据《证券日报》记者不完全统计,2019年,黑客通过入侵共享汽车App、改写程序和数据的方式,盗走包含奔驰CLA、GLA小型SUV、Smartfortwo微型车在内的100多辆汽车。相比于以盗窃汽车为目的的黑客攻击,智能汽车在网络安全和行驶过程中遭到黑客攻击带来的危险性显然更为严重。
知名汽车网络安全公司Upstream Security发布的2020年《汽车网络安全报告》显示,自2016年至2020年1月份,汽车网络安全事件增长了605%,仅2019年一年就增长1倍以上。按照目前的发展趋势,随着汽车联网率的不断提升,预计未来此类安全问题将更加突出。
作为智能化、网联化车企代表之一的特斯拉,就曾被找出大量安全漏洞。据360集团工业互联网安全研究院院长张建新介绍,早在2014年,特斯拉研发的第二款汽车产品Model S发布两年后就被发现了一个漏洞。利用该漏洞缺陷,控制者能够通过远程控制实现开锁、鸣笛等操作。
今年,特斯拉再度因摄像头记录驾驶员面部特征及车内大部分空间而陷入“隐私门”,其中的监控录像就是一名黑客入侵特斯拉汽车后曝出来的信息。除了网络、程序技术带来的安全风险外,自动驾驶、人工智能等数字化技术的应用也让汽车的安全风险相应增加。在有关数字化应用的攻击中,黑客越来越多地瞄准大数据、人工智能和自动驾驶系统。
智能汽车网络安全问题
面临严峻考验
在车联网和“软件定义汽车”的发展趋势下,智能汽车越来越像科技产品,拥有了更多的智能化功能,同时也带来诸多生态性问题。其中,联入互联网所带来的安全问题就是未来汽车发展过程中需要面对的一大焦点。
“目前汽车的关键代码规模提升了10倍甚至100倍,代码漏洞也呈现指数级增长,更多时候是软件代码的增加带来了安全风险的增加。”蔡建永对《证券日报》记者表示,在汽车系统尚未联入互联网之时,黑客入侵的入口只是蓝牙系统、CD播放器等设备。但伴随车联网的快速发展,不仅黑客入侵的入口极大拓展,攻击的地点也不再局限于车辆附近。
据华为智能汽车解决方案BU、标准总监高永强透露,从风险类型来看,当前智能汽车面临的网络安全威胁主要有七类,大致可以归类为智能汽车的感知层、网络层和应用层三大层面。
记者还注意到,车企在网络通信层面的防护水平参差不齐。以车云通信为例,现阶段整车企业对通信加密、车载端访问的控制进度就各不相同。对于漏洞频现的数字车钥匙,很多车企在通信安全方面的重视程度也有限,安全机制普遍不足。
2018年9月份,特斯拉无钥匙进入和启动系统曝出CVE(通用漏洞披露)漏洞,编号为“CVE-2018-16806”。该系统是由软件公司Pektron开发的,因此受影响的车辆还可能涉及同样应用了Pektron启动系统的迈凯轮、Karma、Triumph等品牌车型。
在C-V2X(蜂窝车联网)直连通信方面,目前大部分车企在证书管理系统、终端解决方案和企业初始配置环境建设等方面,仍处于试验验证的初级阶段,现已存在的交通、通信等领域的安全威胁也会陆续迁移到智能汽车上。
“互联网领域的所有安全威胁,都将平滑地向汽车领域蔓延。”在蔡建永看来,对个人电脑或手机的入侵,最多损失个人信息或财产。而一旦车辆被黑客入侵,尤其是在车辆高速行驶时被入侵,有可能导致车毁人亡。“如果汽车像Windows一样受到大量程序攻击,这是绝对不能接受的。”
汽车产业现已进入智能化变革的关键时期,与早期PC、手机的发展路径类似,应用的扩展和网联率的大幅提升,也将使其成为下一个网络攻击的“靶子”。智能汽车本身呈现出来的更加分散的攻击点和更加严重的后果反馈,都凸显了智能汽车面临的严峻的安全防控形势。
确保汽车网络安全
须多管齐下
道路千万条,安全第一条。在汽车智能化发展进程中,一旦出现网络安全漏洞,除了对车辆及车主造成安全威胁外,还有可能将危险蔓延至其他车辆和其他人,引发公共安全事件。因此,智能汽车的安全问题是时候摆上桌面了。
在政策层面上,国内车联网相关体系和标准已在建设中。今年6月21日,工信部就《车联网(智能网联汽车)网络安全标准体系建设指南》公开征求意见,提出了车联网安全标准体系框架、重点标准化领域及方向。可以看出,解决“汽车黑客”的威胁已成为车企和消费者的共同期望。
“标准化、体系化解决的是安全有无的问题,但有了这些,车联网就真正安全了吗?”张建新称,汽车联网一定会有漏洞,联网会导致黑客攻击面扩大,新技术的引入也会带来新的风险。
记者还发现,目前智能网联汽车的很多零部件仍以外资供应商为主,对于部分车企来说,这些供应商提供的系统如同“黑盒”,主机厂想从全局上构建信息安全防护体系,但可操作空间被极大制约了。
对此,智能汽车领域专家、车联网信息安全专家郑光伟认为,出台权威性的智能网联汽车信息安全评测规程显得尤为重要。“目前在这方面市场各方仍存有分歧。主机厂的评估思路偏重于攻击路径的利用难度,以及对车辆资产和人身安全的影响程度;信息安全厂商更偏重技术本身对系统的影响。”郑光伟表示,行业统一标准会促进主机厂、零部件供应商和信息安全企业的理念达成一致。
谈及如何进行有效的安全防护,张建新表示,需要从实战入手。安全机构可站在黑客的立场,通过真实地攻击排查汽车系统的安全漏洞;“白帽黑客”通过不断地运行程序,完成对智能汽车系统漏洞的查找、提交和修复。
在高永强看来,智能汽车的安全问题目前处于多态并存状态,所涉及的不仅仅是汽车厂商,也包括相关的互联网服务商。为此,各方都应遵循ISO 21434标准,从技术层面建立分层网络安全防护机制,并建立一套有公信力的网络安全评测体系,提升整个行业的网络安全水平,确保智能网联汽车摆脱安全隐患。