智慧型手機已經主宰了我們的生活和整個世界。但是,應該讓它們也接管那些安全攸關的系統嗎?

您應該還不至於像某位對推特(Twitter)上癮的總統那樣,一整天都「黏」在手機上;不過,我們還是必須面對一個現實:你出門絕對不會忘記帶手機。

對於行動應用程式(app)開發人員和硬體系統工程師而言,無處不在的智慧型手機自然而然地成為執行其App和控制其系統時最具吸引力的平台了。

目前的智慧型手機已經可以在遠端鎖定房屋和汽車、開燈關燈以及控制窗簾開關了,甚至還可以用來應門和監測心率等。

那麼,為什麼不乾脆再多要求些功能?

然而,如今要討論的問題是,消費級手機設計是否足夠安全,可用於控制任務關鍵型系統嗎?或者更直接地說,我們是否考慮清楚了使用消費級智慧型手機可能帶來的所有潛在威脅和後果?例如用它來遠端「召喚」一輛車?

智慧型手機作為「任務介面」

在此討論一個典型的例子:特斯拉(Tesla)的一位客戶上個月曾經在Twitter發表了一則推文(tweet)。他聲稱有一次當他用iPhone召喚他的特斯拉時,手機螢幕上忽然彈出了低電池電量的警告,而當他移開手指想中止「召喚」指令時,iPhone卻忽略了移開手指的動作,導致他的特斯拉繼續向前開來。他寫道:「這是我遇到過的『模態對話』(modal dialog)方塊問題,太可怕了。當低電量警告出現時,應該隨即停止召喚動作才是。」

Twitter, Smart Summon

電池電量低並不是什麼罕見的現象。那麼,當手機快要沒電時,操作者無法傳達「停止」(STOP)訊號時,如何讓車輛停下來?是否有備案或安全計畫?

這並不是說應該禁止使用智慧型手機。但是,安全攸關系統的設計人員應該為這些命令和控制系統的消費級裝置設計一項備份計畫。

順道一提,在UL 4600標準草案中,有關「與人和動物互動」的那一章節中明確指出由於裝置電池電量不足可能造成的潛在危害和風險(第97頁):

1) 通訊裝置在任務執行期間發生故障造成的影響
示例:作為任務介面的用戶手機電池電量耗盡

UL 4600是自動駕駛產品的第一個綜合安全標準,目前正由UL 4600利益相關方委員會進行初步審查中。

無論如何,如果這種用戶體驗是真的,那麼使用智慧型手機控制車輛,就是一個典型 #DidYouThinkofThat 的問題。

《EE Times》最近採訪了美國知名雜誌《消費者報告》(Consumer Reports),以瞭解他們是否聽說或測試過智慧型手機在電量即將耗盡時對「智慧召喚」功能(Smart Summon)的影響。

《消費者報告》自動測試總監Jake Fisher指出,他們尚未針對智慧型手機出現電量不足警告時的Smart Summon功能進行測試。但他測試過當手機出現來電、簡訊或facetime請求時接管螢幕的類似功能。在這些情況下,特斯拉確實應該先喊「卡」。

Fisher無法重建該場景——即特斯拉車主使用Smart Summon功能時,手機恰好出現電池電量不足的警告。他說:「這種提示(電池電量不足警告)很難重現。」

iPhone, low battery

2016年,當特斯拉首次推出「召喚」(Summon)功能Beta版時(非「智慧召喚」),《消費者報告》也曾經做過測試。

當時,《消費者報告》指出,「召喚功能帶來不必要的風險」。特斯拉V7.1軟體更新版的Summon功能的設計,最初是為了與遙控鑰匙或特斯拉智慧型手機App配合使用。當時的《消費者報告》是這麼寫道:

「……我們開始擔心,在緊急情況下使用者可能無法立即將車子停下來,例如他們可能一緊張就按錯遙控鑰匙的按鈕,因為那些按鈕並沒有明確的標記,或者不小心掉了鑰匙。透過iPhone 6S上的特斯拉App進行操作時也出現了問題。當我們在汽車行駛中關閉了App (這種意外很可能發生),汽車卻還在繼續行駛。」

