汽车越来越智能的今天，却也正变得更不安全。不是因为黑客太聪明，而是汽车公司面对这些安全漏洞时没什么有效的处理办法，除了召回。

本月中旬，荷兰内梅亨大学的研究员们终于公开发布了3年前的一项研究：破解Megamos加密算法，远程撬开汽车防盗器。这项研究2013年曾被法官以防止被犯罪团伙利用为理由禁止发布。

乍一看法官的判决还挺有道理，但只要漏洞没有被补上，就有可能被其他人发现并被利用，这时候他们就不一定会提前通知汽车厂商了。

计算机安全届的常规做法早已是允许一定时间后公布漏洞，从而强制出现漏洞的公司尽快修复安全问题。

电子车锁不是第一次出问题

可能法官自己也认为当时传统汽车制造商根本没有好的解决方案。事实也是如此。

就依赖射频识别（RFID）技术的遥控车钥匙而言，你可能经常听说有小偷拿着无线电波段干扰器在车附近徘徊，或者拿模拟其和汽车防盗器之间通信授权协议的假钥匙直接偷车。

这个安全漏洞2008年被公开以来，汽车厂商直到今天也没能解决。反倒是黑客通过软件工具破解遥控车钥匙和汽车防盗器之间加密算法的技术越来越先进了。

破解Megamos加密算法一来不需要靠近整车，二来破解时间更快。研究员们只需要在笔记本电脑上，利用软件工具来回交叉监听遥控车钥匙和Megamos安全加密系统2次，就能将密匙匹配限制在比以往更少的有限数量内。电脑最多只需要试196607次后——短则几分钟，最长也只要半小时，车门就可以被打开。

而车多快会被偷走？这取决于汽车制造商防盗器的出厂密匙结构有多脆弱。另外，汽车防盗器中Megamos加密系统的安全漏洞无法通过在线升级来完成。这其实是更大的bug。

汽车厂商还没有像科技公司一样的安全习惯

汽车内的不少固件模块装置这不同类型的芯片。本质上，它们都是一个个微型的计算机系统，包括汽车防盗器在内。为什么不能像电脑、智能手机一样在线升级呢？

任何软件都不会是绝对安全的，科技公司的解决方法是在发现问题后尽快修补，Windows系统提示的Hotfix往往就是为了修补安全漏洞。

第三方的安全专家（也就是白帽子）发现漏洞后提醒公司，并在一定时间后公布漏洞早已是常态软件业的常态。

然而，许多汽车公司内置的软件根本没有为快速升级做准备。今年克莱斯勒汽车被曝出可以远程控制汽车的巨大安全隐患后，这家公司的解决方法是寄出U盘，让用户自己手动升级。而这还不是最差的。

相比之下特斯拉就要好得多。前几天的DefCon安全大会上，有黑客宣布找到破解Model S的方法。消息公布后一天，特斯拉通过互联网向所有车主的车载系统推送了安全补丁，修复了此次发现的漏洞。

存在这个安全算法漏洞的汽车公司名单上，包括大众、奥迪、菲亚特、本田、沃尔沃、保时捷、宾利、还有兰博基尼。其中，大众和奥迪甚至是全球销量最好的汽车品牌。这意味数量庞大的车主面临着不同程度的人身和财产受损的威胁。

虽然无人驾驶汽车还很远，但部分取代人操控的计算机软件辅助控制已经很常见，有些车可以在高速公路上自动追随前车调整车距甚至变道、有些车可以识别路牌自动调整车速、有些车可以在侦测到有撞击风险时自动越过驾驶者接管汽车的控制。

所有这些实用的功能都意味着计算机对汽车控制能力的增强。相应的，如果被黑，它们带来的人身危险将远远高于你口袋里的手机或者家里的电脑。

学会像科技公司一样应对软件安全隐患将是汽车智能化以后，汽车厂商所必须学会的事。