黑客攻击次数5年增长20倍 智能汽车安全遇到了前所未有的挑战

“在过去五年里，针对智能汽车的黑客攻击数量增加了20倍，其中27.6%的攻击涉及车辆控制。”在刚刚结束的第11届中国汽车论坛上，华为智能车解决方案事业部首席技术官蔡分享了一组颇具影响力的数据，直观地反映了“智能车频频遭到黑客攻击”的严峻形势。

据记者不完全统计，2019年，黑客通过入侵共享汽车App，重写程序和数据，盗取了奔驰CLA、GLA mini SUV、Smartfortwo mini等100多辆汽车。相对于以偷车为目的的黑客攻击，网络安全和驾驶时对智能车的黑客攻击危险性明显更大。

知名汽车网络安全公司Upstream Security发布的2020 《汽车网络安全报告》显示，从2016年到2020年1月，汽车网络安全事件增加了605%，仅2019年一年就增加了一倍多。根据目前的发展趋势，随着汽车联网率的不断提高，预计未来这种安全问题将更加突出。

特斯拉作为智能网络化汽车公司的代表之一，已经发现了大量的安全漏洞。据360集团工业互联网安全研究院院长张建新介绍，早在2014年特斯拉开发的第二款汽车产品Model S发布两年后，就发现了一个漏洞。利用这个缺陷，控制器可以通过远程控制解锁和鸣笛。

今年，特斯拉再次陷入“隐私门”，因为摄像头记录了司机的面部特征和车内大部分空间。监控视频是黑客入侵特斯拉后透露的信息。除了网络和程序技术带来的安全风险外，自动驾驶、人工智能等数字技术的应用也相应增加了汽车的安全风险。在对数字应用的攻击中，黑客越来越多地瞄准大数据、人工智能和自动驾驶系统。

智能汽车网络安全问题

面临严峻考验

随着车联网和“软件定义汽车”的发展趋势，智能汽车越来越像科技产品，具有更智能的功能，但也带来许多生态问题。其中，接入互联网带来的安全问题是未来汽车发展的一大焦点。

“目前汽车的关键代码规模增长了10倍甚至100倍，代码漏洞也呈指数级增长。更多时候，软件代码的增加带来了安全风险的增加。”蔡告诉记者，在汽车系统接入互联网之前，黑客进入的只是蓝牙系统、CD机等设备。然而，随着车联网的快速发展，不仅黑客入侵的入口大大扩大，而且攻击位置也不再局限于车辆附近。

据华为智能车解决方案BU与标准总监高永强介绍，从风险类型来看，目前智能车面临的网络安全威胁有七种类型，大致可以分为三个层次：智能车感知层、网络层和应用层。

记者还注意到，汽车公司在网络通信层面的保护水平参差不齐。以车云通信为例，目前车辆公司对通信加密和车侧接入的控制进度是不一样的。对于漏洞频发的数字车钥匙，很多车企对通信安全关注有限，安全机制普遍不足。

2018年9月，特斯拉的无钥匙进入和启动系统披露了CVE(通用漏洞披露)漏洞，编号为“CVE-2018-16806”。该系统由软件公司Pektron开发，因此受影响的车辆可能还包括迈凯轮、卡玛、黛安芬和其他也采用Pektron起动系统的品牌。

在C-V2X(Cellular Vehicle Networking)直连通信方面，目前大部分车企在证书管理系统、终端解决方案、企业初始配置环境建设等方面还处于测试验证的初级阶段，交通通信领域现有的安全威胁将逐步向智能车迁移。

"互联网领域的所有安全威胁都将顺利扩散到汽车领域."在蔡看来，入侵个人电脑或手机最多只会损失个人信息或财产。一旦车辆被黑，尤其是车辆高速行驶时，可能会导致撞车死亡。“如果汽车被大量类似Windows的程序攻击，这是绝对不能接受的。”

汽车行业现在已经进入智能转型的关键时期。类似于早期PC和手机的发展路径，应用的扩展和网络连接率的大幅提高，也会使其成为下一次网络攻击的“目标”。智能车呈现的攻击点越分散，后果反馈越严重，凸显了智能车面临的严峻安全防控形势。

确保汽车网络安全

须多管齐下

千条路，安全第一。在汽车的智能发展过程中，一旦出现网络安全漏洞，不仅可能对车辆和车主构成安全威胁，还可能将危险扩散到其他车辆和其他人，引发公共安全事件。所以，是时候把智能车的安全放在台面上了。

在政策层面，国内车联网的相关制度和标准已经在建设中。今年6月21日，工信部公开征求《车联网(智能网联汽车)网络安全标准体系建设指南》意见，提出了车辆联网安全标准的体系框架、重点标准化领域和方向。由此可见，解决“汽车黑客”的威胁已经成为汽车公司和消费者的共同期待。

“标准化和系统化解决了安全问题，但有了这些，车联网真的安全吗？”张建新说汽车联网一定会有漏洞，联网会导致黑客攻击面扩大，新技术的引入也会带来新的风险。

记者还发现，目前智能网联汽车的很多零部件仍以外资供应商为主，对于部分车企来说，这些供应商提供的系统如同“黑盒”，主机厂想从全局上构建信息安全防护体系，但可操作空间被极大制约了。

对此，智能汽车领域专家、车联网信息安全专家郑光伟认为，出台权威性的智能网联汽车信息安全评测规程显得尤为重要。“目前在这方面市场各方仍存有分歧。主机厂的评估思路偏重于攻击路径的利用难度，以及对车辆资产和人身安全的影响程度；信息安全厂商更偏重技术本身对系统的影响。”郑光伟表示，行业统一标准会促进主机厂、零部件供应商和信息安全企业的理念达成一致。

谈及如何进行有效的安全防护，张建新表示，需要从实战入手。安全机构可站在黑客的立场，通过真实地攻击排查汽车系统的安全漏洞；“白帽黑客”通过不断地运行程序，完成对智能汽车系统漏洞的查找、提交和修复。

在高永强看来，智能汽车的安全问题目前处于多态并存状态，所涉及的不仅仅是汽车厂商，也包括相关的互联网服务商。为此，各方都应遵循ISO 21434标准，从技术层面建立分层网络安全防护机制，并建立一套有公信力的网络安全评测体系，提升整个行业的网络安全水平，确保智能网联汽车摆脱安全隐患。