“在過(guò)去5年時(shí)間里,智能汽車(chē)被黑客攻擊的次數(shù)增長(zhǎng)了20倍,其中有27.6%的攻擊涉及車(chē)輛控制。”在剛剛結(jié)束的第11屆中國(guó)汽車(chē)論壇上,華為智能汽車(chē)解決方案BU首席技術(shù)官蔡建永分享了一組極具沖擊力的數(shù)據(jù),直觀地反映出“智能汽車(chē)頻遭黑客攻擊”的嚴(yán)峻現(xiàn)狀。
據(jù)《證券日?qǐng)?bào)》記者不完全統(tǒng)計(jì),2019年,黑客通過(guò)入侵共享汽車(chē)App、改寫(xiě)程序和數(shù)據(jù)的方式,盜走包含奔馳CLA、GLA小型SUV、Smartfortwo微型車(chē)在內(nèi)的100多輛汽車(chē)。相比于以盜竊汽車(chē)為目的的黑客攻擊,智能汽車(chē)在網(wǎng)絡(luò)安全和行駛過(guò)程中遭到黑客攻擊帶來(lái)的危險(xiǎn)性顯然更為嚴(yán)重。
知名汽車(chē)網(wǎng)絡(luò)安全公司Upstream Security發(fā)布的2020年《汽車(chē)網(wǎng)絡(luò)安全報(bào)告》顯示,自2016年至2020年1月份,汽車(chē)網(wǎng)絡(luò)安全事件增長(zhǎng)了605%,僅2019年一年就增長(zhǎng)1倍以上。按照目前的發(fā)展趨勢(shì),隨著汽車(chē)聯(lián)網(wǎng)率的不斷提升,預(yù)計(jì)未來(lái)此類(lèi)安全問(wèn)題將更加突出。
作為智能化、網(wǎng)聯(lián)化車(chē)企代表之一的特斯拉,就曾被找出大量安全漏洞。據(jù)360集團(tuán)工業(yè)互聯(lián)網(wǎng)安全研究院院長(zhǎng)張建新介紹,早在2014年,特斯拉研發(fā)的第二款汽車(chē)產(chǎn)品Model S發(fā)布兩年后就被發(fā)現(xiàn)了一個(gè)漏洞。利用該漏洞缺陷,控制者能夠通過(guò)遠(yuǎn)程控制實(shí)現(xiàn)開(kāi)鎖、鳴笛等操作。
今年,特斯拉再度因攝像頭記錄駕駛員面部特征及車(chē)內(nèi)大部分空間而陷入“隱私門(mén)”,其中的監(jiān)控錄像就是一名黑客入侵特斯拉汽車(chē)后曝出來(lái)的信息。除了網(wǎng)絡(luò)、程序技術(shù)帶來(lái)的安全風(fēng)險(xiǎn)外,自動(dòng)駕駛、人工智能等數(shù)字化技術(shù)的應(yīng)用也讓汽車(chē)的安全風(fēng)險(xiǎn)相應(yīng)增加。在有關(guān)數(shù)字化應(yīng)用的攻擊中,黑客越來(lái)越多地瞄準(zhǔn)大數(shù)據(jù)、人工智能和自動(dòng)駕駛系統(tǒng)。
智能汽車(chē)網(wǎng)絡(luò)安全問(wèn)題
面臨嚴(yán)峻考驗(yàn)
在車(chē)聯(lián)網(wǎng)和“軟件定義汽車(chē)”的發(fā)展趨勢(shì)下,智能汽車(chē)越來(lái)越像科技產(chǎn)品,擁有了更多的智能化功能,同時(shí)也帶來(lái)諸多生態(tài)性問(wèn)題。其中,聯(lián)入互聯(lián)網(wǎng)所帶來(lái)的安全問(wèn)題就是未來(lái)汽車(chē)發(fā)展過(guò)程中需要面對(duì)的一大焦點(diǎn)。
