車輛被遠(yuǎn)程控制“自己跑” 智能網(wǎng)聯(lián)汽車亟待安全“加鎖”

汽車行業(yè)進(jìn)入了智能網(wǎng)聯(lián)的新時(shí)代。隨著操作系統(tǒng)、自動(dòng)駕駛等軟件取代機(jī)械結(jié)構(gòu)成為核心，汽車的駕乘體驗(yàn)迎來了一次質(zhì)的飛躍。

不過，在軟件定義汽車的同時(shí)，由網(wǎng)絡(luò)形成的安全問題也不斷顯現(xiàn)。近期由中國汽車工業(yè)協(xié)會(huì)主辦的第11屆中國汽車論壇上，多位業(yè)內(nèi)人士表示，汽車的聯(lián)網(wǎng)化、智能化發(fā)展，給行業(yè)帶來了一些前所未有的安全挑戰(zhàn)。

“（智能網(wǎng)聯(lián)汽車）網(wǎng)絡(luò)安全漏洞多，2020年全球相關(guān)惡意攻擊超過280萬余次，黑客通過網(wǎng)絡(luò)攻擊的手段可以控制車輛行駛，也可以利用軟件的漏洞操控智能網(wǎng)聯(lián)汽車�！眹�家工業(yè)信息安全發(fā)展研究中心副總工程師兼信息政策所所長(zhǎng)黃鵬介紹。

黑客通過撰寫代碼遠(yuǎn)程控制車輛，這聽上去像過去電影里的情節(jié)，但在智能網(wǎng)聯(lián)汽車逐漸普及的今天，卻可能成為發(fā)生在普通消費(fèi)者身上的事實(shí)。

此前有一位中國的特斯拉車主曾表示，他在使用特斯拉APP時(shí)突然發(fā)現(xiàn)，自己的APP竟然綁定了來自歐洲的5輛陌生車輛，他不但可以查看這些車輛的所有信息，還能正常使用特斯拉APP的遠(yuǎn)程控制功能，包括解鎖車門、打開車窗、開啟空調(diào)等——這意味著智能汽車的軟件的確存在漏洞，并且存在被利用的可能。

在汽車網(wǎng)絡(luò)安全風(fēng)險(xiǎn)顯現(xiàn)之后，車企當(dāng)然也越來越重視相關(guān)的安全問題。黃鵬表示，國內(nèi)主流企業(yè)正通過強(qiáng)化技術(shù)手段和管理機(jī)制，來大幅提升數(shù)據(jù)安全的保障能力。而在智能化方面走得比較靠前的特斯拉，則已經(jīng)建立了一套對(duì)外開放的錯(cuò)誤報(bào)告體系，以提供高額獎(jiǎng)勵(lì)的方式公開“征集”軟件漏洞。

不過，對(duì)于智能網(wǎng)聯(lián)汽車來說，現(xiàn)在的軟件安全問題還只是個(gè)開始。360集團(tuán)工業(yè)互聯(lián)網(wǎng)安全研究院院長(zhǎng)張建新表示，在經(jīng)過整車安全單點(diǎn)防護(hù)階段之后，當(dāng)前行業(yè)進(jìn)入體系化、標(biāo)準(zhǔn)化建設(shè)階段，未來還將迎來實(shí)戰(zhàn)化階段�！败囈欢ㄊ怯新┒吹模�聯(lián)網(wǎng)導(dǎo)致攻擊面擴(kuò)大，新的技術(shù)引入帶來了新的風(fēng)險(xiǎn)點(diǎn)，一定會(huì)有新的問題源源不斷地出現(xiàn)�！彼�介紹，現(xiàn)在國內(nèi)實(shí)戰(zhàn)化驗(yàn)證已經(jīng)在如火如荼地進(jìn)行，以最大程度地維護(hù)車聯(lián)網(wǎng)的安全。

汽車成為黑客攻擊目標(biāo)

