自动驾驶从概念的提出到特斯拉、谷歌、百度等公司的实践，激发了人们对未来交通模式的憧憬。然而，不久前特斯拉自动驾驶导致的致命事故，则引发了汽车行业和IT行业对于自动驾驶安全性的审视。

在拉斯维加斯举行的第24届Defcon大会上，来自360公司的刘健皓和来自浙江大学的徐文渊教授以及她的学生闫琛共同发布了他们的联合研究成果。史上首次展示了通过针对汽车的环境传感器的攻击，可以导致自动泊车、自动驾驶等功能的失效，甚至严重的安全事故。

他们的演讲安排在下午一点钟的Defcon主演讲厅进行，不到12点半，就有人匆匆忙忙吃完午饭赶来排队，安全牛记者也在现场聆听了这场演讲。 笔者在12点45分赶到时，门口排队等待进入的听众已经排了几十米的长队了。进入演讲厅，找到座位坐下，一点钟演讲正式开始。

演讲由刘健皓和闫琛共同完成。首先，由刘健皓给观众介绍了自动驾驶的一些基本概念。原来，根据SAE给出的自动驾驶的标准，特斯拉的AutoPilot属于L3的半自主驾驶，而谷歌正在试验中的无人汽车，则是属于L5的完全自动驾驶。在座的听众虽然都是安全领域的专家，但是对于车联网和自动驾驶领域，大部分人也都比较陌生。有不少人在低头记录或者用手机拍摄现场打出的PPT。

左起：闫琛、刘健皓

刘健皓进一步介绍了自动驾驶技术架构。因为本次攻击是针对传感器的攻击，所以刘健皓特地介绍了特斯拉自动驾驶所采用的环境传感器。包括近距离测量的超声波传感器，用于远距离测量的雷达传感器以及用来进行图像识别的摄像头。研究人员的攻击就是针对这三类传感器进行的。

接下来， 闫琛开始讲解和演示针对各类传感器的具体攻击。

首先是超声波传感器。在很多厂商的车型中，超声波传感器被泊车辅助系统用来判断障碍物的有无以及与障碍物的距离。而闫琛他们则利用了低成本的Arduino和超声波发生器(总价不过40美元)，对超声波传感器的超声波信号进行干扰。发起阻塞（类似于DoS）攻击，欺骗攻击以及信号消除。

闫琛的演示采用了漫画和视频结合的形式。 漫画是典型的欧美幽默漫画的风格，而视频则是展示了对传感器的各种攻击效果。其中一个视频中，闫琛站着车前面，开启特斯拉的自动驾驶模式，屏幕上显示前方有障碍物，车不启动，而当闫琛开启攻击模式后，人没动，屏幕上原来显示的障碍物却没了。而汽车启动向人撞过去了。当汽车被欺骗并成功启动的时候， 全场响起了热烈的掌声。

其次是关于雷达传感器的攻击。 针对雷达传感器的攻击需要模拟雷达信号，需要信号振荡器以及信号分析仪器。闫琛开玩笑说，这批设备抵得上3俩Model S，要是实验失败把设备撞坏了，他就毕不了业了。台下一片笑声。

对雷达传感器的攻击，主要演示的是阻塞攻击。原理与超声波传感器的攻击类似，利用噪音信号压制住雷达本身的信号，使得传感器对距离的判断产生失误。同样的，漫画和视频结合的演讲非常的引入入胜。尽管两位主讲人的英语都不是母语，现场观众的热烈反应就好像丝毫不受语言的影响，掌声和欢笑声不断。

然后是关于对MobileEye视频摄像头的攻击。这里两位演讲者展示了“利用激光束使MobileEye的视频摄像头完全失灵”的攻击手法。 MobileEye就是为特斯拉提供自动驾驶技术的提供商。这个研究也揭示了MobileEye的摄像头是存在潜在的被攻击风险的。

