黑客通過(guò)撰寫(xiě)代碼遠(yuǎn)程控制車輛，汽車因控制軟件出現(xiàn)錯(cuò)誤導(dǎo)致失控;智能網(wǎng)聯(lián)汽車上傳的影音信息被破解或用于不正當(dāng)用途……這些聽(tīng)上去像是電影里的情節(jié)，如今在現(xiàn)實(shí)中已經(jīng)出現(xiàn)。在智能網(wǎng)聯(lián)汽車逐漸普及的今天，每位消費(fèi)者都有可能因信息安全未得到充分保障而利益受損，甚至付出生命代價(jià)。

6月22日，在南京創(chuàng)新周期間舉行的一場(chǎng)汽車行業(yè)研討會(huì)上，中國(guó)工程院院士方濱興稱，智能駕駛一定要考慮安全問(wèn)題，網(wǎng)聯(lián)汽車的電磁安全、軟件安全、信息安全、功能安全，每一項(xiàng)都非常重要。

當(dāng)網(wǎng)聯(lián)汽車遇上黑客

2015年，兩名白帽黑客遠(yuǎn)程入侵一輛正在路上行駛的切諾基，這款由克萊斯勒美國(guó)公司生產(chǎn)的車型，接入了車聯(lián)網(wǎng)系統(tǒng)Uconnect，黑客利用了Uconnect系統(tǒng)的漏洞，通過(guò)軟件遠(yuǎn)程向Uconnect系統(tǒng)發(fā)送指令，對(duì)車輛的方向盤(pán)、油門(mén)、剎車、雨刷等進(jìn)行了遠(yuǎn)程控制?？巳R斯勒美國(guó)公司于同年7月24日宣布召回140萬(wàn)輛存在該軟件漏洞的汽車。

這是偶發(fā)性的事件嗎?不是。

2016年9月20日，騰訊科恩實(shí)驗(yàn)室宣布，經(jīng)過(guò)幾個(gè)月的深入研究，利用安全漏洞對(duì)特斯拉汽車進(jìn)行無(wú)物理接觸遠(yuǎn)程攻擊，可實(shí)現(xiàn)對(duì)特斯拉汽車駐車狀態(tài)和行駛狀態(tài)下的遠(yuǎn)程控制?？贫鲗?shí)驗(yàn)室方面表示，這是全球范圍內(nèi)第一次通過(guò)安全漏洞成功無(wú)物理接觸遠(yuǎn)程攻入特斯拉汽車的車電網(wǎng)絡(luò)并實(shí)現(xiàn)對(duì)車身和行車的任意控制，他們隨后將發(fā)現(xiàn)的漏洞細(xì)節(jié)報(bào)告給特斯拉公司，并得到公司對(duì)漏洞技術(shù)細(xì)節(jié)和攻擊效果的確認(rèn)。

汽車網(wǎng)絡(luò)安全公司Upstream Security發(fā)布的2021年《汽車網(wǎng)絡(luò)安全報(bào)告》指出，近10年，由于汽車系統(tǒng)漏洞導(dǎo)致的安全事件，造成了汽車盜竊、入侵及隱私泄露等后果。

“智能網(wǎng)聯(lián)汽車的安全問(wèn)題有可能會(huì)給環(huán)境感知、網(wǎng)絡(luò)傳輸、決策執(zhí)行、行駛控制等帶來(lái)風(fēng)險(xiǎn)。”方濱興稱，比如汽車電子平臺(tái)的軟件已進(jìn)入到億行代碼的階段，不可避免的軟件漏洞將引發(fā)風(fēng)險(xiǎn);再比如智能網(wǎng)聯(lián)汽車有5類數(shù)據(jù)需要通過(guò)網(wǎng)絡(luò)上傳，所涉及的隱私需要得到相應(yīng)的保障。

此外，電磁干擾會(huì)導(dǎo)致ABS、安全氣囊、發(fā)電機(jī)調(diào)節(jié)器等部分汽車電子部件失靈。同時(shí)，智能網(wǎng)聯(lián)汽車可能會(huì)因汽車功能失靈而導(dǎo)致失控的情況發(fā)生，從而引發(fā)人身安全。

