一個智商165的人,他是現(xiàn)實世界里的失敗者,卻是網絡中的頂尖黑客。他可以追蹤到任何一個人的信息,先后入侵國際金融系統(tǒng)和國家安全局。這就是電影《沒有絕對安全的系統(tǒng)》中所描述的情景。
現(xiàn)如今,汽車也正演變成一個漏洞越來越多的“系統(tǒng)”。2014年的黑客攻擊致克萊斯勒140萬輛汽車召回;2019年奔馳被發(fā)現(xiàn)19個安全漏洞,波及200多萬輛汽車。近段時間,大眾、福特、現(xiàn)代、豐田等接連被曝出存在安全漏洞。不幸的是,最壞的時候還沒有到來……有專家預測,2025年前后汽車網絡攻擊可能會大爆發(fā)。
30秒快速閱讀:
1、當前,數(shù)字鑰匙的安全漏洞問題最為嚴重。隨著自動駕駛、5G車聯(lián)等逐步成熟,汽車信息安全形勢日益嚴峻。
2、行業(yè)對汽車信息安全高度關注,用戶卻沒有明顯感知。手機被攻破頂多“傷財”,而汽車安全漏洞卻能“害命”。
3、比之海外品牌,現(xiàn)存的中國品牌汽車在信息安全方面相對偏弱。OTA(空中升級)將是“堵”漏洞的重要手段。
● 汽車“漏洞”越來越多,安全攻擊快速增長
汽車信息安全與車聯(lián)網關系密切,汽車越“獨立”,信息安全問題越小,反之越嚴重。2015年起,車企逐步深化網聯(lián)功能,汽車網絡入侵事件也日益增多。中國汽車技術研究中心曾對市面上的70余輛汽車進行信息安全能力測試,發(fā)現(xiàn)2000個以上數(shù)據(jù)漏洞。七大攻擊入口主要為:網絡架構、車載信息娛樂系統(tǒng)、T-BOX、云平臺、App、ECU及無線電。
當前,汽車數(shù)字鑰匙的安全漏洞問題最為嚴重。車主通過手機App就能解鎖車輛、啟動汽車或遙控泊車,然而整條鏈路的安全性并不“健壯”。2019年,有黑客僅用30秒就偷走一輛Model S。2019年前10個月,英國發(fā)生14000多起利用數(shù)字鑰匙漏洞盜竊汽車的案件,作案時間通常都不到30秒。
數(shù)字鑰匙漏洞還只是“冰山一角”。近一兩年,汽車網絡安全攻擊事件呈現(xiàn)出快速增長趨勢。有統(tǒng)計數(shù)據(jù)顯示,2019年公開報道的針對智能網聯(lián)汽車網絡安全攻擊的事件差不多是2018年的兩倍。
未來,汽車所面臨的信息安全處境有可能“更糟”。5G興起,加速汽車“觸網”;智能汽車的發(fā)展,堅定了車企走“軟件定義硬件”的道路。然而,越多的觸點意味著越多的風險,越多的代碼行段必然帶來越多的BUG(當前汽車軟件代碼量達上億行)。
『特斯拉Model S』
騰訊科恩實驗室車聯(lián)安全技術專家范士雄稱,“車聯(lián)網安全還處在初期階段。科恩實驗室曾做過量化評估,如果手機的安全分數(shù)是100分,那么當前車聯(lián)網安全也就六七十分的水平。”另一位汽車信息安全專家表示,“未來,汽車安全漏洞會越來越多。”該人士認為,現(xiàn)在還沒有到真正爆發(fā)的時候,當自動駕駛汽車大規(guī)模起量時,形勢會更加嚴峻,時間節(jié)點可能是2025年前后。
● 用戶沒有明顯感知,汽車安全攻擊卻可“害命”
人們對汽車安全漏洞的關注似乎一直停留在B端,C端用戶好像并沒有明顯的感知。好比今天電腦和智能手機如此發(fā)達,用戶依然對網絡安全沒有切身感受。
面對如此現(xiàn)狀,從業(yè)者也在思考,汽車信息安全的需求到底是什么?任何一項功能、服務的應用,都是用戶有需求,車企才會去做部署。汽車信息安全,理論上也應是如此。
『2014年被入侵后失控的克萊斯勒汽車』
那么,為何C端用戶沒有感知呢?上述不具名安全專家認為,首先,當前智能網聯(lián)汽車的數(shù)量還不夠多,相較于存量傳統(tǒng)汽車而言可謂“九牛一毛”。其次,與手機/電腦相比,汽車安全攻擊門檻更高,黑客自己先要有車作為“研究”對象,同時還要足夠強的汽車專業(yè)知識。