“隨著汽車產(chǎn)業(yè)向著網(wǎng)聯(lián)化方向的不斷發(fā)展，車輛本身已從封閉的系統(tǒng)變成了開放的系統(tǒng)，成為像手機(jī)一樣的智能終端設(shè)備……當(dāng)汽車成為網(wǎng)絡(luò)空間的一個(gè)組成部分，就會(huì)像其他任何聯(lián)網(wǎng)的電子設(shè)備和計(jì)算機(jī)系統(tǒng)一樣，成為黑客攻擊的目標(biāo)，面臨嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)�！彼痉ㄨb定科學(xué)研究院副主任郭弘在本屆中國汽車論壇上表示。

近年來，車聯(lián)網(wǎng)領(lǐng)域的安全事件逐漸增多。張建新介紹，從2010到2020年，針對(duì)車聯(lián)網(wǎng)的攻擊事件數(shù)量呈極大提升的狀態(tài)，而從去年的攻擊事件數(shù)據(jù)分析可以發(fā)現(xiàn)，“白帽子”發(fā)現(xiàn)的安全問題和黑客導(dǎo)致的安全事件基本達(dá)到了1：1的比例，黑客進(jìn)行的攻擊比“白帽子”發(fā)現(xiàn)的問題更多，由此可見，車聯(lián)網(wǎng)的安全問題已經(jīng)由實(shí)驗(yàn)室研究院開始走向產(chǎn)業(yè)化對(duì)抗。[注：白帽子指的是正面的黑客，他可以識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，但并不會(huì)惡意去利用，而是公布其漏洞。這樣，系統(tǒng)將可以在被其他人（例如黑帽子）利用之前來修補(bǔ)漏洞。]

盡管當(dāng)前智能汽車領(lǐng)域并未有大規(guī)模的黑客入侵事件見諸報(bào)端，但車輛的網(wǎng)絡(luò)安全威脅卻是客觀存在的。據(jù)張建新介紹，360是國內(nèi)第一批做車聯(lián)網(wǎng)安全企業(yè)之一，早在2014他們就發(fā)現(xiàn)了特斯拉的第一個(gè)漏洞。

彼時(shí)，特斯拉CEO伊隆·馬斯克并不承認(rèn)特斯拉存在安全問題。但很快，馬斯克就改口了。2017年7月在美國州長(zhǎng)協(xié)會(huì)會(huì)議上，馬斯克坦言，“車隊(duì)級(jí)別的黑客攻擊”是特斯拉最擔(dān)心的事情。

在此之前，不止一個(gè)人成功“破解”了特斯拉的車輛。2016年9月，騰訊科恩實(shí)驗(yàn)室宣布，他們以“遠(yuǎn)程無物理接觸”的方式成功入侵了特斯拉汽車——可以在車輛靜止?fàn)顟B(tài)下遠(yuǎn)程解鎖車輛、打開天窗、控制轉(zhuǎn)向燈、調(diào)整座椅等，也可以在行駛狀態(tài)下啟動(dòng)雨刷、收起后視鏡、打開后備箱等，甚至能夠緊急制動(dòng)。

科恩實(shí)驗(yàn)室完成漏洞測(cè)試實(shí)驗(yàn)之后，將漏洞細(xì)節(jié)提交給了特斯拉，特斯拉的工程師們也緊急進(jìn)行了漏洞修復(fù)。而在2017年，有一位名為Jason Hughes的車主也先后發(fā)現(xiàn)了特斯拉的兩個(gè)軟件漏洞，涉及超級(jí)充電樁及遠(yuǎn)程控制問題。

非常戲劇的一幕是，在與特斯拉時(shí)任軟件安全主管Aaron Sigel通話的過程中，Hughes就橫跨美國，在北卡羅來納的家中成功召喚了一輛停在加利福尼亞州的特斯拉，而他本人只是得到了這輛車的車輛識(shí)別碼而已。

特斯拉顯然不是唯一一個(gè)存在軟件安全漏洞的車企。據(jù)張建新介紹，2019年的時(shí)候，隨著智能網(wǎng)聯(lián)汽車的發(fā)展，車和云結(jié)合起來，他們也曾發(fā)現(xiàn)奔馳存在的類似問題�！翱梢詮能囍苯庸サ皆粕�，再通過云反攻到奔馳所有的在網(wǎng)車輛，遠(yuǎn)程進(jìn)行開門、開窗、停啟等操作�！彼�回憶，當(dāng)時(shí)360第一時(shí)間報(bào)告了奔馳的總部，他們也非常重視，緊急完成了漏洞的修復(fù)。