安全問(wèn)題日益受到車企重視

在汽車網(wǎng)聯(lián)化之前，車企更多關(guān)注的是功能安全，即氣囊、保險(xiǎn)蓋、保險(xiǎn)帶等被動(dòng)安全。但在進(jìn)入智能網(wǎng)聯(lián)時(shí)代之后，信息安全的重要性日益凸顯。

需要注意的是，在傳統(tǒng)汽車中，車載娛樂(lè)系統(tǒng)和油門(mén)剎車等車輛控制系統(tǒng)是分開(kāi)的。通常，控制發(fā)動(dòng)機(jī)、變速箱、ESP、安全氣囊等的實(shí)時(shí)操作系統(tǒng)，與控制液晶儀表、中控屏的分時(shí)操作系統(tǒng)互相隔離。但是，近年來(lái)一些新型智能網(wǎng)聯(lián)汽車選擇使用分時(shí)系統(tǒng)。

為了提高汽車的信息安全，許多車企會(huì)購(gòu)買(mǎi)安全服務(wù)，接受更多安全設(shè)計(jì)評(píng)估和滲透測(cè)試服務(wù)等。早在2014年，特斯拉公司就推出了一個(gè)缺陷獎(jiǎng)勵(lì)計(jì)劃，以激勵(lì)更多人來(lái)發(fā)現(xiàn)特斯拉汽車的不足與缺陷。直到現(xiàn)在，特斯拉公司也一直在鼓勵(lì)車主和黑客揭露汽車安全系統(tǒng)中存在的問(wèn)題，加速改善軟件和網(wǎng)絡(luò)安全。

在前文提到的黑客攻陷切諾基的案例中，黑客向媒體透露，他們所破解的部件來(lái)自哈曼國(guó)際，這多少讓哈曼公司有些坐不住。

于是，哈曼公司提出了“5+1洋蔥安全框架”，結(jié)構(gòu)層級(jí)看起來(lái)就像是一層層剝洋蔥，這些“洋蔥層”可以阻止車聯(lián)網(wǎng)被攻破：第一層是可信根，用于驗(yàn)證可信程序;第二層是虛擬機(jī)，將娛樂(lè)與執(zhí)行系統(tǒng)分開(kāi);第三層是訪問(wèn)控制，相當(dāng)于請(qǐng)管家監(jiān)視系統(tǒng)內(nèi)的越權(quán)行為;第四層類似沙盤(pán)結(jié)構(gòu)，將應(yīng)用程序接入沙盤(pán)上運(yùn)行，一旦發(fā)現(xiàn)異常就禁用或刪除;第五層是發(fā)動(dòng)機(jī)與變速箱的入侵檢測(cè)。

從表面上看，哈曼“種”的這顆“洋蔥”無(wú)懈可擊。但是道高一尺，魔高一丈，如果Uconnect的后臺(tái)系統(tǒng)被黑客攻破，并植入錯(cuò)誤的程序，那這顆“洋蔥”也就不堪一擊。

保障網(wǎng)聯(lián)汽車安全還需多方發(fā)力

隨著智能網(wǎng)聯(lián)汽車的普及，安全問(wèn)題已逐漸受到汽車企業(yè)重視。目前，各個(gè)主機(jī)廠商已經(jīng)相繼推出了很多關(guān)于車聯(lián)網(wǎng)安全的整體解決方案。智能網(wǎng)聯(lián)汽車的安全防御體系看似已經(jīng)逐步建立起來(lái)。

但清華大學(xué)車輛與運(yùn)載學(xué)院李克強(qiáng)教授并不這么認(rèn)為。他表示，隨著車路云一體化程度的提高，汽車的聯(lián)網(wǎng)功能和網(wǎng)聯(lián)化權(quán)限將不斷提升，但當(dāng)前尚未建立信息安全管理聯(lián)動(dòng)機(jī)制、信息安全認(rèn)證規(guī)范規(guī)則，自主可控信息安全技術(shù)無(wú)法有效落地。

