一个智商165的人,他是现实世界里的失败者,却是网络中的顶尖黑客。他可以追踪到任何一个人的信息,先后入侵国际金融系统和国家安全局。这就是电影《没有绝对安全的系统》中所描述的情景。
现如今,汽车也正演变成一个漏洞越来越多的“系统”。2014年的黑客攻击致克莱斯勒140万辆汽车召回;2019年奔驰被发现19个安全漏洞,波及200多万辆汽车。近段时间,大众、福特、现代、丰田等接连被曝出存在安全漏洞。不幸的是,最坏的时候还没有到来……有专家预测,2025年前后汽车网络攻击可能会大爆发。
30秒快速阅读:
1、当前,数字钥匙的安全漏洞问题最为严重。随着自动驾驶、5G车联等逐步成熟,汽车信息安全形势日益严峻。
2、行业对汽车信息安全高度关注,用户却没有明显感知。手机被攻破顶多“伤财”,而汽车安全漏洞却能“害命”。
3、比之海外品牌,现存的中国品牌汽车在信息安全方面相对偏弱。OTA(空中升级)将是“堵”漏洞的重要手段。
● 汽车“漏洞”越来越多,安全攻击快速增长
汽车信息安全与车联网关系密切,汽车越“独立”,信息安全问题越小,反之越严重。2015年起,车企逐步深化网联功能,汽车网络入侵事件也日益增多。中国汽车技术研究中心曾对市面上的70余辆汽车进行信息安全能力测试,发现2000个以上数据漏洞。七大攻击入口主要为:网络架构、车载信息娱乐系统、T-BOX、云平台、App、ECU及无线电。
当前,汽车数字钥匙的安全漏洞问题最为严重。车主通过手机App就能解锁车辆、启动汽车或遥控泊车,然而整条链路的安全性并不“健壮”。2019年,有黑客仅用30秒就偷走一辆Model S。2019年前10个月,英国发生14000多起利用数字钥匙漏洞盗窃汽车的案件,作案时间通常都不到30秒。
数字钥匙漏洞还只是“冰山一角”。近一两年,汽车网络安全攻击事件呈现出快速增长趋势。有统计数据显示,2019年公开报道的针对智能网联汽车网络安全攻击的事件差不多是2018年的两倍。
未来,汽车所面临的信息安全处境有可能“更糟”。5G兴起,加速汽车“触网”;智能汽车的发展,坚定了车企走“软件定义硬件”的道路。然而,越多的触点意味着越多的风险,越多的代码行段必然带来越多的BUG(当前汽车软件代码量达上亿行)。
腾讯安全科恩实验室安全技术专家范士雄称,“车联网安全还处在初期阶段。如果手机的安全分数是100分,那么当前车联网安全也就六七十分的水平。”另一位汽车信息安全专家表示,“未来,汽车安全漏洞会越来越多。”该人士认为,现在还没有到真正爆发的时候,当自动驾驶汽车大规模起量时,形势会更加严峻,时间节点可能是2025年前后。
● 用户没有明显感知,汽车安全攻击却可“害命”
人们对汽车安全漏洞的关注似乎一直停留在B端,C端用户好像并没有明显的感知。好比今天电脑和智能手机如此发达,用户依然对网络安全没有切身感受。
面对如此现状,从业者也在思考,汽车信息安全的需求到底是什么?任何一项功能、服务的应用,都是用户有需求,车企才会去做部署。汽车信息安全,理论上也应是如此。
那么,为何C端用户没有感知呢?上述不具名安全专家认为,首先,当前智能网联汽车的数量还不够多,相较于存量传统汽车而言可谓“九牛一毛”。其次,与手机/电脑相比,汽车安全攻击门槛更高,黑客自己先要有车作为“研究”对象,同时还要足够强的汽车专业知识。
更关键的原因在于,当前汽车网络攻击的“黑色产业链”尚未成熟。“黑产利用”的商业价值有限,可能还不如“黑”手机/电脑勒索钱财来得更直接。范士雄表示,当前汽车网络攻击多以车企的云数据平台为主,这比起入侵单独的一辆汽车来说非法获利空间大多了。
手机/电脑被攻破顶多“伤财”,汽车安全漏洞却可能“害命”,这才是问题的关键所在。汽车信息安全所面临的“威胁”主要体现在两方面:一是影响范围,比如通过云平台漏洞可以批量控制多少车;二是影响程度,入侵信息娱乐系统的危害有限,但如果底层控制系统(如刹车、转向、动力等)被攻破,就能够“害命”。假如“范围”和“程度”两个条件同时满足,有可能造成“群死群伤”。
好的一面是,我国对互联网的管理非常严格,同时车企极其注重汽车产品安全,未来汽车信息安全问题不一定就像说得那么严重。糟糕的一面是,车联网方兴未艾,不清楚安全漏洞将如何被黑客利用,黑暗势力依然隐藏在背后。控制汽车作为政治暗杀工具,或胁迫高速行驶的自动驾驶汽车勒索比特币,这些情景不是没人畅想过。
● 中国品牌车是“软柿子”,但安全问题正快速改善
当前所暴露出来的汽车安全漏洞入侵问题,其根源往往在数年前。因为汽车开发周期通常需要3-5年,而当时车企在进行开发时可能压根就没有预埋网络安全设计。
在范士雄看来,上述情况是现如今汽车信息安全所面临的最大挑战。他认为,“三五年前所开发的汽车并不完全是针对智能网联设计的,也没有考虑太多信息安全性,还认为汽车只是一个相对‘独立’的空间。现在为了实现网联功能,可能做小幅改动后就让汽车去联网,这相当于把一个有很多漏洞的系统直接暴露在了网络上。”
在存量车中,中国品牌国产车的信息安全问题最为突出。“中国品牌汽车就好像‘软柿子’,属于谁都能捏的那种。”上述不具名安全专家称,依据他们所做的测试研究,美系车很早就涉足车联网,信息安全基础比较好。日系讲究精细化,加密做得特别好,即便车被‘黑’了你也控制不了。德系秉承‘工匠精神’,信息安全中规中矩,非常规范化。
不过,这种情况正在快速好转,主要是车企对信息安全越来越重视,人才、预算等资源倾斜力度不断加大。同时,专业的互联网公司也在帮助车企建设信息安全能力。比如,腾讯安全科恩实验室已经与国内外众多车企展开密切的安全合作。他们一方面帮助车企建立安全评估和自治能力;另一方面也把技术能力转换成自动化工具,为车企提供安全服务,解决安全问题。
除了不断加大资源投入外,车企也针对未来智能汽车进行产品开发。大众、吉利、凯迪拉克等都陆续推出基于新电子电气架构的车型,在云端、通信链路、车端都会部署安全解决方案。以车端为例,将内部网络分区隔离,并采取严格的身份认证,即便某一模块被攻破,也不至于扩散到整车或其他车辆。而OTA技术的应用,则使得未来的汽车能像手机一样,通过不断“打补丁”的方式堵住漏洞。
全文总结:
所谓道高一尺,魔高一丈。汽车信息安全永远处在“攻”与“防”的动态平衡中。攻要能突破防御才有存在的意义,防要能抵挡攻击才能证明其价值。暂且不论汽车安全漏洞给用户带来的人身安全威胁,隐私数据保护必将面临更大挑战。智能汽车就是一个时刻在收集数据的“传感器”,不管是个人行为数据、企业商业机密,还是国家层面的地理信息数据,都存在巨大的泄漏风险。(文/汽车之家 鲍彬斌)