車輛被遠(yuǎn)程控制“自己跑” 智能網(wǎng)聯(lián)汽車亟待安全“加鎖”

汽車行業(yè)進(jìn)入了智能網(wǎng)聯(lián)的新時代。隨著操作系統(tǒng)、自動駕駛等軟件取代機械結(jié)構(gòu)成為核心，汽車的駕乘體驗迎來了一次質(zhì)的飛躍。

不過，在軟件定義汽車的同時，由網(wǎng)絡(luò)形成的安全問題也不斷顯現(xiàn)。近期由中國汽車工業(yè)協(xié)會主辦的第11屆中國汽車論壇上，多位業(yè)內(nèi)人士表示，汽車的聯(lián)網(wǎng)化、智能化發(fā)展，給行業(yè)帶來了一些前所未有的安全挑戰(zhàn)。

“（智能網(wǎng)聯(lián)汽車）網(wǎng)絡(luò)安全漏洞多，2020年全球相關(guān)惡意攻擊超過280萬余次，黑客通過網(wǎng)絡(luò)攻擊的手段可以控制車輛行駛，也可以利用軟件的漏洞操控智能網(wǎng)聯(lián)汽車�！眹�家工業(yè)信息安全發(fā)展研究中心副總工程師兼信息政策所所長黃鵬介紹。

黑客通過撰寫代碼遠(yuǎn)程控制車輛，這聽上去像過去電影里的情節(jié)，但在智能網(wǎng)聯(lián)汽車逐漸普及的今天，卻可能成為發(fā)生在普通消費者身上的事實。

此前有一位中國的特斯拉車主曾表示，他在使用特斯拉APP時突然發(fā)現(xiàn)，自己的APP竟然綁定了來自歐洲的5輛陌生車輛，他不但可以查看這些車輛的所有信息，還能正常使用特斯拉APP的遠(yuǎn)程控制功能，包括解鎖車門、打開車窗、開啟空調(diào)等——這意味著智能汽車的軟件的確存在漏洞，并且存在被利用的可能。

在汽車網(wǎng)絡(luò)安全風(fēng)險顯現(xiàn)之后，車企當(dāng)然也越來越重視相關(guān)的安全問題。黃鵬表示，國內(nèi)主流企業(yè)正通過強化技術(shù)手段和管理機制，來大幅提升數(shù)據(jù)安全的保障能力。而在智能化方面走得比較靠前的特斯拉，則已經(jīng)建立了一套對外開放的錯誤報告體系，以提供高額獎勵的方式公開“征集”軟件漏洞。

不過，對于智能網(wǎng)聯(lián)汽車來說，現(xiàn)在的軟件安全問題還只是個開始。360集團(tuán)工業(yè)互聯(lián)網(wǎng)安全研究院院長張建新表示，在經(jīng)過整車安全單點防護(hù)階段之后，當(dāng)前行業(yè)進(jìn)入體系化、標(biāo)準(zhǔn)化建設(shè)階段，未來還將迎來實戰(zhàn)化階段。“車一定是有漏洞的，聯(lián)網(wǎng)導(dǎo)致攻擊面擴(kuò)大，新的技術(shù)引入帶來了新的風(fēng)險點，一定會有新的問題源源不斷地出現(xiàn)�！彼�介紹，現(xiàn)在國內(nèi)實戰(zhàn)化驗證已經(jīng)在如火如荼地進(jìn)行，以最大程度地維護(hù)車聯(lián)網(wǎng)的安全。

汽車成為黑客攻擊目標(biāo)

“隨著汽車產(chǎn)業(yè)向著網(wǎng)聯(lián)化方向的不斷發(fā)展，車輛本身已從封閉的系統(tǒng)變成了開放的系統(tǒng)，成為像手機一樣的智能終端設(shè)備……當(dāng)汽車成為網(wǎng)絡(luò)空間的一個組成部分，就會像其他任何聯(lián)網(wǎng)的電子設(shè)備和計算機系統(tǒng)一樣，成為黑客攻擊的目標(biāo)，面臨嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)�！彼痉ㄨb定科學(xué)研究院副主任郭弘在本屆中國汽車論壇上表示。

近年來，車聯(lián)網(wǎng)領(lǐng)域的安全事件逐漸增多。張建新介紹，從2010到2020年，針對車聯(lián)網(wǎng)的攻擊事件數(shù)量呈極大提升的狀態(tài)，而從去年的攻擊事件數(shù)據(jù)分析可以發(fā)現(xiàn)，“白帽子”發(fā)現(xiàn)的安全問題和黑客導(dǎo)致的安全事件基本達(dá)到了1：1的比例，黑客進(jìn)行的攻擊比“白帽子”發(fā)現(xiàn)的問題更多，由此可見，車聯(lián)網(wǎng)的安全問題已經(jīng)由實驗室研究院開始走向產(chǎn)業(yè)化對抗。[注：白帽子指的是正面的黑客，他可以識別計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，但并不會惡意去利用，而是公布其漏洞。這樣，系統(tǒng)將可以在被其他人（例如黑帽子）利用之前來修補漏洞。]