更關鍵的原因在于,當前汽車網絡攻擊的“黑色產業(yè)鏈”尚未成熟。“黑產利用”的商業(yè)價值有限,還不如“黑”手機/電腦勒索錢財來得更直接。范士雄表示,當前汽車網絡攻擊多以車企的云數(shù)據(jù)平臺為主,這比起入侵單獨的一輛汽車來說非法獲利空間大多了。
手機/電腦被攻破頂多“傷財”,汽車安全漏洞卻可能“害命”,這才是問題的關鍵所在。汽車信息安全所面臨的“威脅”主要體現(xiàn)在兩方面:一是影響范圍,比如通過云平臺漏洞可以批量控制多少車;二是影響程度,入侵信息娛樂系統(tǒng)的危害有限,但如果底層控制系統(tǒng)(如剎車、轉向、動力等)被攻破,就能夠“害命”。假如“范圍”和“程度”兩個條件同時滿足,有可能造成“群死群傷”。
好的一面是,我國對互聯(lián)網的管理非常嚴格,同時車企極其注重汽車產品安全,未來汽車信息安全問題不一定就像說得那么嚴重。糟糕的一面是,車聯(lián)網方興未艾,不清楚安全漏洞將如何被黑客利用,黑暗勢力依然隱藏在背后。控制汽車作為政治暗殺工具,或脅迫高速行駛的自動駕駛汽車勒索比特幣,這些情景不是沒人暢想過。
● 中國品牌車是“軟柿子”,但安全問題正快速改善
當前所暴露出來的汽車安全漏洞入侵問題,其根源往往在數(shù)年前。因為汽車開發(fā)周期通常需要3-5年,而當時車企在進行開發(fā)時可能壓根就沒有預埋網絡安全設計。
在范士雄看來,上述情況是現(xiàn)如今汽車信息安全所面臨的最大挑戰(zhàn)。他認為,“三五年前所開發(fā)的汽車并不完全是針對智能網聯(lián)設計的,也沒有考慮太多信息安全性,還認為汽車只是一個相對‘獨立’的空間。現(xiàn)在為了實現(xiàn)網聯(lián)功能,可能做小幅改動后就讓汽車去聯(lián)網,這相當于把一個有很多漏洞的系統(tǒng)直接暴露在了網絡上。”
在存量車中,中國品牌國產車的信息安全問題最為突出。“中國品牌汽車就好像‘軟柿子’,屬于誰都能捏的那種。”上述不具名安全專家稱,依據(jù)他們所做的測試研究,美系車很早就涉足車聯(lián)網,信息安全基礎比較好。日系講究精細化,加密做得特別好,即便車被‘黑’了你也控制不了。德系秉承‘工匠精神’,信息安全中規(guī)中矩,非常規(guī)范化。
不過,這種情況正在快速好轉,主要是車企對信息安全越來越重視,人才、預算等資源傾斜力度不斷加大。同時,專業(yè)的互聯(lián)網公司也在幫助車企建設信息安全能力。比如,騰訊科恩實驗室已經與豐田、東風等車企達成合作。他們一方面幫助車企建立安全評估和自治能力;另一方面也把技術能力轉換成自動化工具,幫助車企消除一些基礎的安全問題。
『通用凱迪拉克CT5全新電子電氣架構』
除了不斷加大資源投入外,車企也針對未來智能汽車進行產品開發(fā)。大眾、吉利、凱迪拉克等都陸續(xù)推出基于新電子電氣架構的車型,在云端、通信鏈路、車端都會部署安全解決方案。以車端為例,將內部網絡分區(qū)隔離,并采取嚴格的身份認證,即便某一模塊被攻破,也不至于擴散到整車或其他車輛。而OTA技術的應用,則使得未來的汽車能像手機一樣,通過不斷“打補丁”的方式堵住漏洞。
全文總結:
所謂道高一尺,魔高一丈。汽車信息安全永遠處在“攻”與“防”的動態(tài)平衡中。攻要能突破防御才有存在的意義,防要能抵擋攻擊才能證明其價值。暫且不論汽車安全漏洞給用戶帶來的人身安全威脅,隱私數(shù)據(jù)保護必將面臨更大挑戰(zhàn)。智能汽車就是一個時刻在收集數(shù)據(jù)的“傳感器”,不管是個人行為數(shù)據(jù)、企業(yè)商業(yè)機密,還是國家層面的地理信息數(shù)據(jù),都存在巨大的泄漏風險。
