消费级手机设计是否足够安全以控制任务关键型系统?我们是否已考虑清楚用智慧型手机来「召唤」汽车时可能面临的潜在威胁?
智慧型手机已经主宰了我们的生活和整个世界。但是,应该让它们也接管那些安全攸关的系统吗?
您应该还不至于像某位对推特(Twitter)上瘾的总统那样,一整天都「黏」在手机上;不过,我们还是必须面对一个现实:你出门绝对不会忘记带手机。
对于行动应用程式(app)开发人员和硬体系统工程师而言,无处不在的智慧型手机自然而然地成为执行其App和控制其系统时最具吸引力的平台了。
目前的智慧型手机已经可以在远端锁定房屋和汽车、开灯关灯以及控制窗帘开关了,甚至还可以用来应门和监测心率等。
那么,为什么不干脆再多要求些功能?
然而,如今要讨论的问题是,消费级手机设计是否足够安全,可用于控制任务关键型系统吗?或者更直接地说,我们是否考虑清楚了使用消费级智慧型手机可能带来的所有潜在威胁和后果?例如用它来远端「召唤」一辆车?
智慧型手机作为「任务介面」
在此讨论一个典型的例子:特斯拉(Tesla)的一位客户上个月曾经在Twitter发表了一则推文(tweet)。他声称有一次当他用iPhone召唤他的特斯拉时,手机萤幕上忽然弹出了低电池电量的警告,而当他移开手指想中止「召唤」指令时,iPhone却忽略了移开手指的动作,导致他的特斯拉继续向前开来。他写道:「这是我遇到过的『模态对话』(modal dialog)方块问题,太可怕了。当低电量警告出现时,应该随即停止召唤动作才是。」
电池电量低并不是什么罕见的现象。那么,当手机快要没电时,操作者无法传达「停止」(STOP)讯号时,如何让车辆停下来?是否有备案或安全计画?
这并不是说应该禁止使用智慧型手机。但是,安全攸关系统的设计人员应该为这些命令和控制系统的消费级装置设计一项备份计画。
顺道一提,在UL 4600标准草案中,有关「与人和动物互动」的那一章节中明确指出由于装置电池电量不足可能造成的潜在危害和风险(第97页):
1)通讯装置在任务执行期间发生故障造成的影响
示例:作为任务介面的用户手机电池电量耗尽
UL 4600是自动驾驶产品的第一个综合安全标准,目前正由UL 4600利益相关方委员会进行初步审查中。
无论如何,如果这种用户体验是真的,那么使用智慧型手机控制车辆,就是一个典型#DidYouThinkofThat 的问题。
《EE Times》最近采访了美国知名杂志《消费者报告》(Consumer Reports),以了解他们是否听说或测试过智慧型手机在电量即将耗尽时对「智慧召唤」功能(Smart Summon)的影响。
《消费者报告》自动测试总监Jake Fisher指出,他们尚未针对智慧型手机出现电量不足警告时的Smart Summon功能进行测试。但他测试过当手机出现来电、简讯或facetime请求时接管萤幕的类似功能。在这些情况下,特斯拉确实应该先喊「卡」。
Fisher无法重建该场景——即特斯拉车主使用Smart Summon功能时,手机恰好出现电池电量不足的警告。他说:「这种提示(电池电量不足警告)很难重现。」
2016年,当特斯拉首次推出「召唤」(Summon)功能Beta版时(非「智慧召唤」),《消费者报告》也曾经做过测试。
当时,《消费者报告》指出,「召唤功能带来不必要的风险」。特斯拉V7.1软体更新版的Summon功能的设计,最初是为了与遥控钥匙或特斯拉智慧型手机App配合使用。当时的《消费者报告》是这么写道:
「……我们开始担心,在紧急情况下使用者可能无法立即将车子停下来,例如他们可能一紧张就按错遥控钥匙的按钮,因为那些按钮并没有明确的标记,或者不小心掉了钥匙。透过iPhone 6S上的特斯拉App进行操作时也出现了问题。当我们在汽车行驶中关闭了App (这种意外很可能发生),汽车却还在继续行驶。」
当时,《消费者报告》给特斯拉的建议是,「特斯拉的控制应设计为『警醒开关』(dead-man's switch)操作,它需要使用者持续地以触觉来进行操作。」BMW已经实施了类似设计,其欧洲版7系列(7-Series)车款配备的遥控停车功能即需要车主持续长握遥控钥匙,才能保持车辆的移动。
Fisher告诉我们,为了解释这个问题,他的团队曾经与特斯拉CEO马斯克(Elon Musk)、特斯拉的工程团队进行了40多分钟的交谈。最终,特斯拉听取了他们的意见,开发了「一种新的软体升级程式,限制Summon的操作仅可在手机App上使用,并要求用户的手指必须持续长按住手机萤幕——基本上就是将其作为警醒开关来操作。」
现在的Smart Summon功能要求车主持续长按住手机,即是基于警醒开关的经验而设计的。
然而,到目前为止,关于以低电量手机执行Smart Summon功能可能带来什么意外的后果,《消费者报告》尚未与特斯拉有更多的讨论。
特斯拉是一种IoT装置
在连网的「智慧家庭」(smart home)场景中,物联网(IoT)市场中充斥着消费者经历的各种安全性漏洞警告,以及透过智慧型手机控制各种家庭装置造成麻烦的种种抱怨。例如,使用的智慧型手机是Android还是iPhone?哪一种型号?哪一个OS版本?连接的家庭装置五花八门,从门廊灯到百叶窗,各种连接复杂程度堪称噩梦。
准确地说,特斯拉的Smart Summon也算是一种IoT技术。正如VSI Labs创办人兼负责人Phil Magney所指出的,「Smart Summon需要永不断线的网际网路(Internet)连线才能正常工作,因此,它依赖于蜂巢式网路。」
问题是,针对生命安全和资料保护方面,特斯拉对于Smart Summon功能究竟进行了多少压力测试?
概括地说,Smart Summon所需的技术建构模组包括:视线(这是基于安全目的;距离操作员的极限距离约为200英呎)、蜂巢式资料连接以及手机中的GPS系统(用于确定操作员的位置) 。但是正如Magney所言,Smart Summon完全透过云端完成,「手机与车辆之间并未直接通讯。」
Magney补充说:「高层级的路径规划是在云端中制定的(最终呈现在手机上),但是战术演练(如感应车辆周围、避开物体等)则由车辆动态地执行。」
Magney认为,Twitter上提到车辆在手机电池电量不足时仍持续运转的这个说法「很有趣」。但是他补充说,「一旦断开连接,根据我的经验,车辆应该就会停下来。」
但是,这又引发了另一个问题,如果车子离原定目的地还很远时,手机突然断线了,又将会发生什么?
车子可不是玩具
The Linley Group资深分析师Mike Demler表示:「我认为低电池电量问题只是Elon Musk最近的诡计之一。美国国家公路交通安全管理局(NHTSA)应该取缔它,这太危险了!」
Demler还提到特斯拉的另一个问题,即其侧面超音波感测器无法检测车库门的开启状态,他说,「这很容易导致汽车碰撞儿童、轮椅、婴儿车或其他任何在附近的物体。」
实际上,车主们报告过很多起特斯拉的缺陷,如车辆无法直线行驶,它左摇右摆或驶过路面,甚至在单行道上逆向行驶等。
简而言之, Demler指出:「特斯拉不能再把车子当成玩具了。一台2吨重的无人机如果失控就可能成为杀人机器。」
(参考原文:Are Smartphones Equipped to Control a Vehicle?,by Junko Yoshida)
本文同步刊登于电子技术设计杂志2019年12月号