防御體系初步建立

智能網(wǎng)聯(lián)汽車的安全問題由來已久。從最早特斯拉車輛顯現(xiàn)出被遠(yuǎn)程控制的可能性以來，汽車企業(yè)等業(yè)內(nèi)主體也逐漸重視起了汽車安全問題。據(jù)悉，當(dāng)前各個(gè)主機(jī)廠商已經(jīng)相繼推出了很多關(guān)于車聯(lián)網(wǎng)安全的整體解決方案，智能網(wǎng)聯(lián)汽車的安全防御體系已經(jīng)逐步建立起來。

黃鵬介紹，“我們調(diào)研了一部分車企，總結(jié)了他們對(duì)當(dāng)前數(shù)據(jù)安全的理解和舉措。車企是越來越重視數(shù)據(jù)安全問題，國內(nèi)主流企業(yè)通過強(qiáng)化技術(shù)手段和管理機(jī)制，意在大幅提升數(shù)據(jù)安全的保障能力�！�

據(jù)了解，當(dāng)前國內(nèi)外車企主要有兩條路來“對(duì)付”軟件漏洞，一是自身開發(fā)團(tuán)隊(duì)的排查，二是外部安全機(jī)構(gòu)的補(bǔ)漏。類似360、科恩實(shí)驗(yàn)室等“白帽子”專業(yè)團(tuán)隊(duì)，已經(jīng)協(xié)助國內(nèi)外汽車品牌多次發(fā)現(xiàn)并修復(fù)安全漏洞。

“網(wǎng)絡(luò)安全企業(yè)在智能網(wǎng)聯(lián)汽車安全市場(chǎng)大有可為�！秉S鵬表示，中國主流的網(wǎng)絡(luò)安全企業(yè)都在積極布局智能網(wǎng)聯(lián)汽車的新賽道，大多基于他們傳統(tǒng)的產(chǎn)品，再根據(jù)智能網(wǎng)聯(lián)汽車的新場(chǎng)景做一些適應(yīng)性的調(diào)整和優(yōu)化，包括在數(shù)據(jù)層面，從云、管、端各個(gè)角度等都提出了相應(yīng)的解決方案，在檢測(cè)和服務(wù)方面也推出了一些相應(yīng)的網(wǎng)絡(luò)安全產(chǎn)品。

“我們調(diào)研了國內(nèi)一家安全廠商——天融信，已經(jīng)形成了覆蓋車端網(wǎng)關(guān)、ECU、T-BOX，以及云端、APP端等全方位的滲透測(cè)試工具和服務(wù)。下一個(gè)案例來自百度，其自動(dòng)駕駛安全的架構(gòu)已經(jīng)涵蓋了整個(gè)數(shù)據(jù)安全的全生命周期。”

值得一提的是，在汽車的智能網(wǎng)聯(lián)化上走得比較靠前的特斯拉，在應(yīng)對(duì)軟件安全風(fēng)險(xiǎn)上也建立了一套值得業(yè)內(nèi)參考的機(jī)制。在Jason Hughes提出兩個(gè)重大安全漏洞之后，特斯拉效仿科技公司，設(shè)立了一套公開的錯(cuò)誤報(bào)告體系——如果有開發(fā)人員發(fā)現(xiàn)特斯拉的軟件漏洞，可以向特斯拉報(bào)告，報(bào)告后特斯拉可以提供最高1.5萬美元（約合10.3萬元人民幣）的獎(jiǎng)勵(lì)。

“道高一尺，魔高一丈”的挑戰(zhàn)

智能網(wǎng)聯(lián)汽車領(lǐng)域?qū)τ诰W(wǎng)絡(luò)安全產(chǎn)業(yè)而言是一個(gè)巨大的市場(chǎng)，但是也面臨著很多挑戰(zhàn)。

“一是現(xiàn)有的網(wǎng)絡(luò)安全產(chǎn)品和解決方案還不滿足智能網(wǎng)聯(lián)汽車的安全需求；二是安全解決方案的路徑不太一樣，有的網(wǎng)絡(luò)安全企業(yè)側(cè)重車端的安全，有的側(cè)重云端的安全，雖然這些解決方案沒有哪個(gè)更優(yōu)質(zhì)，但是也需要相互借鑒；三是安全產(chǎn)品的應(yīng)用還存在成本、意識(shí)等問題�！秉S鵬表示。

