在特斯拉被网络高手悄无声息地偷走了好几回后,关于智能汽车的安全问题已经不是耸人听闻的新闻。公众也相信,四年前好莱坞大片《速度与激情8》中,黑客操纵大批“僵尸”汽车在曼哈顿街头自杀式冲撞的场景,某一天在技术层面完全可能上演。
但“某一天”会很久吗?真相是,这一天或许已经到来。
“在过去5年时间里,汽车被攻击的次数增长了20倍;黑客对智能汽车的攻击快速增加,其中27.6%的攻击涉及车辆控制。”这是在刚结束的第11届中国汽车论坛上,华为智能汽车解决方案BUCTO蔡建永分享的一组极具冲击力的数据,它直观地反映了汽车遭受黑客攻击这一问题的严峻性。
媒体公开报道信息显示,2019年,黑客通过入侵共享汽车App并改写程序跟数据,盗走包含奔驰CLA、GLA小型SUV、Smartfortwo微型车等超100辆汽车。而目的为盗窃的汽车攻击并不算最坏的情况,更糟糕的情况是在汽车行驶过程中遭到攻击。
“互联网上的所有安全威胁都将平滑地向汽车蔓延。”蔡建永称,电脑或者手机入侵最多损失个人的信息或者财产,而车辆受到入侵,尤其是车辆在高速行驶的时候受到入侵将导致车毁人亡。“如果汽车像Windows一样(受到大量程序攻击),这是不可接受的。”
Upstream Security发布的《2019年全球汽车网络安全报告》预测称,在2018-2023年,网络黑客攻击或将导致汽车业折损近240亿美元。这一切都显示出,当汽车与PC一样成为了移动互联网的载体,当车联网和智能驾驶功能成为车辆标配,汽车网络安全的底线也将成为最大的安全隐患。
黑客入侵的新目标
“当汽车成为网络空间的一个组成部分,就会像其他任何联网的电子设备和计算机系统一样,成为黑客攻击的目标,面临严峻的网络安全挑战。”除了蔡建永,司法鉴定科学研究院副主任郭弘也在这场汽车行业的年度论坛上强调了汽车的互联网安全问题。
在汽车系统尚未进入网络时代之时,黑客入侵的入口还只是蓝牙系统、CD播放器此类设备,这种攻击方式需要近距离接触车辆才能进行。但伴随着车联网的发展,黑客入侵的入口被极大地“拓宽”。并且黑客进行攻击的地点也不再局限于车辆附近。
网络安全专家表示,随着蜂窝通信网络技术的发展,现在黑客可以在国家任何一个位置,对车发起攻击。
在360集团集团工业互联网安全研究院院长张建新看来,汽车领域的安全挑战可以分为三类,分别是软件化编程、网联化接入,以及数字化应用带来的风险。其中,软件化编程带来代码的漏洞,网联化接入能让黑客对车辆进行无物理接触远程攻击。据媒体报道,早在2017年,信息安全公司卡巴斯基的分析师就已从大量高端汽车制造商的应用程序编码中找出大量漏洞。
在这样的情况下,PC时代的安全风险可能会在汽车上重演。蔡建永给出的2019年数据表示,移动互联网上的恶意应用程序数量超过1300万个,并以年复合增长率60%的速度高速增长;在Android移动终端上,每个月平均有80-90万用户受到攻击。
“如果这一数字放到智能汽车上,那将产生灾难性的影响。”蔡建永说。
在PC时代,“红色代码”、“熊猫烧香”等病毒曾入侵大量电脑系统,美国核电站、波兰航空公司等企业、机构的操作系统遭黑客入侵事件,也曾引发世界范围内的关注。
目前被认为是智能化、网联化代表之一的特斯拉,就曾被找出大量安全漏洞。张建新在介绍汽车所面临的黑客攻击风险时提到,早在2014年,也就是特斯拉第二款汽车产品ModelS发布两年后,其第一个漏洞就被360集团相关团队发现,利用该缺陷,控制者能够通过远程控制实现开锁、鸣笛等操作。
今年,特斯拉因摄像头记录了驾驶员的面部特征以及车内大部分空间而陷入“隐私门”,其中的监控录像就是一名黑客入侵汽车后曝光的信息。
