[摘要]不需要指纹识别,通过从车内CAN总线获取的数据,依然可以轻松鉴别出驾驶员的身份。
每个人的驾驶习惯千差万别,你有没有想过,也许仅凭一个人点踩刹车的力度,转动方向盘的角度,不要几分钟,就能轻松鉴别出这个人是谁?
来自美国华盛顿大学和加州大学圣地亚哥分校的研究人员,将在今年7月份开幕的第16届隐私增强技术研讨会(Privacy Enhancing Technology Symposium)上发布一项研究成果,该研究表明:通过从车内CAN总线获取的数据,可以鉴别出驾驶员的身份。事实上,可能只要不到15分钟的时间, 仅仅通过从试验车辆获取的“刹车踏板”这一项数据,研究人员就能够轻松辨别出15位不同驾驶员的身份,准确率在90%左右。如果试验时间达到90分钟以 上,或者对其他零部件产生的数据进行监测,则正确率能够达到100%。
一个结果有点让人“匪夷所思”的实验
我们先来看看这个实验是如何完成的。研究人员挑选了15名完全不同的个体,要求他们首先从华盛顿大学西雅图校区的停车场开到距此地8公里的太空针塔 (Space Needle),完成该阶段的路程后,再到达80公里开外的目的地。全程车内都有一台笔记本连接至中控台,以搜集CAN总线的数据。随后,研究人员通过某 种机器学习算法来分析每一位驾驶员在每一段行程的每一部分产生的驾驶数据。在每一个案例中,研究人员给出的算法都会把90%的驾驶数据当做“学习材料”, 之后通过和驾驶员匹配的剩余的10%的数据来确定其身份。
最终,研究人员发现,他们根 本不需要那段50公里行程产生的驾驶数据来对这15位驾驶员进行鉴定。通过对驾驶员的刹车、加速和方向盘转动角度等全部数据进行分析,这套算法能够 100%准确地判断出驾驶员的不同身份,只需要15分钟的汽车行驶数据即可。即使只采样刹车踏板的使用数据,准确率也达到了87%。
一 位曾参与该研究的前华盛顿大学研究员、目前供职于Belkin的机器学习工程师Miro Enev在接受记者采访时表示,“即便只有数量有限的驾驶数据,我们依然能够快速准确地识别出不同的驾驶员”。不过也有研究人员认为,这种辨别能力可能会 产生难以预期的隐私问题。比如说保险公司可能会利用该功能处罚一些将车子交给自己未成年孩子开的家长,或者说执法机构会通过其来鉴定触犯交通法规或者引起 碰撞事故的责任人。
“隐私”和“安全”说没就没了?
尽管通过车辆行驶数据对驾驶员进行甄别,听起来绝非那种非常诡异“侵犯个人隐私”的做法。但这项研究,Enev认为,应该对车主而言是某种警醒的作用,让大 家对车内数据的重要性变得敏感起来。同样的数据,保险公司可以利用其分析判断出你是否把车拿给自己16岁的孩子开过,这和鉴别酒驾或者因医疗情况限制开车 一样,十分简单。要实现这样的功能,其实远比对驾驶员个人身份的判断要简单得多。
保险公司利用OBDII设备监控车主的驾驶情况
事实上,越来越多的车主在使用像Hum, Vinli, Automatic, Zubee这类产品时,通过安装在汽车中控台连接至CAN总线的设备,很多敏感性的数据都被上传到了相应的云服务器。其他像保险公司 Progressive、Metromile提供的OBD II盒子,用户为了享受到更低的保费价格,只能将大量的数据拱手交出。特别是现在很多车型都具备联网功能,比如说特斯拉,车子会随时将行驶数据上传至云端 服务器。而大量内部外部传感器的持续工作,很可能会形成一些安全漏洞,但遗憾的是绝大多数消费者根本没有意识到这个问题。相反,大家倒是很大方地把这些数 据给了第三方。
网络数据安全
不过话又说回来了,这项研究其实完全可以应用在防盗窃的案子里。一旦车子监测到开车的人并非车主,那么它会向车主本人发出警报提醒。当然华盛顿大学和加州大 学圣地亚分校的研究员们还提出了其他的应用场景(但可能都有不同程度侵犯消费者隐私的问题):比如说红绿灯处的摄像头可以将其拍摄的照片和车子的行驶数据 结合,即便他/她的脸特征是模糊的,也依然可以揪出这个闯红灯的家伙;或者说,一家租车公司可以通过分析行驶数据,判断除租客外还有谁开过这辆车子(按照 合同这可能是不允许的),以此再向租客收取一笔额外费用。