关不上的魔盒:谁能扼住“汽车空中下载”技术的缰绳?

大时代 2019-08-02

撰文:徐鸿鹄 & 超级路 | 排版:王晓峰 |矫版:王晓峰

⚠ 全文总长约含9,500字,预计您的阅读时间为20分钟。

公众号:几何四驱 (ID: GeometryAWD)

欢迎后台索引“群组” 加入几何四驱读者讨论群。


“超级路”逛街时拍了张图,问我LEGO店的房顶上为啥摆了两个脑子。



这个奇怪的问题让我们开始思考火箭和脑子共存的意义。Rocket Science这个词,本来就指复杂的事情,脑子里的思想也是混乱又复杂,也许这就能解释得通了吧。那两团棉花一样的东西,就像男人和女人的大脑,跟在火箭后头,放飞想象,遨游天际...


直到我在微博里搜到了一张夜晚拍摄的LEGO店房顶照片...图样图森破!



预设立场望图生义故弄玄虚简直让人藐视自己。


不过看着这样的标题文章:

《没有OTA的汽车就是老年代步车》

《OTA才是汽车的未来》


我不禁陷入思考:

未来来得如此之快,轻易地就把过去判了死刑。

 

“有了OTA,续航和充电速度都可以持续提升”

“命令式的语音冷冰冰,OTA升级一个新垣结衣的AI语音助手”

“外接上自动驾驶硬件,通过OTA激活自动驾驶功能”

“OTA升级了汽车后,躺在家里一键呼叫自己的爱车,再也不用多跑腿了”

 

OTA就好像是哆啦A梦的万能口袋,万能解药,简直无所不能。 

人的大脑尚且不靠谱,我们又怎能天然地相信一台汽车通过自我进化变得更加完美呢?


了这么一大段才发现,忘了提啥是OTA,看来“脑子”真的是不可靠啊!如果你正在使用智能手机,你一定见识过手机系统通过网络推送的系统升级,稀松平常。



我敢打赌,升级之前你的脑海里一定闪现过这些念头:


  1. 我应该选择安装升级么?如果我拒绝升级会不会更安全一些?

  2. 都有什么会被升级?升级的内容是我需要的么?

  3. 这次升级会改变我的使用方式和习惯么?我是否需要重新学习?

  4. 升级需要花费多长时间?我是否需要出去打个球或者吃个饭消磨下时间?

  5. 如果我选择了升级却中途暂停,我还可以重新升级么?会不会变砖?


在一切皆智能的时代,这些问题多多少少让人感受到一丝选择的焦虑,但仍旧是件很酷的事:


只要有因特网和无线网络,你就避开了那些升级所需的原始方法,就像通过台式机上的CD,DVD,或USB安装升级包。你也不用亲自敲入软件包升级的执行命令,因为升级程序会自动提示你在合适的时间进行系统升级,并替你完成所有繁杂的安装工作。


如果你通过网络升级的对象是一台汽车呢?

事实上,Tesla已经在做这件事了。


在车上安装某种通信设备,并连接到汽车的其他组件(比如你的影音系统,或自动泊车功能),通过通信线路获得软件更新(比如你的地图升级包,或去除潜在系统Bug),这样汽车就可以不断地进化和升级了。


无需将你的汽车开到经销商的服务站,你的汽车就可以通过无线网络获得更新的软件,自动完成。这就是OTA,全称为Over-the-Air Technology(空间下载技术)


有没有现成的例子呢?当然有啊!

你要是手里有闲钱,买来一台特斯拉Model S,就会免费得到一本OTA教材:特斯拉用户使用手册



OTA功能如此酷炫,读罢说明书,你就会了解个中玄机。


— 就 让 我 们 开 始 吧 —


“特斯拉建议您尽快安装软件更新。”

 

特斯拉似乎欲言又止,这是一句潜台词。

总之,汽车不同于电脑软件的更新,任何时间上的延误,错过了重要的安全更新,都有可能带来生死攸关的后果。


“您必须尽快安装所有软件更新,并且与安装软件更新失败相关的任何损害都不在车辆保修范围内。未能或拒绝安装此类更新可能导致某些车辆功能无法访问(包括与数字媒体设备不兼容)或特斯拉无法诊断并维修您的车辆。”

 

这就是忘记更新或决定不更新的惩罚,再次提醒:你必须为此承担后果!

