據《證券日報》記者不完全統計,2019年,黑客通過入侵共享汽車App、改寫程序和數據的方式,盜走包含奔馳CLA、GLA小型SUV、Smartfortwo微型車在內的100多輛汽車。相比于以盜竊汽車為目的的黑客攻擊,智能汽車在網絡安全和行駛過程中遭到黑客攻擊帶來的危險性顯然更為嚴重。
知名汽車網絡安全公司Upstream Security發布的2020年《汽車網絡安全報告》顯示,自2016年至2020年1月份,汽車網絡安全事件增長了605%,僅2019年一年就增長1倍以上。按照目前的發展趨勢,隨著汽車聯網率的不斷提升,預計未來此類安全問題將更加突出。
作為智能化、網聯化車企代表之一的特斯拉,就曾被找出大量安全漏洞。據360集團工業互聯網安全研究院院長張建新介紹,早在2014年,特斯拉研發的第二款汽車產品Model S發布兩年后就被發現了一個漏洞。利用該漏洞缺陷,控制者能夠通過遠程控制實現開鎖、鳴笛等操作。
今年,特斯拉再度因攝像頭記錄駕駛員面部特征及車內大部分空間而陷入“隱私門”,其中的監控錄像就是一名黑客入侵特斯拉汽車后曝出來的信息。除了網絡、程序技術帶來的安全風險外,自動駕駛、人工智能等數字化技術的應用也讓汽車的安全風險相應增加。在有關數字化應用的攻擊中,黑客越來越多地瞄準大數據、人工智能和自動駕駛系統。
智能汽車網絡安全問題
面臨嚴峻考驗
在車聯網和“軟件定義汽車”的發展趨勢下,智能汽車越來越像科技產品,擁有了更多的智能化功能,同時也帶來諸多生態性問題。其中,聯入互聯網所帶來的安全問題就是未來汽車發展過程中需要面對的一大焦點。
“目前汽車的關鍵代碼規模提升了10倍甚至100倍,代碼漏洞也呈現指數級增長,更多時候是軟件代碼的增加帶來了安全風險的增加。”蔡建永對《證券日報》記者表示,在汽車系統尚未聯入互聯網之時,黑客入侵的入口只是藍牙系統、CD播放器等設備。但伴隨車聯網的快速發展,不僅黑客入侵的入口極大拓展,攻擊的地點也不再局限于車輛附近。
據華為智能汽車解決方案BU、標準總監高永強透露,從風險類型來看,當前智能汽車面臨的網絡安全威脅主要有七類,大致可以歸類為智能汽車的感知層、網絡層和應用層三大層面。
記者還注意到,車企在網絡通信層面的防護水平參差不齊。以車云通信為例,現階段整車企業對通信加密、車載端訪問的控制進度就各不相同。對于漏洞頻現的數字車鑰匙,很多車企在通信安全方面的重視程度也有限,安全機制普遍不足。
2018年9月份,特斯拉無鑰匙進入和啟動系統曝出CVE(通用漏洞披露)漏洞,編號為“CVE-2018-16806”。該系統是由軟件公司Pektron開發的,因此受影響的車輛還可能涉及同樣應用了Pektron啟動系統的邁凱輪、Karma、Triumph等品牌車型。
在C-V2X(蜂窩車聯網)直連通信方面,目前大部分車企在證書管理系統、終端解決方案和企業初始配置環境建設等方面,仍處于試驗驗證的初級階段,現已存在的交通、通信等領域的安全威脅也會陸續遷移到智能汽車上。
“互聯網領域的所有安全威脅,都將平滑地向汽車領域蔓延。”在蔡建永看來,對個人電腦或手機的入侵,最多損失個人信息或財產。而一旦車輛被黑客入侵,尤其是在車輛高速行駛時被入侵,有可能導致車毀人亡。“如果汽車像Windows一樣受到大量程序攻擊,這是絕對不能接受的。”
汽車產業現已進入智能化變革的關鍵時期,與早期PC、手機的發展路徑類似,應用的擴展和網聯率的大幅提升,也將使其成為下一個網絡攻擊的“靶子”。智能汽車本身呈現出來的更加分散的攻擊點和更加嚴重的后果反饋,都凸顯了智能汽車面臨的嚴峻的安全防控形勢。
確保汽車網絡安全
須多管齊下
道路千萬條,安全第一條。在汽車智能化發展進程中,一旦出現網絡安全漏洞,除了對車輛及車主造成安全威脅外,還有可能將危險蔓延至其他車輛和其他人,引發公共安全事件。因此,智能汽車的安全問題是時候擺上桌面了。
在政策層面上,國內車聯網相關體系和標準已在建設中。今年6月21日,工信部就《車聯網(智能網聯汽車)網絡安全標準體系建設指南》公開征求意見,提出了車聯網安全標準體系框架、重點標準化領域及方向。可以看出,解決“汽車黑客”的威脅已成為車企和消費者的共同期望。
“標準化、體系化解決的是安全有無的問題,但有了這些,車聯網就真正安全了嗎?”張建新稱,汽車聯網一定會有漏洞,聯網會導致黑客攻擊面擴大,新技術的引入也會帶來新的風險。
記者還發現,目前智能網聯汽車的很多零部件仍以外資供應商為主,對于部分車企來說,這些供應商提供的系統如同“黑盒”,主機廠想從全局上構建信息安全防護體系,但可操作空間被極大制約了。
對此,智能汽車領域專家、車聯網信息安全專家鄭光偉認為,出臺權威性的智能網聯汽車信息安全評測規程顯得尤為重要。“目前在這方面市場各方仍存有分歧。主機廠的評估思路偏重于攻擊路徑的利用難度,以及對車輛資產和人身安全的影響程度;信息安全廠商更偏重技術本身對系統的影響。”鄭光偉表示,行業統一標準會促進主機廠、零部件供應商和信息安全企業的理念達成一致。
談及如何進行有效的安全防護,張建新表示,需要從實戰入手。安全機構可站在黑客的立場,通過真實地攻擊排查汽車系統的安全漏洞;“白帽黑客”通過不斷地運行程序,完成對智能汽車系統漏洞的查找、提交和修復。
在高永強看來,智能汽車的安全問題目前處于多態并存狀態,所涉及的不僅僅是汽車廠商,也包括相關的互聯網服務商。為此,各方都應遵循ISO 21434標準,從技術層面建立分層網絡安全防護機制,并建立一套有公信力的網絡安全評測體系,提升整個行業的網絡安全水平,確保智能網聯汽車擺脫安全隱患。