“目前汽車(chē)的關(guān)鍵代碼規(guī)模提升了10倍甚至100倍,代碼漏洞也呈現(xiàn)指數(shù)級(jí)增長(zhǎng),更多時(shí)候是軟件代碼的增加帶來(lái)了安全風(fēng)險(xiǎn)的增加。”蔡建永對(duì)《證券日?qǐng)?bào)》記者表示,在汽車(chē)系統(tǒng)尚未聯(lián)入互聯(lián)網(wǎng)之時(shí),黑客入侵的入口只是藍(lán)牙系統(tǒng)、CD播放器等設(shè)備。但伴隨車(chē)聯(lián)網(wǎng)的快速發(fā)展,不僅黑客入侵的入口極大拓展,攻擊的地點(diǎn)也不再局限于車(chē)輛附近。
據(jù)華為智能汽車(chē)解決方案BU、標(biāo)準(zhǔn)總監(jiān)高永強(qiáng)透露,從風(fēng)險(xiǎn)類(lèi)型來(lái)看,當(dāng)前智能汽車(chē)面臨的網(wǎng)絡(luò)安全威脅主要有七類(lèi),大致可以歸類(lèi)為智能汽車(chē)的感知層、網(wǎng)絡(luò)層和應(yīng)用層三大層面。
記者還注意到,車(chē)企在網(wǎng)絡(luò)通信層面的防護(hù)水平參差不齊。以車(chē)云通信為例,現(xiàn)階段整車(chē)企業(yè)對(duì)通信加密、車(chē)載端訪問(wèn)的控制進(jìn)度就各不相同。對(duì)于漏洞頻現(xiàn)的數(shù)字車(chē)鑰匙,很多車(chē)企在通信安全方面的重視程度也有限,安全機(jī)制普遍不足。
2018年9月份,特斯拉無(wú)鑰匙進(jìn)入和啟動(dòng)系統(tǒng)曝出CVE(通用漏洞披露)漏洞,編號(hào)為“CVE-2018-16806”。該系統(tǒng)是由軟件公司Pektron開(kāi)發(fā)的,因此受影響的車(chē)輛還可能涉及同樣應(yīng)用了Pektron啟動(dòng)系統(tǒng)的邁凱輪、Karma、Triumph等品牌車(chē)型。
在C-V2X(蜂窩車(chē)聯(lián)網(wǎng))直連通信方面,目前大部分車(chē)企在證書(shū)管理系統(tǒng)、終端解決方案和企業(yè)初始配置環(huán)境建設(shè)等方面,仍處于試驗(yàn)驗(yàn)證的初級(jí)階段,現(xiàn)已存在的交通、通信等領(lǐng)域的安全威脅也會(huì)陸續(xù)遷移到智能汽車(chē)上。
“互聯(lián)網(wǎng)領(lǐng)域的所有安全威脅,都將平滑地向汽車(chē)領(lǐng)域蔓延。”在蔡建永看來(lái),對(duì)個(gè)人電腦或手機(jī)的入侵,最多損失個(gè)人信息或財(cái)產(chǎn)。而一旦車(chē)輛被黑客入侵,尤其是在車(chē)輛高速行駛時(shí)被入侵,有可能導(dǎo)致車(chē)毀人亡。“如果汽車(chē)像Windows一樣受到大量程序攻擊,這是絕對(duì)不能接受的。”
汽車(chē)產(chǎn)業(yè)現(xiàn)已進(jìn)入智能化變革的關(guān)鍵時(shí)期,與早期PC、手機(jī)的發(fā)展路徑類(lèi)似,應(yīng)用的擴(kuò)展和網(wǎng)聯(lián)率的大幅提升,也將使其成為下一個(gè)網(wǎng)絡(luò)攻擊的“靶子”。智能汽車(chē)本身呈現(xiàn)出來(lái)的更加分散的攻擊點(diǎn)和更加嚴(yán)重的后果反饋,都凸顯了智能汽車(chē)面臨的嚴(yán)峻的安全防控形勢(shì)。
確保汽車(chē)網(wǎng)絡(luò)安全
須多管齊下
道路千萬(wàn)條,安全第一條。在汽車(chē)智能化發(fā)展進(jìn)程中,一旦出現(xiàn)網(wǎng)絡(luò)安全漏洞,除了對(duì)車(chē)輛及車(chē)主造成安全威脅外,還有可能將危險(xiǎn)蔓延至其他車(chē)輛和其他人,引發(fā)公共安全事件。因此,智能汽車(chē)的安全問(wèn)題是時(shí)候擺上桌面了。