 

可是,忽视召回的通知没有回到服务站做必要的修理,大有人在,OTA也同样如此,有些人会觉得OTA繁琐又碍事,于是选择性漠视。假设车主将车也许你把车借给了朋友,朋友却忽视了升级的操作,车主也对OTA升级的事不知情。由于没有OTA更新导致汽车发生了事故:不但朋友受伤还撞倒了两名行人—在这个故事里,车厂,车主,朋友任何一方都负有责任,脱不了干系。

 

有些人说,可以设置为强制升级啊。当软件包含了高安全相关的Bug修复,在汽车升级之前,车厂应该强制禁止其上路。想想这一幕:家人突发疾病,需要立即送往医院抢救,可是你的汽车还没升级—被强制禁驾了。

 

也许你厌倦了总是被动地接受更新,一遍又一遍地学习掌握新特性,你希望汽车能够更加个性化,于是第三方就会提供OTA解决方案,让你获得比原厂车更丰富的功能,比如加入更有运动感的调教特性, 让你的车跑得更快还能提升操控性能,某些用户一定会转而使用它们的程序,就像现在的改装市场一样。

 

但你却无法了解第三方程序的安全性,说不定木马病毒已经被植入了。同时这也意味着你放弃了原厂的安全升级服务。

 

再来看这段:


“注意:如果未安装软件更新,某些车辆功能可能无法访问,数字媒体设备可能会变得不兼容。无法恢复到以前的软件版本。如果触摸屏显示消息,表明软件更新未成功完成,请联系特斯拉。

 

你无法恢复到早期版本的系统。 大多数开发人员的逻辑是,为什么有人想要还原为老状态?用户们显然需要OTA更新,否则我们不会提供它们。

 

有些用户就是怀旧,喜欢原来的驾驶风格和操控感受,你突然增加了新的逻辑进去,赋予其新的功能却抹掉了之前用户已经习惯了的操(触)控体验。用户会买单么?要知道,以前苹果就曾妥协过并开放了降级老版本的ios通道给最终用户。


 

另外,对于任何软硬件变更,传统车厂在新软硬件匹配完状态锁定后,还需要安排足量(历时数月乃至数年)的全天候全路段整车实验来追加验证。然而有些企业OTA推送的软件更新却很频繁,甚至以周或天为单位,往往缺乏全面的硬件整合匹配验证,必要的工作被过度简化。

 

对于一个常年都在迭代更新的产品来说,你怎么能确保新的软件推送在方方面面都比上一版完美呢?你如何设计一套恒久有效的评价标准呢?


在无人车安全的研究中,就已经证实,这是一个避不开的陷阱。


“为了确保最快,最可靠地提供软件更新,请尽可能打开并连接Wi-Fi。”

 

乍一看,一直打开Wi-Fi似乎是提速的最佳选择。但是这可能会引发其他的问题,Wi-Fi的安全性往往很低,它也许会被一些恶意的人操控,从而植入恶意的程序。甚至在你不知情的情况下让汽车联网,偷走你的流量(如果你的Wi-Fi或热点需要付费的话)。

 

升级存在传输风险,以及升级包被恶意篡改的风险:你认为你同意从汽车制造商那里做一个OTA更新,然而有人已经进入了你的Wi-Fi,介于你和车厂之间,他们偷偷地向你的汽车投喂一些不明代码,可能会危及生命。 这就是臭名昭著的中间人(MITM,Man-In-The-Middle)攻击。

 

终端传输下载升级包时,通过中间人攻击,黑客可以把伪造的升级包发送给车载终端,如果缺少验证机制,就能达到篡改系统、植入后门等恶意程序的目的。此外,黑客还可以对升级包进行解包分析,获取一些可利用的漏洞信息,如补丁等,这些信息的暴露会进一步增加被攻击的风险。


 

某些幸运的车厂,已经因为Wi-Fi的问题被迫召回保有量为7位数的汽车,千万不要掉以轻心。

 

“完成软件更新后,请阅读发行说明,了解新功能。要随时显示有关当前软件版本的发行说明,请触摸触摸屏顶部中央的特斯拉“T”,然后点击发行说明。特斯拉强烈建议阅读所有发行说明。它们可能包含有关您的型号S的重要安全信息或操作说明。”

 

在电脑更新的时候,你会阅读发行说明么?

 

对于汽车而言,任何一次更新都可能包含了重大的优化和改进,生死攸关。了解这些变化的重要性不言而喻。汽车制造商是否应该强制你阅读发行说明呢?