盡管當(dāng)前智能汽車領(lǐng)域并未有大規(guī)模的黑客入侵事件見諸報端，但車輛的網(wǎng)絡(luò)安全威脅卻是客觀存在的。據(jù)張建新介紹，360是國內(nèi)第一批做車聯(lián)網(wǎng)安全企業(yè)之一，早在2014他們就發(fā)現(xiàn)了特斯拉的第一個漏洞。

彼時，特斯拉CEO伊隆·馬斯克并不承認(rèn)特斯拉存在安全問題。但很快，馬斯克就改口了。2017年7月在美國州長協(xié)會會議上，馬斯克坦言，“車隊級別的黑客攻擊”是特斯拉最擔(dān)心的事情。

在此之前，不止一個人成功“破解”了特斯拉的車輛。2016年9月，騰訊科恩實驗室宣布，他們以“遠(yuǎn)程無物理接觸”的方式成功入侵了特斯拉汽車——可以在車輛靜止?fàn)顟B(tài)下遠(yuǎn)程解鎖車輛、打開天窗、控制轉(zhuǎn)向燈、調(diào)整座椅等，也可以在行駛狀態(tài)下啟動雨刷、收起后視鏡、打開后備箱等，甚至能夠緊急制動。

科恩實驗室完成漏洞測試實驗之后，將漏洞細(xì)節(jié)提交給了特斯拉，特斯拉的工程師們也緊急進(jìn)行了漏洞修復(fù)。而在2017年，有一位名為Jason Hughes的車主也先后發(fā)現(xiàn)了特斯拉的兩個軟件漏洞，涉及超級充電樁及遠(yuǎn)程控制問題。

非常戲劇的一幕是，在與特斯拉時任軟件安全主管Aaron Sigel通話的過程中，Hughes就橫跨美國，在北卡羅來納的家中成功召喚了一輛停在加利福尼亞州的特斯拉，而他本人只是得到了這輛車的車輛識別碼而已。

特斯拉顯然不是唯一一個存在軟件安全漏洞的車企。據(jù)張建新介紹，2019年的時候，隨著智能網(wǎng)聯(lián)汽車的發(fā)展，車和云結(jié)合起來，他們也曾發(fā)現(xiàn)奔馳存在的類似問題�！翱梢詮能囍苯庸サ皆粕希�再通過云反攻到奔馳所有的在網(wǎng)車輛，遠(yuǎn)程進(jìn)行開門、開窗、停啟等操作�！彼�回憶，當(dāng)時360第一時間報告了奔馳的總部，他們也非常重視，緊急完成了漏洞的修復(fù)。

防御體系初步建立

智能網(wǎng)聯(lián)汽車的安全問題由來已久。從最早特斯拉車輛顯現(xiàn)出被遠(yuǎn)程控制的可能性以來，汽車企業(yè)等業(yè)內(nèi)主體也逐漸重視起了汽車安全問題。據(jù)悉，當(dāng)前各個主機廠商已經(jīng)相繼推出了很多關(guān)于車聯(lián)網(wǎng)安全的整體解決方案，智能網(wǎng)聯(lián)汽車的安全防御體系已經(jīng)逐步建立起來。

黃鵬介紹，“我們調(diào)研了一部分車企，總結(jié)了他們對當(dāng)前數(shù)據(jù)安全的理解和舉措。車企是越來越重視數(shù)據(jù)安全問題，國內(nèi)主流企業(yè)通過強化技術(shù)手段和管理機制，意在大幅提升數(shù)據(jù)安全的保障能力�！�

據(jù)了解，當(dāng)前國內(nèi)外車企主要有兩條路來“對付”軟件漏洞，一是自身開發(fā)團(tuán)隊的排查，二是外部安全機構(gòu)的補漏。類似360、科恩實驗室等“白帽子”專業(yè)團(tuán)隊，已經(jīng)協(xié)助國內(nèi)外汽車品牌多次發(fā)現(xiàn)并修復(fù)安全漏洞。

“網(wǎng)絡(luò)安全企業(yè)在智能網(wǎng)聯(lián)汽車安全市場大有可為�！秉S鵬表示，中國主流的網(wǎng)絡(luò)安全企業(yè)都在積極布局智能網(wǎng)聯(lián)汽車的新賽道，大多基于他們傳統(tǒng)的產(chǎn)品，再根據(jù)智能網(wǎng)聯(lián)汽車的新場景做一些適應(yīng)性的調(diào)整和優(yōu)化，包括在數(shù)據(jù)層面，從云、管、端各個角度等都提出了相應(yīng)的解決方案，在檢測和服務(wù)方面也推出了一些相應(yīng)的網(wǎng)絡(luò)安全產(chǎn)品。

“我們調(diào)研了國內(nèi)一家安全廠商——天融信，已經(jīng)形成了覆蓋車端網(wǎng)關(guān)、ECU、T-BOX，以及云端、APP端等全方位的滲透測試工具和服務(wù)。下一個案例來自百度，其自動駕駛安全的架構(gòu)已經(jīng)涵蓋了整個數(shù)據(jù)安全的全生命周期�！�

