克莱斯勒这一周很糟糕。周二，《连线》杂志发表了一份精彩而扣人心弦的报告，详细描述了克莱斯勒UConnect系统中的一个公开漏洞，攻击者可以控制变速箱、刹车，甚至转向。文章发表时已经有一个补丁可用，但由于汽车需要物理更新，大多数汽车没有收到它。今天，克莱斯勒加大了赌注，要求140万辆汽车向经销商报告或安装通过USB发送的补丁。这是我们所见过的汽车公司最大的弱点，也是一个第一手的例子，说明一旦问题出现，修补起来有多难。

黑客看起来很糟糕-有线的安迪格林伯格字面上是被迫进入沟黑客-但修补过程是更重要的，克莱斯勒的失败，那里应该有更多的麻烦。bug是软件开发中不可避免的一部分，因此重要的问题是，当不可避免地发现bug时，您的响应速度有多快，从而给攻击者提供尽可能小的窗口来利用新发现的弱点。只要克莱斯勒必须手动更新汽车软件，这个窗口是敞开的-这应该比任何高速公路演示更可怕。

如果Heartbleed这么顺利的话，就没有什么可报道的了

本周的bug虽然令人震惊，但却是安全研究的最佳案例。好人们首先发现了这个***：研究人员查理·米勒和克里斯·瓦拉塞克对利用这个***向敌人复仇或将其卖给暴徒以获取快速回报没有兴趣。当这个漏洞被报告的时候，克莱斯勒已经准备好了补丁，并且没有证据表明有人曾经利用这个漏洞达到邪恶的目的。如果Heartbleed这么顺利的话，就没有什么可报道的了。

一旦克莱斯勒试图在汽车上安装补丁，问题就出现了。由于没有办法自动更新汽车，因此该公司只能亲自更新经销商的信息，在某些情况下，还可以向受影响的客户邮寄U盘。结果是进攻和防守明显不匹配：UConnect使汽车容易受到远程攻击，但克莱斯勒没有办法通过推出补丁来远程防御。克莱斯勒还进行了网络级别的更改，似乎减弱了攻击，但修复该车的软件仍然需要亲自与USB联系。

这在本案中令人尴尬，但在未来几年可能是灾难性的。发表在《连线》上的攻击并不是侵入UConnect的唯一途径——它只是我们所知道的唯一途径。可以肯定的是，未来几年将会发现更多的漏洞，如果克莱斯勒要保证司机的安全，它需要一种快速修补这些漏洞的方法。只要公司坚持手动更新，新的攻击就会比旧的攻击发展得更快，攻击者就会围着防御者转。

修补被认为是汽车最大的单一安全问题

特斯拉在这方面领先，已经提供了无线更新，但即使是经验丰富的软件公司也难以推出补丁。大多数系统中最常见的单一安全缺陷是一台运行过时且易受攻击的Flash或internetexplorer版本的旧计算机，这仅仅是因为没有人费心安装更新。这个问题在移动设备上更为严重。iOS和Android安全性的最大区别在于，苹果可以随时推出自动更新。运营商的意思是，当一个像最近的WebView bug这样的漏洞出现时，谷歌根本没有办法修复它。这是智能**最大的单一安全问题，也可能是汽车最大的单一安全问题。

从我朋友的反应来看，这个弱点让很多人对联网汽车的想法完全没有兴趣。为什么要给汽车一个调制解调器呢？目前的好处相对较小，而不利的一面则是可怕的。为什么不让汽车远离电网呢？

我不相信。网络软件的好处太深刻了，不可能永远切断汽车的连接。但是安全是一个严重的问题，没有局部的解决办法。网络系统总是容易受到网络攻击，这给**商带来了沉重的责任。承担这一责任意味着要维护一整套安全措施，从研究团队到漏洞赏金，再到一个完整且经过考虑的修补系统。在这一障碍消除之前，汽车**商可能会重新考虑给汽车提供一个IP地址来保护的好处。