在政策層面上,國(guó)內(nèi)車(chē)聯(lián)網(wǎng)相關(guān)體系和標(biāo)準(zhǔn)已在建設(shè)中。今年6月21日,工信部就《車(chē)聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車(chē))網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系建設(shè)指南》公開(kāi)征求意見(jiàn),提出了車(chē)聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系框架、重點(diǎn)標(biāo)準(zhǔn)化領(lǐng)域及方向??梢钥闯?,解決“汽車(chē)黑客”的威脅已成為車(chē)企和消費(fèi)者的共同期望。
“標(biāo)準(zhǔn)化、體系化解決的是安全有無(wú)的問(wèn)題,但有了這些,車(chē)聯(lián)網(wǎng)就真正安全了嗎?”張建新稱(chēng),汽車(chē)聯(lián)網(wǎng)一定會(huì)有漏洞,聯(lián)網(wǎng)會(huì)導(dǎo)致黑客攻擊面擴(kuò)大,新技術(shù)的引入也會(huì)帶來(lái)新的風(fēng)險(xiǎn)。
記者還發(fā)現(xiàn),目前智能網(wǎng)聯(lián)汽車(chē)的很多零部件仍以外資供應(yīng)商為主,對(duì)于部分車(chē)企來(lái)說(shuō),這些供應(yīng)商提供的系統(tǒng)如同“黑盒”,主機(jī)廠想從全局上構(gòu)建信息安全防護(hù)體系,但可操作空間被極大制約了。
對(duì)此,智能汽車(chē)領(lǐng)域?qū)<?、?chē)聯(lián)網(wǎng)信息安全專(zhuān)家鄭光偉認(rèn)為,出臺(tái)權(quán)威性的智能網(wǎng)聯(lián)汽車(chē)信息安全評(píng)測(cè)規(guī)程顯得尤為重要。“目前在這方面市場(chǎng)各方仍存有分歧。主機(jī)廠的評(píng)估思路偏重于攻擊路徑的利用難度,以及對(duì)車(chē)輛資產(chǎn)和人身安全的影響程度;信息安全廠商更偏重技術(shù)本身對(duì)系統(tǒng)的影響。”鄭光偉表示,行業(yè)統(tǒng)一標(biāo)準(zhǔn)會(huì)促進(jìn)主機(jī)廠、零部件供應(yīng)商和信息安全企業(yè)的理念達(dá)成一致。
談及如何進(jìn)行有效的安全防護(hù),張建新表示,需要從實(shí)戰(zhàn)入手。安全機(jī)構(gòu)可站在黑客的立場(chǎng),通過(guò)真實(shí)地攻擊排查汽車(chē)系統(tǒng)的安全漏洞;“白帽黑客”通過(guò)不斷地運(yùn)行程序,完成對(duì)智能汽車(chē)系統(tǒng)漏洞的查找、提交和修復(fù)。
在高永強(qiáng)看來(lái),智能汽車(chē)的安全問(wèn)題目前處于多態(tài)并存狀態(tài),所涉及的不僅僅是汽車(chē)廠商,也包括相關(guān)的互聯(lián)網(wǎng)服務(wù)商。為此,各方都應(yīng)遵循ISO 21434標(biāo)準(zhǔn),從技術(shù)層面建立分層網(wǎng)絡(luò)安全防護(hù)機(jī)制,并建立一套有公信力的網(wǎng)絡(luò)安全評(píng)測(cè)體系,提升整個(gè)行業(yè)的網(wǎng)絡(luò)安全水平,確保智能網(wǎng)聯(lián)汽車(chē)擺脫安全隱患。
文章轉(zhuǎn)載自中國(guó)新聞網(wǎng)