值得一提的是，在汽車的智能網(wǎng)聯(lián)化上走得比較靠前的特斯拉，在應(yīng)對軟件安全風(fēng)險上也建立了一套值得業(yè)內(nèi)參考的機制。在Jason Hughes提出兩個重大安全漏洞之后，特斯拉效仿科技公司，設(shè)立了一套公開的錯誤報告體系——如果有開發(fā)人員發(fā)現(xiàn)特斯拉的軟件漏洞，可以向特斯拉報告，報告后特斯拉可以提供最高1.5萬美元（約合10.3萬元人民幣）的獎勵。

“道高一尺，魔高一丈”的挑戰(zhàn)

智能網(wǎng)聯(lián)汽車領(lǐng)域?qū)τ诰W(wǎng)絡(luò)安全產(chǎn)業(yè)而言是一個巨大的市場，但是也面臨著很多挑戰(zhàn)。

“一是現(xiàn)有的網(wǎng)絡(luò)安全產(chǎn)品和解決方案還不滿足智能網(wǎng)聯(lián)汽車的安全需求；二是安全解決方案的路徑不太一樣，有的網(wǎng)絡(luò)安全企業(yè)側(cè)重車端的安全，有的側(cè)重云端的安全，雖然這些解決方案沒有哪個更優(yōu)質(zhì)，但是也需要相互借鑒；三是安全產(chǎn)品的應(yīng)用還存在成本、意識等問題�！秉S鵬表示。

總體而言，智能網(wǎng)聯(lián)汽車的安全問題和汽車的智能化、網(wǎng)聯(lián)化相伴相生，目前也處于發(fā)展的初期。不過，在張建新看來，車聯(lián)網(wǎng)安全已經(jīng)從整車安全單點防護(hù)的第一階段發(fā)展到了體系化建設(shè)、標(biāo)準(zhǔn)化建設(shè)的第二階段。

他解釋道，第一階段的重點是，發(fā)現(xiàn)整車系統(tǒng)中的每一個單獨的攻擊點，并且對這個攻擊點進(jìn)行相應(yīng)的防護(hù)能力設(shè)計，而現(xiàn)在國內(nèi)已經(jīng)建立了車聯(lián)網(wǎng)的安全標(biāo)準(zhǔn)體系，車聯(lián)網(wǎng)安全也已經(jīng)實現(xiàn)了跨平臺的互連互通。

除了通用的《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等，網(wǎng)信辦此前已經(jīng)發(fā)布《汽車數(shù)據(jù)安全管理若干規(guī)定》（征求意見稿），最新消息顯示，6月21日，工信部發(fā)布了《車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系建設(shè)指南》（征求意見稿），提出，到2023年底，初步構(gòu)建起車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系，重點研究基礎(chǔ)共性、終端與設(shè)施安全、網(wǎng)聯(lián)通信安全、數(shù)據(jù)安全等重點行業(yè)標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)，完成50項以上重點急需安全標(biāo)準(zhǔn)的制修訂工作。

政府在推進(jìn)產(chǎn)業(yè)發(fā)展和保障數(shù)據(jù)安全方面顯然具有關(guān)鍵地位。但黃鵬也表示，法規(guī)體系、標(biāo)準(zhǔn)體系相對滯后于產(chǎn)業(yè)的發(fā)展速度，并且存在多頭監(jiān)管的問題，還需盡快細(xì)化一些行業(yè)性的管理要求�！皬臄�(shù)據(jù)安全監(jiān)管的角度，國家網(wǎng)信部門是牽頭部門，但是涉及到具體行業(yè)細(xì)則的出臺，還需要行業(yè)主管部門，以及一些重要的行業(yè)協(xié)會去推動相關(guān)工作�！�

而從長遠(yuǎn)來看，智能網(wǎng)聯(lián)汽車的安全問題并不會變得簡單，反而會更具挑戰(zhàn)�！跋乱粋�階段，建設(shè)了標(biāo)準(zhǔn)化、體系化的措施之后，車聯(lián)網(wǎng)就真正安全了嗎？并不是。”張建新認(rèn)為，聯(lián)網(wǎng)導(dǎo)致攻擊面擴(kuò)大，新的技術(shù)引入帶來了新的風(fēng)險點，一定會有新的問題源源不斷地出現(xiàn)，“車聯(lián)網(wǎng)不止是車，還有路側(cè)設(shè)備，這些關(guān)鍵基礎(chǔ)設(shè)施未來一定會成為組織化、國際化黑客組織的重點攻擊目標(biāo)�！�

“我們必須要從實戰(zhàn)考慮，這并不僅僅是我的個人看法，現(xiàn)在國內(nèi)實戰(zhàn)化驗證進(jìn)行得如火如荼。”張建新表示，目前他們也已經(jīng)在一些先導(dǎo)區(qū)搭建了車聯(lián)網(wǎng)安全能力的驗證平臺，歡迎業(yè)內(nèi)的共同參與。

（作者：彭蘇平 編輯：張若思）