互联网汽车 “科技秀”背后暗藏安全隐忧
毫不夸张地说,2015年为“互联网汽车”的元年。国内外IT汽车厂商纷纷致力于汽车智能化,智能汽车正在成为新的行业风向标。但是汽车联上网后,车辆信息安全风险也会增加。普华永道预测,全球车联网市场中汽车安全市场增长速度最快,2015年全球汽车安全市场规模将达到138.6亿美元,到2020年这一数字将增长至538.9亿美元。同时,也应看到,科技进步之路难免会一波三折,不能因噎废食。相反,我们应该积极寻求应对之策,理清其背后的安全风险并加以防范,保障用户利益、社会公共安全以及产业健康发展。
产业链各方掘金互联网汽车
据《2015年车联网研究报告》显示,2015年全球车联网市场规模将达到362.8亿美元,到2020年,全球车联网市场规模将达到1311.3亿美元。
国内互联网汽车发展得如火如荼。东风汽车2014年就与华为合作,在汽车电子、智能汽车、IT/ICT信息化建设等领域展开跨界合作;北汽集团则与乐视携手,以乐视汽车生产厂商的身份在智能汽车竞争中占据一席之地;上汽集团与阿里合作,同时开发无人驾驶功能;一汽集团也于今年4月发布了智能汽车“挚途”战略;江淮汽车计划于2020年进入3.0时代;海马汽车也于今年3月正式发布了移动互联人车生态系统;今年7月,长城汽车表示将50.33亿元用于发展智能汽车项目。
与此同时,互联网巨头也都将车联网当作未来的核心项目。今年1月,百度公布了新版车联网解决方案CarLife;3月,阿里联手上汽集团子公司合资设立10亿元互联网汽车基金;不久后,腾讯、富士康、和谐汽车签署协议,欲共同打造“互联网+智能电动车”平台。
电信运营商也没闲着。中国电信将车联网等业务作为集团转型的主要业务之一;中国移动将在今年借助4G网络,大力推进车联网业务;中国联通也表示成立专门公司运营车联网。
安全将成互联网汽车软肋
最近,多起智能汽车被黑客入侵事件让智能汽车网络安全成为公众关注的焦点。2011年至今,“白帽子”漏洞报告平台“乌云”上共提交有关车企网站的漏洞达58个,其中近一半的漏洞都可能造成网站用户的信息泄露,背后涉及百万车主的信息安全。
今年3月,乌云平台曝光了比亚迪智能汽车的一个漏洞,黑客通过该漏洞或将导致汽车被黑客完全控制。该漏洞为云服务存在严重安全漏洞,黑客可以编写程序获取任意车主的信息如姓名、车牌号、车架号、身份证号、第二联系人姓名、手机号和控制密码。6月,HackPWN安全极客狂欢节启动仪式上,安全专家利用发现的比亚迪汽车云服务平台漏洞,在没有钥匙的情况下,成功利用电脑先后实现了远程开锁、鸣笛、闪灯、开启天窗等行为,从开始操作到成功破解,只花了不到两分钟的时间。
除了国产品牌汽车,国外大牌汽车厂商更是频频被曝安全漏洞。今年1月,德国的一份报告显示,宝马汽车公司的“互联驾驶”系统存在安全漏洞,黑客利用这一漏洞可在几分钟内无线开启汽车的车门;7月初,路虎揽胜因车载系统的漏洞可能导致车门被远程开启而在美国发出召回声明;7月底,菲亚特克莱斯勒公司宣布,由于存在软件故障,黑客可以通过这些漏洞控制汽车的关键功能。此后,通用汽车的OnStar被曝存在安全漏洞;8月美国拉斯维加斯举行的“黑帽子”大会上,两名研究人员公布了特斯拉Model S系统存在的六个重大安全漏洞;此后,美国加州大学圣地亚哥分校宣布他们成功入侵2013雪佛兰跑车,他们通过攻击车载自动诊断系统接口处插入的装置来攻破汽车的安防系统,之后通过发送信息来控制雨刷器,并最终在汽车低速行驶时控制了其刹车系统。整个行业应该认识到这些前所未有的新兴威胁。
