车辆遥控“自己跑” 智能联网汽车需要安全“锁定”

汽车行业进入了智能网络连接的新时代。以操作系统、自动驾驶取代机械结构等软件为核心，汽车的驾驶体验迎来了质的飞跃。

然而，在软件定义汽车的同时，网络形成的安全问题也在不断涌现。在最近由中国汽车工业协会主办的第11届中国汽车论坛上，许多业内人士表示，汽车的网络化和智能化发展给行业带来了前所未有的安全挑战。

”(智能联网车)有很多网络安全漏洞。2020年，全球恶意攻击超过280万次。黑客可以通过网络攻击控制车辆的行驶，也可以利用软件漏洞控制智能联网汽车。”国家工业信息安全发展研究中心副总工程师、信息政策研究所所长黄鹏介绍。

黑客通过写代码远程控制车辆，听起来像过去电影里的情节，但随着智能联网车的普及，可能会成为发生在普通消费者身上的事实。

此前，中国一位特斯拉车主表示，在使用特斯拉APP时，突然发现他的APP上绑定了5辆来自欧洲的奇车。他不仅可以查看这些车辆的所有信息，还可以正常使用特斯拉APP的遥控功能，包括开门、开窗、开空调等。

在汽车网络安全风险出现后，汽车企业越来越重视相关的安全问题。黄鹏表示，国内主流企业正在强化技术手段和管理机制，大大增强保障数据安全的能力。智能领先的特斯拉建立了对外开放的错误报告系统，通过提供高额回报公开“收集”软件漏洞。

但是，对于智能联网汽车来说，目前的软件安全问题只是开始。360集团工业互联网安全研究院院长张建新表示，经过车辆安全单点防护阶段，当前行业已经进入系统化、规范化建设阶段，未来将迎来实战阶段。“车里肯定有漏洞。网络化导致了攻击面的扩大。新技术的引入带来了新的风险点，新的问题必然会不断出现。”他介绍说，目前国内实战验证正在如火如荼的进行，以最大程度的维护车联网的安全。

汽车成为黑客攻击目标

“随着汽车行业向网络化方向不断发展，车辆本身也从封闭系统变成了开放系统，成为了像手机一样的智能终端设备.当汽车成为网络空间不可分割的一部分时，它将像任何其他联网电子设备和计算机系统一样，成为黑客攻击的目标，并面临严峻的网络安全挑战。”法医科学研究所副所长郭虹在这次中国汽车论坛上说。

近年来，车辆联网领域的安全事件逐渐增多。据张建新称，从2010年到2020年，针对车辆互联网的攻击数量大幅增加。从去年攻击的数据分析可以发现，“白帽子”发现的安全问题与黑客引发的安全事件的比例基本达到1: 1，黑客进行的攻击比“白帽子”发现的多。因此，车联网的安全问题已经开始被实验室研究机构产业化对抗。【注：白帽指的是一个积极的黑客，能够识别计算机系统或网络系统中的安全漏洞，但不会恶意利用，而是公布其漏洞。这样系统就可以在被别人利用(比如黑帽)之前修复漏洞。】

虽然智能车领域没有发生大规模黑客事件，但是车辆的网络安全威胁是客观存在的。据张建新介绍，360是国内最早做车联网安全的企业之一。早在2014年，他们就发现了特斯拉的第一个漏洞。

当时特斯拉CEO埃隆马斯克并不承认特斯拉存在安全问题。但很快，马斯克改变了主意。在2017年7月的美国州长协会会议上，马斯克承认，“舰队层面的黑客攻击”是特斯拉最大的担忧。

在此之前，不止一个人成功“破解”了特斯拉的车辆。2016年9月，腾讯科恩实验室宣布以“远程、无物理接触”的方式成功入侵特斯拉——。它可以解锁车辆、打开天窗、控制转向信号、调节座椅等。当车辆静止时，远程启动刮水器、折叠后视镜、打开行李箱等。开车时，甚至紧急刹车。

科恩实验室在完成漏洞测试实验后向特斯拉提交了漏洞细节，特斯拉工程师也紧急修复了漏洞。2017年，一位名叫杰森休斯(Jason Hughes)的车主也发现了特斯拉的两个软件漏洞，涉及超级充电桩和远程控制。

一个非常戏剧性的场景是，休斯在与时任特斯拉软件安全主管的艾伦西格(Aaron Sigel)交谈时，成功召唤出一辆停在加州北卡罗来纳州家中的特斯拉汽车，但他只获得了汽车的车辆识别号。