 

如果你定期保养,或得到召回通知去服务站维修,那里的接待人员往往会主动为你解惑,或者“义务”地为你免费升级系统。

 

而在OTA时代,被动地显示发行说明变成了唯一的沟通方式,你告诉我这就是智能?要知道,阅读和理解是两个世界的事,车厂不应该要求人们阅读发行说明,车厂有义务与任何开车的驾驶员进行对话并解释OTA更新的内容,直到它们真正理解这些重大改进。

 

安全做不好就要出大事——这不光OTA技术最大的痛点,也是智能网联最大的困局。

OTA不能随便升级,必须要在一个合适的时间合适的地点,以更安全和经济的方式来实现。


安全风险并不是电影里的桥段,上图是已被证明可行的入侵Tesla Model S 的方式

 

我们往往乐观地认为,OTA是一个简单的技术,可如果我们不关注说明书话语隐藏的潜台词的话,技术反而会给我们的生活添乱。


在OTA的实践里,人们必须思考每一个潜在的安全威胁和并适应新的习惯,提前做好心理准备。


斯拉为我们展现了OTA更新的美妙之处,Irma飓风到来的时候,佛罗里达州的特斯拉车主们接收到了新的软件升级,这些汽车的电池可以解锁额外的电池容量,从而帮助那些试图在飓风来袭之前逃离家园的司机们 — 这里面没有魔法,特斯拉此前仅仅是通过软件限定了某些汽车型号电池允许的能量使用上限。


 

飓风到来之前,如果更新的是计算机病毒呢?汽车瞬间就被攻陷,成为移动战车。这对任何黑客或恐怖分子来说都是一个及其诱人的目标。2016年,在Tesla的授权下,科恩实验室就远程入侵了千里之外的特斯拉汽车,不用钥匙就能开门,行驶中后视镜关闭,行驶中打开后备箱,行驶中突然刹车……

 

很少有人现在正在考虑这个问题,因为今天使用OTA的汽车比例很小,而且在软件方面对汽车的控制也相对较小。一旦AI自动驾驶的汽车变得普遍,其中涉及汽车本身的大量软件和数据,我们将开始意识到OTA可能对这些汽车,甚至人类的命运产生巨大的影响。

 

此外,我们还有另一个更加现实的问题。


“今年5月份,美国《消费者报告》购买了一辆Tesla的Model 3车型,重复测试刹车性能时发现刹车距离衰减的趋势非常离谱。Tesla看到报告后几天内便通过OTA推送了升级的新固件。如果多次刹车,刹车距离应该可以缩短20英尺(约6米),这次快速发布也引发了人们的广泛质疑:Tesla到底做了多少测试?”

 


资深工程师们忧虑到:特斯拉关注的干燥路面是最宽容的制动表面之一。然而刹车的校准非常复杂,ABS,牵引力和稳定控制等都与其相关,特斯拉的制动器是否经过校准,以便在夏季潮湿或冬季结冰的道路等具有挑战性的情况下仍然提供良好的性能?这是一个重要的问题。 — 我们不知道特斯拉为回答这些问题做了多少测试。鉴于其更新速度之快,特斯拉可能还没来得及去评估其它的路面条件,因此这可能不是Tesla对制动系统的最后一次更新!

 

把电动车的BMS控制策略,电驱总成的匹配,转向,制动的标定和调教都拿出来通过OTA升级,一旦被黑客入侵,将是非常危险的。用户体验在安全性面前相比,优先度太低了。汽车的本质属性首先是移动,其次才需要去考虑定制化需求。

 

继续想下去,如果因为设计问题导致汽车开过大坑的时候容易断轴,为了避免汽车召回,只要OTA升级就好了:一旦摄像头识别出路面有大坑,就自动减速或避让。

 

你别说,这种做法特别的有生命力。

所以啊,更新又多又快,你还真说不清这是一件好事还是一件坏事!