——利用车联网系统软件的漏洞
智能汽车的信息控制系统带来的网络连接,隐含了系统漏洞,为安全埋下隐患。汽车内部各系统相互联通使外来攻击有了跨越系统的路径,而各系统间通信依靠的仍是创立于20世纪80年代的计算机协议,不具备验证消息来源的能力。原美国国防部高级研究项目局网络安全研究负责人派特尔·扎特克说,汽车系统的整体安全水平可能比目前计算机操作系统的安全状况落后15或20年。
——通过攻破与车联网相关联的智能手机、智能手表或者是云端数据库等进入车联网
如通过网络不慎下载病毒会将以往PC、手机互联网时代的安全威胁带到汽车领域。特斯拉汽车就是通过手机应用程序来远程控制汽车,进行开启车门、开关空调等操作。未来随着智能可穿戴设备的快速发展与普及,智能眼镜、手环、车钥匙等便携式可穿戴设备也可以与汽车实现连接,对汽车进行控制。此外,有分析称,汽车最大的网络安全隐患在云端,一组服务器可以监控成千上万辆汽车的位置、行驶路线,甚至可以被用来操控制动装置和发动机。
——车载诊断系统OBD或是造成汽车网络风险的一个重要源头
缺少私有加密协议而采用保护性差的开放通用协议是OBD最普遍的安全问题,而代码没有采用反逆向措施和用户数据泄露是汽车应用最常见的安全问题与潜在风险。现在许多汽车厂商为了创造更好的互联体验,给予OBD更多权限,比如刹车等,黑客可以通过OBD往网络里写一些数据包攻击这辆车。
互联网汽车需练“金钟罩”
车联网产业要想健康发展,就必须解决智能汽车的安全问题。否则,出于对安全的考虑,消费者将不会主动接受智能汽车和各种智能汽车系统,车联网产业的发展必将因此受阻。
——立法先行为智能汽车提供安全保障
要结合互联网智能汽车带来的安全、交通责任认定等问题,制修订相关法规,从法律上对生产、使用互联网智能汽车进行规范。同时,逐步建立和完善相关标准,创新网络化管理手段和方式,依托先进信息技术对互联网智能汽车进行管理。
2014年10月,美国国家标准与技术研究院制定《车联网网络攻击防护安全框架》。今年,两位美国参议员提议在汽车的程序中提供更多的防入侵保护,尤其是在那些可能危及生命安全的关键零部件,为此,他们还特别提出了一个“汽车监控法案”。欧盟智能交通系统实施计划和2010/40/EU指令明确了智能交通应用系统必须使用最小化的数据,限制数据的使用,并对用户数据进行匿名化和集成化处理,以保证车联网的安全。
——成立专职部门负责汽车网络安全
在2013年,美国国家公路交通安全管理局已经认识到汽车内需要安置不兼容系统,并设立了专门机构,负责车辆网络安全问题。澳大利亚政府于2011年成立了交通与设施常务委员会以负责智能交通的推广与实施,其中安全防护和隐私保护一直是智能交通实施中的核心问题。
——产业联盟合作助智能汽车发展良性循环
智能汽车是一条完整的生态链,因此以互联网企业和汽车企业为主体组建产业联盟,吸引更多的汽车企业和互联网企业参与,更好地发挥两者的技术优势,形成合力。同时,还应发挥政府部门的引导作用,并以特殊产业政策给予支持。比如美国汽车制造商联盟和全球汽车制造商协会就成立了共同机构,以共享对汽车安全构成威胁的网络安全信息。
——智能汽车时代需打造自主芯片和核心技术
智能汽车的核心技术相对还较缺失,关键零部件先进传感器技术全部来自国外,长期被国外企业所垄断。芯片在汽车领域的用途非常广泛,没有芯片汽车就无法运行。除了常见的多媒体娱乐系统、智能钥匙和自动泊车系统外,芯片还广泛应用在汽车发动机和变速箱控制系统、安全气囊、驾驶辅助等系统中,堪称汽车的神经。出于网络安全的考虑,车联网的芯片、软件等应尽可能国产化。
