编译 / 张 鸥

编辑 / 周 洲

设计 / 赵昊然

来源 / Automotive News，作者：Karn Dhingra，题图：WESLEY TINGEY

在我们不太熟悉的黑客世界中，实际上存在着派别，最常见的三大类被称为黑帽黑客、灰帽黑客以及白帽黑客。

黑帽黑客是一种在未经允许的情况下擅自入侵他人系统，借此获取利益或者进行破坏的黑客，也是最为人熟知的一类；灰帽黑客有时可能会违反法律或道德标准，但不具有黑帽黑客典型的恶意意图；白帽黑客又称为道德黑客，他们利用黑客技术识别硬件、软件或网络安全漏洞，并且尊重法律规则。

而这些白帽子，便是正在与各行各业进行合法交易的一群人。

根据以色列网络安全公司 Upstream 的数据，与 2018 年相比，2022 年公开报道的汽车网络攻击数量猛增 239%。由于汽车在操作、信息娱乐、自动驾驶和安全系统方面越来越依赖软件、传感器和计算机，网络安全已成为该行业的一个主要问题。

因此，汽车公司们俨然成为了白帽黑客的新客户群。他们寻找车辆的安全漏洞并通知汽车制造商和供应商。然而到目前为止，这个行业支付给黑客们的报酬比其他行业要少得多。

2022 年，白帽黑客先后通报了宝马、法拉利、福特、捷豹路虎、梅赛德斯 - 奔驰、保时捷和丰田的安全漏洞，包含多个车型与系统的客户信息、后端操作。他们还发现了 SiriusXM 远程信息处理服务的缺陷，这些缺陷造成本田、现代和日产汽车出现问题。

帮助经销商清除车辆个人数据的 Privacy4Cars 公司的创始人兼首席执行官安德烈 · 阿米科（Andrea Amico）认为，随着汽车制造商扩大软件服务，未来几年甚至会有更多的消费者数据有可能被曝光。他说：" 抱着恶意想法的黑客们正在虎视眈眈。"

交保护费是必经之路

2016 年 2 月，特斯拉与 Bugcrowd 公司联合启动了漏洞赏金计划，为发现其软件漏洞的黑客提供奖金，金额高达 1 万美元。同年 7 月，菲亚特克莱斯勒汽车公司也推出了这一计划，提供 500 美元到 1500 美元不等的金额，合作伙伴依旧是 Bugcrowd 公司。

Bugcrowd 成立于 2011 年，于 2019 年成为互联网上最大的漏洞赏金和漏洞披露公司之一。

通用汽车同样在 2016 年开始了漏洞赏金计划，由旧金山的 HackerOne 公司管理，该公司还协助宝马、福特、Rivian 和丰田开展了项目。

由于客户在合同中增加了服务，HackerOne 的汽车业务从 2021 年到 2022 年跃升了 400%。除了漏洞赏金计划，HackerOne 还提供漏洞披露、在线系统的渗透测试和其他服务。

底特律韦恩州立大学电气和计算机工程系主任穆罕默德 · 伊斯梅尔（Mohammed Ismail）表示，汽车行业在网络安全方面落后于其他行业。

伊斯梅尔说：" 对于任何新技术，这都是一个非常典型的情况。当 Wi-Fi 和蓝牙在 25 年前开始出现的时候，这些技术花了很多年才发展成熟，实现安全连接。"

伊斯梅尔估计，汽车行业还需要大约 5 年的研发时间去进行试错，才能生产出数百万辆以软件为主并且安全的汽车。

友好的白帽黑客则是帮助该行业实现这一目标的关键群体之一。

梅赛德斯 - 奔驰汽车和货车公司的 IT 通信经理卡佳 · 李森菲尔德（Katja Liesenfeld）在一封电子邮件中说：" 使用漏洞赏金平台是引进安全社群知识和专长的一种有效方式。我们不能提供更多关于任何技术细节的信息，因为这些项目是私有的。"

