「一分錢,一分貨」的概念大家都相當熟識,但是當自己成為付錢的當事人時,往往希望「低成本,高效益」,例如在支付一大筆金錢購買汽車時,再看看原廠額外服務或配備的價單,再看見網上有非官方的替代方案的價錢作比較,很多時就會忘記當中牽涉到的潛在風險。
開啟汽車的額外功能
現代的智能汽車功能十分多,連接互聯網、下載地圖和其他資料、與本地服務中心交換數據、和執行遙距的診斷和維修。車主甚至能夠安坐家中啟動汽車引擎,預先調較溫度等待車主上車,然而這一切都是羊毛出自羊身上,而且價錢絕不便宜,雖然一些知名車廠的貴價型號都把這些功能預設為標準配置,但是較低價錢的型號就會預先把有關功能鎖上 (以特殊數位密碼方式保護),車主需要另外付費購買。
然而,黑客能透過尋找智能汽車的漏洞,破解數位密碼保護中的功能,再以 USB 裝置的形式販賣,讓車主能夠繞過保安認證取得想要的付費功能,並於網絡上銷售。在今年三藩市的 RSA 2018 會議上,有專家找到特別的模組能夠重設里數計和在意外之後重裝安全氣袋,為車主節省維修的費用,也有工具能夠診斷和破解負費功能,盜版的導航應用程式和未經授權的配件等等,由於售價都比官方貨品較為便宜,往往能夠吸引到不用車主。
木馬韌體
單憑以上情況,車主好像沒有理由購買較昂貴的原廠產品及服務,然而貪圖便宜一點的方案有時會令車主得不償失。因為當連接上黑客售賣的「替代品」,那些工具便會取得汽車的整個系統存取權,包括車主的個人機密數據和控制功能,情況就像 Android 裝置的「Root 機」,非正式的韌體有機會為犯罪份子提供了新的機會。而且對黑客而言,智能車主是一個有錢的誘人目標,在黑市上就有世界各地已入侵汽車的存取資料販賣。
黑客提供的「有用」汽車程式不但能夠開啟上鎖的功能,甚至接近取得汽車的完全控制權,取決於黑客在韌體中加入甚麼編碼,他們可以監視汽車移動、盜聽對話、存取連接系統的智能手機、又或者關閉防盜裝置和解鎖車門。具規模的犯罪份子甚至可以加入加密勒索,在車主支援贖金之前汽車都無法啟動。
安全要靠自己
非常不幸,如果車主想防止汽車受到網絡罪犯威脅,可以倚靠的只有自由,即使早在 2015 年專家已經示範入侵智能的 Jeep,2016 年發現危險的第三方應用程式與汽車連接,然而製造汽車的廠方仍然低估堵塞漏洞的重要性,導致不少威脅至今仍然持續,除非情況有非常戲劇性的轉變,否則車主都要「自食其力」。
– 只使用官方應用程式和配件
– 定期更新汽車相關的韌體
– 使用防毒軟件掃瞄連接汽車的應用程式