而除了网络、程序技术带来的安全风险,自动驾驶、人工智能等数字化技术的应用也让汽车的安全风险增加。在有关数字化应用的攻击方式中,黑客往往通过对车辆周围信息进行“投毒”来误导“大数据”和“人工智能”、“自动驾驶系统”。据媒体报道,2020年,网络安全公司迈克菲(McAfee)就通过用黑色胶带改变限速牌数字的方式,使得特斯拉自动驾驶系统对速度做出错误判断,从而超速行驶。
《智能网联汽车技术路线图2.0》指出,PA(部分自动驾驶)、CA(有条件自动驾驶)级智能网联汽车渗透率将在2025年达到50%,2030年将超过70%。在此背景下,解决“汽车黑客”的威胁已成为车企、消费者、网络安全企业三方的共同期望。
有意思的是,在智能汽车时代,黑客不只会伤害车主,甚至会“伤害”车企。据媒体报道,一些车主会买来设备“黑”掉自己的车,这是因为,基于智能汽车的OTA(空中下载技术)功能,部分车主能够自行在“汽车商店”中购买有如座椅加热、增加电池续航、增强马力的车辆功能,这都将通过系统设置来进行解锁,而“黑”掉系统就能让车主免费获得以上功能。去年,特斯拉曾针对此类非法改装发出警告,但该警告并未影响汽车正常行驶。
多路修补“防火墙”
在车联网和“软件定义汽车”的趋势下,同样被定义的是汽车风险指数的激增。蔡建永指出,目前汽车的关键代码规模提升了10-100倍,代码漏洞呈指数级增长。绿盟科技产品总监刘嘉奇同样认为,对网联车来说,更多是软件代码带来了风险的增加。
而实际上,为了解决这些安全风险,“白帽黑客”式策略一直都在汽车安全业内上演。在有关汽车安全漏洞的问题上,“白帽黑客”们早已崭露头角。“白帽黑客”指为网络安全机构服务的网络技术专家,工作内容为寻找、提交漏洞甚至修复漏洞。
据公开报道,2015年,两个安全专家发现了大切诺基(参数丨图片)互动娱乐系统上的漏洞,克莱斯勒(Chrysler)为应对此事召回140万辆汽车,负担1.05亿美元的民事责任赔偿以及数亿美元的损失;腾讯科恩实验室分别在2016年、2017年两次利用特斯拉多个高危安全漏洞实现对车辆的无物理接触远程攻击,随后将其发现的安全漏洞交与特斯拉。
张建新也举例称,2020年,360集团安全团队发现奔驰智能网联汽车有关的安全漏洞细节,披露及协助其修复了19个安全漏洞。
此外,在汽车使用过程中,像“杀毒软件”一样对汽车进行监管也被认为是保障汽车安全的重要途径。“(做新能源车的监管)是很重要的一点,(要有)监管和响应的能力,我们要做车信息的收集,实时判断哪些事情有异常,做好安全事件的应急响应。”刘嘉奇同时认为,修复汽车中的漏洞时可以进行分级处理,应该最先解决最危险的漏洞,而风险不大的漏洞算不到特别优先级重要的程度。
值得注意的是,在政策层面上,国内车联网相关体系、标准已在建立之中。6月21日,工信部就《车联网(智能网联汽车)网络安全标准体系建设指南》公开征求意见,其提出了车联网安全标准体系框架、重点标准化领域及方向。
蔡建永指出,以美欧为代表的国家,已制定完善的法规与监管标准,这些法规将在未来2-4年逐步发布;而在国内,未来3年也将是相关的监管与法规的集中发布期。
不过,业内认为,明确法规与监管标准并不足以防患于未然。“标准化、体系化解决的是安全有无的问题,但在这之后,这个车联网就真正安全了吗?并不是。”张建新称,车一定是有漏洞的,联网导致攻击面扩大,新的技术引入带来了新的风险点,一定会有新的问题源源不断地出现。
在张建新的理解中,要解决问题,必须从实战来考虑。而所谓“实战”,即安全机构对汽车的攻击将更加真实地进行,这与“白帽黑客”所做工作相差不大。
在智能化、网联化变革如火如荼的背景下,汽车网络安全正在得到前所未有的重视。无论是车企、软件供应商,还是PC时代的网络安全巨头,都在谋篇布局以应对新型智能终端设备——汽车上的安全变革。不过,这仅仅是车联网安全防护的一个起点。正如“魔高一尺,道高一丈”的俗语一般,网络技术的更迭进阶不会停止,黑客与“白帽”之间的较量亦无停歇。
本文来源:经济观察网
责任编辑:
邵奎祎_NA6673