包括福特、捷豹路虎、日产、Stellantis、宝马、保时捷和大众在内，大多数汽车制造商不愿意谈论他们在数字安全方面的花费，本田则表示自己根本没有漏洞赏金计划。

通用汽车公司首席网络安全官兼汽车信息共享和分析中心组织（Auto-ISAC）副主席凯文 · 蒂尔尼（Kevin Tierney）表示，大多数汽车行业都在积极应对网络安全问题。

Auto-ISAC 是一个由汽车制造商组成的团体，他们会分享有关潜在网络威胁、漏洞和事件的信息。

蒂尔尼说：" 每个人都在采取大动作，进行大投资。"

最小气的行业

汽车行业在过去一年共支付了 483809 美元的漏洞赏金，是 HackerOne 追踪的八个行业中最少的。

互联网部门去年共支付了 1310 万美元，电信行业支付了 470 万美元，甚至连政府给的都比汽车公司多，达到了 703084 美元。

根据 HackerOne 的一份报告显示，汽车行业平均每次漏洞检查的奖金略高于 2000 美元。例如，Stellantis 与 Bugcrowd 公司合作，为每个发现的漏洞支付 150 美元至 7500 美元不等，在 2022 年 12 月 -2023 年 2 月期间，平均一次漏洞审查支付的奖金仅为 737.5 美元。

而汽车行业之外的数字呢？

根据新闻网站 SecurityWeek 报道，2 月份在迈阿密举行的探索工业网络漏洞的会议上，黑客们每发现一个漏洞能获得 5000 美元至 4 万美元奖金。

谷歌公司发言人埃德 · 费尔南德斯（Ed Fernandez）在一封电子邮件中说，2022 年，该公司支付的赏金中包括了一笔创纪录的 60.5 万美元。英特尔公司发言人珍妮弗 · 福斯（Jennifer Foss）说，自 2017 年以来，英特尔通过其漏洞赏金计划共支付了 410 万美元。

在这样悬殊的对比之下，白帽黑客们当然会出现不满，他们中的一些人希望汽车行业加大赏金力度。

2022 年底，佛罗里达州萨拉索塔市的黑客伊顿 · 兹韦雷（Eaton Zveare）攻破了丰田公司的全球供应商管理门户网站，获得了对 1.4 万个公司电子邮件账户的读写权限、相关的机密文件、项目、供应商排名、评论和其他信息。他通知了丰田，这一问题很快得到了处理。

兹韦雷对丰田的迅速反应十分认可，但他对缺乏金钱补偿感到失望。

他说：" 考虑到他们每年赚取的利润，我认为，他们应该拨出一些给安全部门，用来奖励研究人员。"

佛罗里达州清水市网络安全咨询和培训公司 KnowBe4 的网络安全顾问罗杰 · 格莱姆斯（Roger Grimes）表示，如果汽车制造商希望安全研究人员帮助寻找缺陷，他们需要提供足够的奖励。

他说：" 要找聪明人来帮助你寻找和消除漏洞，但是不愿意花钱，这是非常愚蠢的行为。"

如果长期吝啬下去，白帽黑客可能会感到气馁，并将他们的努力转向有高回报的行业。更糟糕的是，他们或许会将自己的技能卖给针对汽车行业的意图不轨的人。

格莱姆斯预计，黑客攻击将成为汽车制造商们需要长期处理的问题，迫使他们反复检测，反复改进，确保安全和防盗系统尽可能地完美。

HackerOne 首席安全技术专家凯拉 · 恩德科勒（Kayla Underkoffler）在一封电子邮件中说：" 汽车是日常生活中的一个重要组成部分，如果安全问题没有经过一次又一次的测试，后果可能是灾难性的，我们需要最好的头脑来研究解决方案。"

本文由汽车商业评论原创出品

转载或内容合作请联系说明

违规转载必究

扫码加入读者微信群

交流汽车话题

点击阅读原文

▼