读过丰田UA的文章(UA Part 1 / UA Part 2),我们就会理解,没有完善的前期研发和验

证,BUG是可以越改越多的,多到你怀疑人生


在资本和互联网思维的世界里,OTA俨然成为了一门玄学。


“有OTA才有生命力,有了它可以频繁地升级新功能,常用常新,偶尔汽车性能还变强了。不用去服务站,给客户节约时间,也给车厂节约了成本”。


手机也有OTA功能,一直更新下去就能不断体验新功能了,为什么每隔几年就要换手机呢?你不可能通过OTA无中生有地变出新的功能来,因为汽车硬件需要为升级的目的而进行专门的设计:

 

  • 如果汽车的组件不是为了能够获得更新而设计的,那么使用通信设备获取更新并没有什么用

  • 如果汽车的组件设计为可更新,但却没有通信设备接收更新,那这一切都是徒劳的

  • 即使拥有合适类型的内部组件和正确类型的通信设备,你显然也需要整合他们才能实现OTA

 

要知道电子电器,软件的迭代周期,按照摩尔定律思考的话,是1.5年,可汽车的使用和维护周期甚至长达15年,够最新技术迭代10次了!要在这么长的周期内不改变硬件的前提下确保绝对的网络安全,是一件几乎不可能的事情。


客们在开源精神的引领下,技术迭代速度甚至比摩尔定律还要更快。恶意软件,木马,蠕虫病毒,对栈溢出,权限提升……互联网时代我们就见识过它们巨大的威力了,而移动的汽车比静止的电脑更加致命。


 

黑客利用强大的逆向工具,钻逻辑的漏洞,奇思妙想的破解方法往往走在封闭的正向设计的前面—任何系统都存在软件漏洞,这是软件的本质缺陷。


硬件失效的方式是随机的,而软件的失效模式是条件式的,任何一个没有在设计阶段经过严密逻辑推理验证过的组合条件,都会触发潜在的bug。软件越是复杂,条件组合的数量就越多,甚至是天文数字。


 

OTA的难点不在于自身潜力可以整合多少功能,比如应用程序,地图,灯光,语音等等,而是安全性。带有OTA功能的汽车的系统应该进行细分,这样任何一个OTA更新即便出现问题或安全风险都不会立刻对所有模块造成连带伤害。 这又要求涵盖众多子系统,每个子系统都有自己的防火墙,可以阻止整体攻击—还要兼顾组件之间的通信速度,以及它们之间的相互作用,这让系统变得愈加复杂。 

 

可是,当今的汽车内部集成了多达100个ECU,汽车总线已经不堪重负。向集成化和虚拟化演进是必由之路:减少ECU,让软件和功能更加复杂是这里的诉求。

但将控制汽车的核心元件“整合”在了一起,汽车就更容易受到黑客的攻击。 



 

显而易见,上面的两个诉求完全是自相矛盾的!

安全工程的技术难度可想而之。

 

OTA的好处有很多:远程信息处理控制单元将汽车连接到外部世界,从而实现了许多新的应用和功能。可以远程更新不同ECU中的软件,以添加新功能或删除操作期间可能发现的任何软件错误。这减少了召回次数和相关成本,提高了客户满意度。添加新功能的可能性为新的业务模式和收入流打开了大门。

 

如果车厂没有整合OTA,就会在服务上落后,没发做双向的信息交流迭代,短短几年内就会被边缘化。


车厂的软件能力、网络能力、产品全生命周期需求把握的能力,将成为车厂存亡的关键要素。

 

传统车厂在OTA趋势面前,也需要迎接新的挑战:整车厂和经销商的利益分配的问题。汽车制造商可以通过OTA修复错误,因此节省了大量用于召回(主要是软件问题)的资金。由于固件更新是通过无线方式进行的,因此车主无需前往汽车维修店更新固件。客户不到店的话,就失去了一部分的利润来源,车厂就要考虑对经销商增加补贴。像Tesla这种取消直营店大量采用OTA升级的创新做法将会成为未来的主流。

 

没有十全十美的技术,用户必须做出妥协。


Elon Musk曾经提出过,在无人车当中设置“一键切断”的开关,让人类能在发现车辆遭到异常OTA入侵时,能够手动断开OTA连接并接管汽车的全面控制。

 

设想,如果这是L5等级的自动驾驶汽车,显然驾驶员的接管毫无意义,因为你已经找不到方向盘脚踏板之类的实体设备了,汽车会完全失控,变成了几吨重的移动砖头。也许你会说汽车系统至少有一部分还会正常工作,让你安全行驶一段距离的吧。可如果汽车在你拍下按钮前就已经载入了病毒或植入了后门呢?被篡改后的汽车很可能载着你冲下码头,而你毫无还手之力。

 

“一键切断”可以断开OTA,但显然不能直接让汽车断开所有的功能,尤其是当汽车运动带有大量惯性的时候, 你觉得这个功能应该是基于软件还是基于硬件的呢? 车辆在一瞬间刹停?这是不是反而让你陷入更大的危险之中呢?如果你的孩子淘气按下了这个按钮,又会发生什么呢?


