一個智商165的人，他是現實世界里的失敗者，卻是網絡中的頂尖黑客。他可以追蹤到任何一個人的信息，先后入侵國際金融系統和國家安全局。這就是電影《沒有絕對安全的系統》中所描述的情景。

現如今，汽車也正演變成一個漏洞越來越多的“系統”。2014年的黑客攻擊致克萊斯勒140萬輛汽車召回；2019年奔馳被發現19個安全漏洞，波及200多萬輛汽車。近段時間，大眾、福特、現代、豐田等接連被曝出存在安全漏洞。不幸的是，最壞的時候還沒有到來……有專家預測，2025年前后汽車網絡攻擊可能會大爆發。

30秒快速閱讀：
1、當前，數字鑰匙的安全漏洞問題最為嚴重。隨著自動駕駛、5G車聯等逐步成熟，汽車信息安全形勢日益嚴峻。
2、行業對汽車信息安全高度關注，用戶卻沒有明顯感知。手機被攻破頂多“傷財”，而汽車安全漏洞卻能“害命”。
3、比之海外品牌，現存的中國品牌汽車在信息安全方面相對偏弱。OTA（空中升級）將是“堵”漏洞的重要手段。

● 汽車“漏洞”越來越多，安全攻擊快速增長

汽車信息安全與車聯網關系密切，汽車越“獨立”，信息安全問題越小，反之越嚴重。2015年起，車企逐步深化網聯功能，汽車網絡入侵事件也日益增多。中國汽車技術研究中心曾對市面上的70余輛汽車進行信息安全能力測試，發現2000個以上數據漏洞。七大攻擊入口主要為：網絡架構、車載信息娛樂系統、T-BOX、云平臺、App、ECU及無線電。

當前，汽車數字鑰匙的安全漏洞問題最為嚴重。車主通過手機App就能解鎖車輛、啟動汽車或遙控泊車，然而整條鏈路的安全性并不“健壯”。2019年，有黑客僅用30秒就偷走一輛Model S。2019年前10個月，英國發生14000多起利用數字鑰匙漏洞盜竊汽車的案件，作案時間通常都不到30秒。

數字鑰匙漏洞還只是“冰山一角”。近一兩年，汽車網絡安全攻擊事件呈現出快速增長趨勢。有統計數據顯示，2019年公開報道的針對智能網聯汽車網絡安全攻擊的事件差不多是2018年的兩倍。

未來，汽車所面臨的信息安全處境有可能“更糟”。5G興起，加速汽車“觸網”；智能汽車的發展，堅定了車企走“軟件定義硬件”的道路。然而，越多的觸點意味著越多的風險，越多的代碼行段必然帶來越多的BUG（當前汽車軟件代碼量達上億行）。

『特斯拉Model S』

騰訊科恩實驗室車聯安全技術專家范士雄稱，“車聯網安全還處在初期階段?？贫鲗嶒炇以鲞^量化評估，如果手機的安全分數是100分，那么當前車聯網安全也就六七十分的水平。”另一位汽車信息安全專家表示，“未來，汽車安全漏洞會越來越多?！痹撊耸空J為，現在還沒有到真正爆發的時候，當自動駕駛汽車大規模起量時，形勢會更加嚴峻，時間節點可能是2025年前后。

● 用戶沒有明顯感知，汽車安全攻擊卻可“害命”

人們對汽車安全漏洞的關注似乎一直停留在B端，C端用戶好像并沒有明顯的感知。好比今天電腦和智能手機如此發達，用戶依然對網絡安全沒有切身感受。

面對如此現狀，從業者也在思考，汽車信息安全的需求到底是什么？任何一項功能、服務的應用，都是用戶有需求，車企才會去做部署。汽車信息安全，理論上也應是如此。

『2014年被入侵后失控的克萊斯勒汽車』

那么，為何C端用戶沒有感知呢？上述不具名安全專家認為，首先，當前智能網聯汽車的數量還不夠多，相較于存量傳統汽車而言可謂“九牛一毛”。其次，與手機/電腦相比，汽車安全攻擊門檻更高，黑客自己先要有車作為“研究”對象，同時還要足夠強的汽車專業知識。