特斯拉显然不是唯一存在软件安全漏洞的汽车公司。据张建新介绍，2019年，随着智能联网汽车的发展和车云结合，他们也在奔驰中发现了类似的问题。“你可以直接从车攻击到云，然后通过云反击到奔驰所有的线上车辆，远程开门、开窗、停开运营。”他回忆说，当时360第一次举报奔驰总部，他们非常重视，紧急完成了漏洞的修复。

防御体系初步建立

智能联网汽车的安全问题由来已久。自从最早的特斯拉汽车显示出遥控的可能性，汽车公司等行业主体就逐渐关注汽车安全问题。据悉，目前各主机厂商已经陆续推出了大量的车辆联网安全整体解决方案，智能联网车辆安全防御体系已逐步建立。

黄鹏介绍说，“我们调查了一些汽车公司，总结了他们的权利

据了解，当前国内外车企主要有两条路来“对付”软件漏洞，一是自身开发团队的排查，二是外部安全机构的补漏。类似360、科恩实验室等“白帽子”专业团队，已经协助国内外汽车品牌多次发现并修复安全漏洞。

“网络安全企业在智能网联汽车安全市场大有可为。”黄鹏表示，中国主流的网络安全企业都在积极布局智能网联汽车的新赛道，大多基于他们传统的产品，再根据智能网联汽车的新场景做一些适应性的调整和优化，包括在数据层面，从云、管、端各个角度等都提出了相应的解决方案，在检测和服务方面也推出了一些相应的网络安全产品。

“我们调研了国内一家安全厂商——天融信，已经形成了覆盖车端网关、ECU、T-BOX，以及云端、APP端等全方位的渗透测试工具和服务。下一个案例来自百度，其自动驾驶安全的架构已经涵盖了整个数据安全的全生命周期。”

值得一提的是，在汽车的智能网联化上走得比较靠前的特斯拉，在应对软件安全风险上也建立了一套值得业内参考的机制。在Jason Hughes提出两个重大安全漏洞之后，特斯拉效仿科技公司，设立了一套公开的错误报告体系——如果有开发人员发现特斯拉的软件漏洞，可以向特斯拉报告，报告后特斯拉可以提供最高1.5万美元(约合10.3万元人民币)的奖励。

“道高一尺，魔高一丈”的挑战

智能网联汽车领域对于网络安全产业而言是一个巨大的市场，但是也面临着很多挑战。

“一是现有的网络安全产品和解决方案还不满足智能网联汽车的安全需求；二是安全解决方案的路径不太一样，有的网络安全企业侧重车端的安全，有的侧重云端的安全，虽然这些解决方案没有哪个更优质，但是也需要相互借鉴；三是安全产品的应用还存在成本、意识等问题。”黄鹏表示。

总体而言，智能网联汽车的安全问题和汽车的智能化、网联化相伴相生，目前也处于发展的初期。不过，在张建新看来，车联网安全已经从整车安全单点防护的第一阶段发展到了体系化建设、标准化建设的第二阶段。

他解释道，第一阶段的重点是，发现整车系统中的每一个单独的攻击点，并且对这个攻击点进行相应的防护能力设计，而现在国内已经建立了车联网的安全标准体系，车联网安全也已经实现了跨平台的互连互通。

除了通用的《网络安全法》《数据安全法》等，网信办此前已经发布《汽车数据安全管理若干规定》(征求意见稿)，最新消息显示，6月21日，工信部发布了《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿)，提出，到2023年底，初步构建起车联网(智能网联汽车)网络安全标准体系，重点研究基础共性、终端与设施安全、网联通信安全、数据安全等重点行业标准和国家标准，完成50项以上重点急需安全标准的制修订工作。

政府在推进产业发展和保障数据安全方面显然具有关键地位。但黄鹏也表示，法规体系、标准体系相对滞后于产业的发展速度，并且存在多头监管的问题，还需尽快细化一些行业性的管理要求。“从数据安全监管的角度，国家网信部门是牵头部门，但是涉及到具体行业细则的出台，还需要行业主管部门，以及一些重要的行业协会去推动相关工作。”

而从长远来看，智能网联汽车的安全问题并不会变得简单，反而会更具挑战。“下一个阶段，建设了标准化、体系化的措施之后，车联网就真正安全了吗？并不是。”张建新认为，联网导致攻击面扩大，新的技术引入带来了新的风险点，一定会有新的问题源源不断地出现，“车联网不止是车，还有路侧设备，这些关键基础设施未来一定会成为组织化、国际化黑客组织的重点攻击目标。”

“我们必须要从实战考虑，这并不仅仅是我的个人看法，现在国内实战化验证进行得如火如荼。”张建新表示，目前他们也已经在一些先导区搭建了车联网安全能力的验证平台，欢迎业内的共同参与。