當時,《消費者報告》給特斯拉的建議是,「特斯拉的控制應設計為『警醒開關』(dead-man’s switch)操作,它需要使用者持續地以觸覺來進行操作。」BMW已經實施了類似設計,其歐洲版7系列(7-Series)車款配備的遙控停車功能即需要車主持續長握遙控鑰匙,才能保持車輛的移動。

Fisher告訴我們,為了解釋這個問題,他的團隊曾經與特斯拉CEO馬斯克(Elon Musk)、特斯拉的工程團隊進行了40多分鐘的交談。最終,特斯拉聽取了他們的意見,開發了「一種新的軟體升級程式,限制Summon的操作僅可在手機App上使用,並要求用戶的手指必須持續長按住手機螢幕——基本上就是將其作為警醒開關來操作。」

現在的Smart Summon功能要求車主持續長按住手機,即是基於警醒開關的經驗而設計的。

然而,到目前為止,關於以低電量手機執行Smart Summon功能可能帶來什麼意外的後果,《消費者報告》尚未與特斯拉有更多的討論。

特斯拉是一種IoT裝置

在連網的「智慧家庭」(smart home)場景中,物聯網(IoT)市場中充斥著消費者經歷的各種安全性漏洞警告,以及透過智慧型手機控制各種家庭裝置造成麻煩的種種抱怨。例如,使用的智慧型手機是Android還是iPhone?哪一種型號?哪一個OS版本?連接的家庭裝置五花八門,從門廊燈到百葉窗,各種連接複雜程度堪稱噩夢。

準確地說,特斯拉的Smart Summon也算是一種IoT技術。正如VSI Labs創辦人兼負責人Phil Magney所指出的,「Smart Summon需要永不斷線的網際網路(Internet)連線才能正常工作,因此,它依賴於蜂巢式網路。」

問題是,針對生命安全和資料保護方面,特斯拉對於Smart Summon功能究竟進行了多少壓力測試?

概括地說,Smart Summon所需的技術建構模組包括:視線(這是基於安全目的;距離操作員的極限距離約為200英呎)、蜂巢式資料連接以及手機中的GPS系統(用於確定操作員的位置) 。但是正如Magney所言,Smart Summon完全透過雲端完成,「手機與車輛之間並未直接通訊。」

Magney補充說:「高層級的路徑規劃是在雲端中制定的(最終呈現在手機上),但是戰術演練(如感應車輛周圍、避開物體等)則由車輛動態地執行。」

Magney認為,Twitter上提到車輛在手機電池電量不足時仍持續運轉的這個說法「很有趣」。但是他補充說,「一旦斷開連接,根據我的經驗,車輛應該就會停下來。」

但是,這又引發了另一個問題,如果車子離原定目的地還很遠時,手機突然斷線了,又將會發生什麼?

車子可不是玩具

The Linley Group資深分析師Mike Demler表示:「我認為低電池電量問題只是Elon Musk最近的詭計之一。美國國家公路交通安全管理局(NHTSA)應該取締它,這太危險了!」

Demler還提到特斯拉的另一個問題,即其側面超音波感測器無法檢測車庫門的開啟狀態,他說,「這很容易導致汽車碰撞兒童、輪椅、嬰兒車或其他任何在附近的物體。」

實際上,車主們報告過很多起特斯拉的缺陷,如車輛無法直線行駛,它左搖右擺或駛過路面,甚至在單行道上逆向行駛等。

簡而言之, Demler指出:「特斯拉不能再把車子當成玩具了。一台2噸重的無人機如果失控就可能成為殺人機器。」

(參考原文:Are Smartphones Equipped to Control a Vehicle?,by Junko Yoshida)

本文同步刊登於電子技術設計雜誌2019年12月號