最后，闫琛总结道，这一类的攻击证实了通过传感器对处于自动驾驶模式下的汽车进行攻击是实践上可行的。虽然展示的攻击并不是能够轻而易举的做到，但是，如果是有针对性的进行攻击，自动驾驶还是存在一定安全风险的。演讲结束，全场再次响起热烈的掌声。

会后，笔者与演讲者之一刘健皓进行了简单地交流。

安全牛：健皓，恭喜你和闫琛，你们的演讲非常好。

刘健皓：谢谢，我们也很高兴，闫琛为了这个PPT准备了很多。现场的老外都惊呆了。这次也让他们对中国的汽车信息安全刮目相看了。

安全牛：今年黑帽和Defcon的演讲，关于汽车破解最火的一个是你们这个，一个就是Charlie Miller他们那个破解Jeep的。我听谭总说其实你们去年的水平就已经跟他们很接近了。能介绍一下你们的研究吗？

刘健皓：汽车安全这块我们360投入很大， 我们有一个专门研究汽车安全的团队 我们和很多的汽车厂商都有合作。 我们的安全研究包括了很多的方面。 我们360公司的其他安全团队也有着很多相关的研究。 比如昨天我们独角兽团队的同事李均和曾颖涛在Defcon的Car Hacking论坛上交流的主题也是关于汽车安全的异常检测和汽车防盗锁的安全的。 其实我觉得从研究的系统性和广度来说， 我们甚至超过了Charlie Miller的团队， 因为毕竟他们只是个人兴趣爱好在业余做研究。

安全牛：健皓，你觉得汽车信息安全方面最大的困难是什么？

刘健皓：我觉得最大的问题是我们搞安全或者是搞IT的和汽车厂商那边搞自动控制的工程师们的设计理念和文化背景不同，这使得大家在沟通上挺困难的。比如我们曾经参加过和一个车厂的技术交流。我们就感觉，双方产品理念的差距比较大。我们不理解他们的产品设计思路，他们也不认同我们的产品设计理念。这样跟车厂很难进行安全方面的深度合作。

安全牛：确实，去年Charlie Miller他们那么轰动的破解Jeep车的案例。好像他们自己说跟车厂联系人家也不理他们。

刘健皓：我们还好，跟车厂合作还是比较紧密的。主要还是一个磨合的过程。

安全牛：感谢健皓接受我们的采访，也感谢360团队和徐文渊教授的团队给我们带来精彩的研究。

刘健皓：谢谢。我们会继续努力。

安全牛评

这次Defcon上展示的攻击，其基本思路与震网病毒对伊朗纳坦兹核工厂的攻击是类似的。即都是通过对外部环境变量的攻击，来欺骗系统。这一类的攻击是目前针对物联网系统（比如工控和车联网系统）的主要攻击手段。不同的是，震网病毒攻击的是传感器模数转换后的传输阶段（阻塞离心泵转速数据传回DCS），而闫琛所展示的攻击则是在模拟信号阶段进行干扰。这更加难以防范。由于是针对传感器的攻击，所以很难能够有效地进行防范，虽然闫琛在演讲中提到了通过增加传感器数量，引入一些异常检测机制等办法，但笔者认为除非对车联网的安全架构进行重新设计，否则这些方法也只是能够降低风险，而并不能治本。

而谈到安全架构设计，就不得不谈到物联网产品的安全设计理念问题。物联网与互联网有个本质的不同，那就是物联网打交道的是物理资产，而互联网/IT打交道的是数字资产。数字资产的特点是容易复制，所以对数字资产保护重视“防丢失”不在意“防损坏”（损坏很容易恢复）。而物理资产的特点正相反，是重视“防损坏”不在意“防丢失”（丢失很容易察觉）。所以在以互联网/IT的产品思路去设计物联网安全产品的时候，往往就会碰到像刘健皓他们碰到的与对方理念不同的情况。因此，对于致力于物联网安全的企业来说，要打破从互联网/IT产品设计的惯常思路，才能够真正设计出适合物联网的安全产品来。