更關鍵的原因在于，當前汽車網絡攻擊的“黑色產業鏈”尚未成熟?！昂诋a利用”的商業價值有限，還不如“黑”手機/電腦勒索錢財來得更直接。范士雄表示，當前汽車網絡攻擊多以車企的云數據平臺為主，這比起入侵單獨的一輛汽車來說非法獲利空間大多了。

手機/電腦被攻破頂多“傷財”，汽車安全漏洞卻可能“害命”，這才是問題的關鍵所在。汽車信息安全所面臨的“威脅”主要體現在兩方面：一是影響范圍，比如通過云平臺漏洞可以批量控制多少車；二是影響程度，入侵信息娛樂系統的危害有限，但如果底層控制系統（如剎車、轉向、動力等）被攻破，就能夠“害命”。假如“范圍”和“程度”兩個條件同時滿足，有可能造成“群死群傷”。

好的一面是，我國對互聯網的管理非常嚴格，同時車企極其注重汽車產品安全，未來汽車信息安全問題不一定就像說得那么嚴重。糟糕的一面是，車聯網方興未艾，不清楚安全漏洞將如何被黑客利用，黑暗勢力依然隱藏在背后。控制汽車作為政治暗殺工具，或脅迫高速行駛的自動駕駛汽車勒索比特幣，這些情景不是沒人暢想過。

● 中國品牌車是“軟柿子”，但安全問題正快速改善

當前所暴露出來的汽車安全漏洞入侵問題，其根源往往在數年前。因為汽車開發周期通常需要3-5年，而當時車企在進行開發時可能壓根就沒有預埋網絡安全設計。

在范士雄看來，上述情況是現如今汽車信息安全所面臨的最大挑戰。他認為，“三五年前所開發的汽車并不完全是針對智能網聯設計的，也沒有考慮太多信息安全性，還認為汽車只是一個相對‘獨立’的空間。現在為了實現網聯功能，可能做小幅改動后就讓汽車去聯網，這相當于把一個有很多漏洞的系統直接暴露在了網絡上。”

在存量車中，中國品牌國產車的信息安全問題最為突出。“中國品牌汽車就好像‘軟柿子’，屬于誰都能捏的那種。”上述不具名安全專家稱，依據他們所做的測試研究，美系車很早就涉足車聯網，信息安全基礎比較好。日系講究精細化，加密做得特別好，即便車被‘黑’了你也控制不了。德系秉承‘工匠精神’，信息安全中規中矩，非常規范化。

不過，這種情況正在快速好轉，主要是車企對信息安全越來越重視，人才、預算等資源傾斜力度不斷加大。同時，專業的互聯網公司也在幫助車企建設信息安全能力。比如，騰訊科恩實驗室已經與豐田、東風等車企達成合作。他們一方面幫助車企建立安全評估和自治能力；另一方面也把技術能力轉換成自動化工具，幫助車企消除一些基礎的安全問題。

『通用凱迪拉克CT5全新電子電氣架構』

除了不斷加大資源投入外，車企也針對未來智能汽車進行產品開發。大眾、吉利、凱迪拉克等都陸續推出基于新電子電氣架構的車型，在云端、通信鏈路、車端都會部署安全解決方案。以車端為例，將內部網絡分區隔離，并采取嚴格的身份認證，即便某一模塊被攻破，也不至于擴散到整車或其他車輛。而OTA技術的應用，則使得未來的汽車能像手機一樣，通過不斷“打補丁”的方式堵住漏洞。

全文總結：

所謂道高一尺，魔高一丈。汽車信息安全永遠處在“攻”與“防”的動態平衡中。攻要能突破防御才有存在的意義，防要能抵擋攻擊才能證明其價值。暫且不論汽車安全漏洞給用戶帶來的人身安全威脅，隱私數據保護必將面臨更大挑戰。智能汽車就是一個時刻在收集數據的“傳感器”，不管是個人行為數據、企業商業機密，還是國家層面的地理信息數據，都存在巨大的泄漏風險。