目前，國(guó)家多個(gè)部門(mén)紛紛出臺(tái)數(shù)據(jù)安全、網(wǎng)絡(luò)安全相關(guān)措施，效果還有待在實(shí)踐中檢驗(yàn)。除了通用的《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等，網(wǎng)信辦此前已經(jīng)發(fā)布《汽車數(shù)據(jù)安全管理若干規(guī)定》(征求意見(jiàn)稿)。最新消息顯示，6月21日，工信部發(fā)布了《車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系建設(shè)指南》(征求意見(jiàn)稿)，提出到2023年底，初步構(gòu)建起車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系，重點(diǎn)研究基礎(chǔ)共性、終端與設(shè)施安全、網(wǎng)聯(lián)通信安全、數(shù)據(jù)安全等重點(diǎn)行業(yè)標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)，完成50項(xiàng)以上重點(diǎn)急需安全標(biāo)準(zhǔn)的制訂修訂工作。

“信息安全涉及多領(lǐng)域交叉。”李克強(qiáng)教授說(shuō)，汽車產(chǎn)業(yè)和網(wǎng)絡(luò)安全產(chǎn)業(yè)需要通力合作，以及整車供應(yīng)鏈廠商(信息化部件廠商)、互聯(lián)網(wǎng)服務(wù)提供商(網(wǎng)絡(luò)接入服務(wù)提供商、地圖測(cè)繪企業(yè))等上下游企業(yè)的配合。

那么，有了國(guó)家法規(guī)、標(biāo)準(zhǔn)，智能網(wǎng)聯(lián)汽車就真的安全了嗎?從長(zhǎng)遠(yuǎn)來(lái)看，智能網(wǎng)聯(lián)汽車的安全問(wèn)題并不會(huì)變得簡(jiǎn)單，反而會(huì)更具挑戰(zhàn)。

“有了移動(dòng)網(wǎng)絡(luò)后就出現(xiàn)偽基站，有了NFC近場(chǎng)通訊就出現(xiàn)盜刷他人資金，可以說(shuō)安全問(wèn)題會(huì)伴隨著技術(shù)創(chuàng)新“升級(jí)”。”方濱興說(shuō)。

因此，加強(qiáng)網(wǎng)聯(lián)車的安全驗(yàn)證在現(xiàn)階段顯得非常重要。據(jù)中汽創(chuàng)智科技有限公司CTO周劍光介紹，他們已經(jīng)建成一個(gè)智能汽車網(wǎng)絡(luò)靶場(chǎng)。這個(gè)靶場(chǎng)可以看作是高仿真汽車網(wǎng)絡(luò)攻防環(huán)境，通過(guò)不斷測(cè)試找到系統(tǒng)漏洞，再升級(jí)系統(tǒng)，達(dá)到提升防護(hù)水平的目的。目前已覆蓋V2X、ADAS、OTA等典型的汽車網(wǎng)絡(luò)、網(wǎng)聯(lián)場(chǎng)景，以及異地汽車互聯(lián)，可以滿足未來(lái)智能汽車所有設(shè)施場(chǎng)景的虛擬仿真測(cè)試。他表示，該靶場(chǎng)可以向全行業(yè)提供汽車信息安全測(cè)評(píng)論證，網(wǎng)絡(luò)安全人才培養(yǎng)、網(wǎng)絡(luò)攻防競(jìng)賽、網(wǎng)絡(luò)攻防技術(shù)驗(yàn)證等全方位一體化的汽車網(wǎng)絡(luò)安全服務(wù)。

李克強(qiáng)教授建議，我國(guó)應(yīng)構(gòu)建行業(yè)共識(shí)架構(gòu)體系，打造智能網(wǎng)聯(lián)汽車基礎(chǔ)平臺(tái)，突破共性關(guān)鍵技術(shù)。他提出加速相關(guān)基礎(chǔ)平臺(tái)建設(shè)，并指出云控基礎(chǔ)平臺(tái)、車載終端基礎(chǔ)平臺(tái)、計(jì)算基礎(chǔ)平臺(tái)、信息安全基礎(chǔ)平臺(tái)等都與智能網(wǎng)聯(lián)汽車安全息息相關(guān)。

(科技日?qǐng)?bào)記者 張曄)

標(biāo)簽： 智能網(wǎng)聯(lián)汽車 汽車行業(yè) 汽車企業(yè) 安全問(wèn)題