還記得《速度與激情8》里的那個畫面嗎?滿大街的“僵尸車”橫沖直撞,如果你也在那個場景之中,能做的恐怕只剩下祈禱了。如今隨著科技的不斷發展,人們把各項高科技運用到汽車之中,使其智能化、人性化和便利化。但你有沒有想過,如果有一天你的車因為這些高科技配置被黑客入侵了,你該怎么辦?
隨著車輛越來越智能化、網聯化,你的汽車也會像手機、電腦一樣,很容易被黑客入侵,所以信息安全這一問題大家必須重視起來。而目前,我國關于汽車信息安全還缺少標準法規支撐以及統一的技術解決方案。
汽車信息安全問題可不是空穴來風,其實早在幾年前就已經有了真實的黑客入侵汽車事件,并且還不止一起。2015年就有兩名黑客在美國做了一場試驗,他們通過互聯網技術侵入了一輛正在行駛中的Jee車型的電子系統,隨后通過遠程操控進行了車輛加速、車輛制動、調節電臺和開閉雨刷等等操作,甚至他們通過控制還讓這輛車沖出了道路。
這一試驗,當時引發了全球汽車企業對智能汽車安全問題的關注。后續二人在2016年,再次黑掉了Jee自由光的ECU系統。每次都挑Jee下手,這哥們是不是跟Jee有啥仇啊?不過他們的行動確實證明了現在的汽車信息安全存在很大的問題,入侵者經過一番操作就可以隨意控制這輛車的加速、制動以及轉向等操控行為,想想就讓人不寒而栗。
除此之外,走在車聯網最前端的特斯拉也被黑客襲擊過。不過,特斯拉對于這種黑客入侵行為是激勵的。在特斯拉的官網就有一個榜單,每年它都會獎勵那些成功破解特斯拉的黑客,從而發現自己系統中的漏洞,然后進行改進和升級,從而實現對整車信息安全性的提高。
其實在國內就有這么幾個團隊,一直都在破解特斯拉。通過特斯拉官網2015 年和2016 年的榜單可以發現,騰訊旗下的科恩實驗室、360團隊以及浙江大學的一個團隊,都在做破解特斯拉的項目。其中騰訊旗下的科恩實驗室,就曾破解過特斯拉的安全漏洞,并且他們還公布了破解之后對車輛進行各項操作的視頻。他們通過破解特斯拉車機瀏覽器的漏洞,利用Liux系統的缺陷,獲得了車輛的最高權限,然后遠程對車輛進行了打開車門、開閉燈光以及剎停車輛等等操作。
你以為這就完了?高端的無鑰匙點火系統,也一樣不安全。美國國家保險犯罪局(NICB)就發現,黑客可以利用特制設備,復制車輛的鑰匙信號,解鎖并開走汽車。經NICB測試,35輛不同的汽車中,有19輛可以解鎖,其中18輛能夠開動。中國面對這一問題是如何做的?其實早在2017年5月,中國汽車技術研究中心就成立了汽車信息安全研究機構——中國汽車信息共享與分析中心(以下簡稱“共享中心”)。共享中心成立的目的在于聯合主機廠,匿名共享車輛數據漏洞,形成標準的完整解決方案。
共享中心通過調研發現,中國道路上車輛存在的數據漏洞有70%的重復性,所以共享數據具有重大意義。截止目前,共享中心已經完成了對70余款車型的信息安全能力測試,其中國產車型占56%、合資車型占35%、進口車型占9%,測試發現其中數據漏洞高達2000多個。測試涵蓋了整車信息安全七大攻擊入口:網絡構架、車載娛樂系統、T-Bx、云平臺、A、ECU以及無線電。
通過測試可以發現,只有極少部分的車型使用了信息安全防護措施,但是它們的安全防護措施水平普遍很低。其中,國產車型信息安全水平最低,合資車型次之,進口車型信息安全措施水平稍微要高一些。但國產車型APP安全水平要普遍高于合資車型和進口車型。這一測試充分說明了車輛網絡防護措施嚴重不足,車聯網部件的防護可靠性低,需要加設車聯網安全策略,配備相應的信息安全防護產品。汽車最常見、最危險的九大風險敏感信息泄露未經授權的訪問不安全的車載通訊車載網絡未做安全隔離系統固件可被提取及逆向不安全的加密以及配置不安全第三方組件不安全云端接口系統存在后門該怎么做?1汽車制造廠商應組建信息安全團隊或組織,培養專職的人員負責信息安全工作。將后臺和前端放到一起共同協作解決信息安全問題,為全面防護打下良好的基礎。2整車企業應該針對現有車型的信息安全測試結果進行分析,依據分析查找所在漏洞,從而形成影響以及危害設計的防護方案。車企的信息安全人員應當清晰的意識到,沒有絕對的安全系統。人們要做的是建立一個有效合理的威脅分析基礎,不要為沒有必要或發生概率過低的安全風險花費高昂的防護成本。對此,安全人員應當建立動態防護體系,針對攻擊能夠進行動態調整,進而實現攻防平衡。3控制上線前產品安全驗收環節。從發生過的黑客襲擊來看,當前汽車領域的信息安全手段相對滯后,很多汽車智能化產品在開發設計之初就沒有考慮到信息安全問題。同時,國內外沒有相關的安全標準可以指導汽車廠商去做正向開發。因此,當前最重要的關鍵環節,是在上線前把控好安全驗收工作,將危害最嚴重、影響最廣泛的安全漏洞解決掉,進而達到相對安全的狀態。并且后續車企還要做好持續的漏洞監控,保證不會有新的漏洞造成入侵事件。4在整車正向開發過程中融入信息安全概念和需求,設計安全可靠的電子網絡架構。提高整車信息安全水平、應急能力及整車智能化水平三個維度的信息安全水平。5各大汽車廠商、供應商、安全公司應共同努力,貢獻自己的智慧和能力。在國內汽車智能科技領先的條件下,引領國際標準。
隨著車聯網的不斷發展和人們對于汽車智能化需求的不斷提高,汽車的智能網聯信息安全問題已經不容忽視。在將來,我們購車的時候可能不止要關注這輛車的常規水平如何,安全問題也應該成為我們的核心關切點。現在越來越多的汽車品牌在發展智能汽車,但他們是否把車輛安全問題放在了核心層面?其實無論對于廠商還是消費者,我們都應該樹立自己對于汽車安全信息的危機意識,不能讓“僵尸車”真正進入我們的生活。本文來源于汽車之家車家號作者,不代表汽車之家的觀點立場。