 

真正的“驾驶”必然有很多现实世界的约束因素牵涉其中,现实的世界没有边界,没有内外。

回到现实,在没有OTA的时代,传统的汽车公司往往有一个高度制度化的过程来设计,测试和制造他们的汽车。汽车在上市之前就能够尽早发现此类跟安全相关的设计硬伤,让产品更完美。


而OTA技术先天就有这样一种倾向:迅速解决汽车离开工厂后出现的问题,用OTA升级替代产品召回。当新势力们将汽车的开发成本和周期一再压缩,一辆汽车出厂本该有的功能被拆分为售后的频繁服务升级,这不是重视用户的体验,而是资本的胜利——OTA升级成为了半成品提前上路的说辞,用“升级”来掩饰“初级”的本质。按照这个逻辑,把一辆只开发了50%的车辆投放市场然后OTA,省下的研发费用是不是能否补偿给用户呢?

 

于是,科技的生命变成了无尽的升级,升级又伴随无尽的维护,每一次维护都是吸引注意力的黑洞。ABCDEFG各种OTA升级选项伴随了你我的每一次出行,意志力被消磨殆尽。

 

OTA技术是一项伟大的发明,它给汽车行业带来了新的变革。但OTA技术开发不良的后果,可能把智能化汽车转变为智能试验车和智能监狱,让我们为智能化的梦想窒息,让我们放弃个人自由,退无可退。

 

Cyber Security还是一个新兴的领域,来自计算机行业和航空业的最佳业务实践还没有完全完全渗透进汽车业的血液,ISO,IEC,IEEE,IETF,TCG,SAE,MISRA C,CERT C各类网络安全标准五花八门,此外还有国家制定的标准没有列出。


 

如此之多的组织创立了如此之多的标准,汽车行业的从业者该如何适从?的确,他们有重合的内容,但互相之间也存在冲突的地方,标准之间也没有优先级,企业又该如何做出正确的决策,开发出完美的产品呢?

 

小步快跑,拥抱增值,抱团协同,重视偶然,相信未来。

才是身处于这个巨变的时代的玩法。

不打开潘多拉盒子,不释放完恐惧,你怎么知道还有希望?



2018年末彩蛋,以“超级路”的脑洞收尾:


OTA与女王的恩怨纠葛

(The program suggests what might become of the royal family after the queen is gone.)


 

你与恶龙搏斗时,要小心变成恶龙。

当你凝视深渊时,深渊也在凝视你。 

— 尼采

 

曾经有舆论导向称,AI智能化将会取代所有人类大脑。所有的机器,仪器,甚至人类的情绪都可智能化并通过升级而得到修补和缓冲。科技和AI正是一对好朋友,六亲不认起承转合一气呵成。2050年任何人听到大脑和情绪都可通过无线升级,欢呼之后,各个雀雀羽扇跃跃欲试。


然而没有人会想到的是,真正智能化的到来是所有生物的确都能通过升级来续后的年代,而一旦出现系统性的错误,地球所有生物将会次第死亡,最后人类也无法幸免。

这个时候会不会有人后悔,如果还有人类的话?


一个尖锐的疑惑破壳而出:

做人不好吗?一定要和AI 玩。

 

 

 

《黑镜》的其中一集把背景设在蜜蜂—人类粮食安全和自然界植物多样性的卫士上。

在行将灭绝的未来,人类造出机械蜜蜂取代真正的蜜蜂来维持地球生态。而仿生机械蜜蜂因为受到黑客的入侵,不合理的升级却最终化为杀人工具。 这个故事真是极其有趣,50年后的我们的确依赖科技。因为它是那么的完美无懈可击啊!


人类制造出的机械蜜蜂可根据程序要求为70种粮食作物授粉,根据绘定出的路线由系统指引采摘花粉并规划蜂巢。甚至可以依照定期无线软件升级后并根据系统计算的需求性自我繁殖。蜜蜂有两个大脑组成,一个是内置处理器,能在处理图像的同时把数据无线传输给主机。 而另一个大脑就是主计算机地面装置了。 两个计算机都可以通过无线网络用新的镜像文件替换更新旧的版本也就是之前提到的