即可。　　在张志勇看来，这些漏洞是无法彻底修复的，“当前只能解决所发现的问题，修复之后，还会有新的漏洞出现，就如电脑一样，每隔一段时间，就要进行一次系统升级”。

　　“任何一个公司都是永远处在一个持续改进、与黑客进行破解与反破解的过程之中。”张志勇说。

　　但是，张志勇认为，虽然系统漏洞无法避免，但也不能简单说智能汽车没有传统的燃油车安全，当然也不会阻碍汽车智能化的发展。

　　“智能化的发展肯定会持续进行，这些漏洞只会警醒我们怎么在汽车的智能化上做得更好。另外，还一定会促使相关部门或者行业协会来制定相关的规范和标准，同时会引起司法部门对此监管的重视，一旦发现黑客人群有危险行为，对其实施相应的处罚。”张志勇进一步补充说。

　　“随着互联网对汽车介入越来越深，汽车将会更智能，受攻击的可能性也会增大，但同时在这方面的研究会逐步增多、防御水平也会越来越高。”张百川说。