總體而言，智能網(wǎng)聯(lián)汽車的安全問題和汽車的智能化、網(wǎng)聯(lián)化相伴相生，目前也處于發(fā)展的初期。不過，在張建新看來，車聯(lián)網(wǎng)安全已經(jīng)從整車安全單點(diǎn)防護(hù)的第一階段發(fā)展到了體系化建設(shè)、標(biāo)準(zhǔn)化建設(shè)的第二階段。

他解釋道，第一階段的重點(diǎn)是，發(fā)現(xiàn)整車系統(tǒng)中的每一個(gè)單獨(dú)的攻擊點(diǎn)，并且對(duì)這個(gè)攻擊點(diǎn)進(jìn)行相應(yīng)的防護(hù)能力設(shè)計(jì)，而現(xiàn)在國內(nèi)已經(jīng)建立了車聯(lián)網(wǎng)的安全標(biāo)準(zhǔn)體系，車聯(lián)網(wǎng)安全也已經(jīng)實(shí)現(xiàn)了跨平臺(tái)的互連互通。

除了通用的《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等，網(wǎng)信辦此前已經(jīng)發(fā)布《汽車數(shù)據(jù)安全管理若干規(guī)定》（征求意見稿），最新消息顯示，6月21日，工信部發(fā)布了《車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系建設(shè)指南》（征求意見稿），提出，到2023年底，初步構(gòu)建起車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系，重點(diǎn)研究基礎(chǔ)共性、終端與設(shè)施安全、網(wǎng)聯(lián)通信安全、數(shù)據(jù)安全等重點(diǎn)行業(yè)標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)，完成50項(xiàng)以上重點(diǎn)急需安全標(biāo)準(zhǔn)的制修訂工作。

政府在推進(jìn)產(chǎn)業(yè)發(fā)展和保障數(shù)據(jù)安全方面顯然具有關(guān)鍵地位。但黃鵬也表示，法規(guī)體系、標(biāo)準(zhǔn)體系相對(duì)滯后于產(chǎn)業(yè)的發(fā)展速度，并且存在多頭監(jiān)管的問題，還需盡快細(xì)化一些行業(yè)性的管理要求�！皬臄�(shù)據(jù)安全監(jiān)管的角度，國家網(wǎng)信部門是牽頭部門，但是涉及到具體行業(yè)細(xì)則的出臺(tái)，還需要行業(yè)主管部門，以及一些重要的行業(yè)協(xié)會(huì)去推動(dòng)相關(guān)工作。”

而從長(zhǎng)遠(yuǎn)來看，智能網(wǎng)聯(lián)汽車的安全問題并不會(huì)變得簡(jiǎn)單，反而會(huì)更具挑戰(zhàn)�！跋乱粋�(gè)階段，建設(shè)了標(biāo)準(zhǔn)化、體系化的措施之后，車聯(lián)網(wǎng)就真正安全了嗎？并不是。”張建新認(rèn)為，聯(lián)網(wǎng)導(dǎo)致攻擊面擴(kuò)大，新的技術(shù)引入帶來了新的風(fēng)險(xiǎn)點(diǎn)，一定會(huì)有新的問題源源不斷地出現(xiàn)，“車聯(lián)網(wǎng)不止是車，還有路側(cè)設(shè)備，這些關(guān)鍵基礎(chǔ)設(shè)施未來一定會(huì)成為組織化、國際化黑客組織的重點(diǎn)攻擊目標(biāo)�！�

“我們必須要從實(shí)戰(zhàn)考慮，這并不僅僅是我的個(gè)人看法，現(xiàn)在國內(nèi)實(shí)戰(zhàn)化驗(yàn)證進(jìn)行得如火如荼�！睆埥ㄐ卤硎�，目前他們也已經(jīng)在一些先導(dǎo)區(qū)搭建了車聯(lián)網(wǎng)安全能力的驗(yàn)證平臺(tái)，歡迎業(yè)內(nèi)的共同參與。

（作者：彭蘇平 編輯：張若思）