近来,Jeep自由光等车型被曝出存在软件漏洞,黑客可通过钻空子远程操控车子的各种功能。旋即,汽菲亚特克莱斯勒及时宣布在美国召回140万辆存在软件漏洞的汽车,这成了汽车行业史上首次因黑客隐患发起的大召回。此前,先后有福特、丰田、特斯拉、宝马、劳斯莱斯、比亚迪等,均被爆出其产品可通过互联网被入侵。一时间,车联网引发的网络安全问题得到业界的高度重视。
车作为一种重要交通工具,和电脑、手机等不同,汽车如果被“黑”,轻则导致信息泄漏、钱物受损,重则危及人生安全。那么,在车联网发展的过程中,安全漏洞真的难以避免吗?车载网络应用与保驾护航的技术该如何协调?安全问题会否制约车联网的发展?
车联网发展的过程中,安全漏洞真的难以避免?
这个夏天,多起汽车被黑客入侵事件让车联网安全成了公众关注的焦点。7月份,两位白帽黑客宣布,在一项测试中侵入到Jeep自由光搭载的Uconnect车载系统,通过该软件可以远程向车载系统发送指令来控制汽车。随后,菲亚特发起了汽车行业史上首次因黑客隐患的大召回,这也拉开了黑客与汽车“战争“的序幕。试问,在车联网的应用过程中,汽车安全漏洞是否真的难以避免?
对此,叶盛表示,汽车作为独立的商品,当与互联网联接后,实际就承担着和互联网同样的风险。“与银行等使用互联网技术来提高工作效率和人机互动体验所面临的风险一样,汽车使用网络导致的安全隐患也将无法避免。”在他看来,黑客破解本来就是矛与盾的问题,只要是人为参与的软件设计和后台加密都是有机会让特定人群来进行破解的,且大部分整车厂在这方面业务都是外包模式。“通用Onstar的硬件就是采取外包模式,这就使得软件与硬件供应商之间存在模糊地带,给黑客提供了可趁之机。”
张兆钧指出,车联网漏洞问题的由来是有轨迹可循的。互联网技术的发展,尤其是无人驾驶的刺激才使得整车厂逐步放开了汽车与互联网的连接部分。
其分析指出,早期汽车的研发设计中,整套车机作业系统/车载信息娱乐系统都由整车厂独自研发完成,在全封闭的情况下,黑客根本无从下手。近年来,整车厂意识到传统车机已经无法满足消费者对于互联化、智能化的需求,但由于汽车研发周期长,难以适应移动互联网短至半年甚至三个月的迭代速度,且研发成本过高,于是,汽车厂商不得不放开对车机端的控制。然而,在网络的安全方面,整车厂研发人员并不像传统IT人员一样拥有较高的敏感度,后台开放后很可能残留一些可操控的漏洞,这就给黑客入侵提供了契机。
“车联网安全隐患主要表现为两个层面,一是远程控制汽车本身,这种危险级别最高,将直接影响汽车整体运行状况;二是联网后汽车的操作系统、操作软件等各种服务系统的控制。”
张兆钧坦陈,车联网问题是汽车与互联网结合过程中无意间留下的,但安全漏洞隐患必将引发阵痛和教训,这是整车厂投资少、重视度不够的后果。
回顾汽车安全漏洞发生的历程可知,互联网的冲击迫使传统汽车制造商放开部分车机的控制接口,也在无意间埋下了安全漏洞的种子。早期,车企对网络安全意识不强,兼之这方面投入成本过高,使其未能建立起一套行之有效的网络安全管理体系。如今,汽车已然裸奔于黑客眼中,互联网技术的相对滞后让整车厂频频躺枪。问题的出现,给车企在信息安全上敲响了一记警钟,尤其是国内汽车企业,在依赖外来技术时,更是要加强防卫警戒,防患于未然。
当前车载网络的应用是否迈进太快,而保驾护航的进展显得落后?
可以想象,汽车的附加功能变得越多越复杂,更多的黑客入侵也就无法避免。摆在车企眼前的难题是保驾护航能否跟得上车载网络的应用,特别是黑客技术的发展。据彭博社等外媒指出,以宝马、奥迪和奔驰为代表的车企在车载技术方面的竞争早已超过了动力方面,功能应用发展和安全防护措施进步之间并不见得能保持同步。
当前,车载网络的应用是否迈进太快,而保驾护航的进展显得落后?
对此,张兆钧认为,原厂生产制造的汽车,其网络安全的防范问题不必过分担心,只有设备受第三方控制时才会有漏洞可寻。其指出,能否控制并影响汽车安全,关键还得看汽车内部的行车电脑/ECU电子控制单元。“行车电脑的控制权被拿走了,或者被穿透了才有可能,而行车电脑也是有制造商独家掌控。”整车厂对接口的开放非常谨慎。“现在,黑客能做的仅仅是侵入到一些公用的或者大家比较熟悉的系统,而这样的接口也很有限。”
同时,张兆钧也指出,黑客入侵汽车网络想要造成恶劣影响并没有那么容易,国内暂时不会受到太大影响,“从国内目前的发展情形看,大多数车企的技术研发还没有达到这个程度,都还处于大门紧关状态,真正要担心的是那些少数走到研发前沿的车企,如特斯拉等,他们一开始运用了大量的现成的互联网技术来至支撑整个系统,所以这些车企的风险比较大。”
在叶盛看来,车联网的发展进程还比较慢,各车企也都比较封闭保守。“现在,车、车互动还没有,主要还是集中在娱乐导航方面,但是整车厂在车载自动诊断系统物理接口的处理上还是非常之谨慎。”
当然,汽车的功能越来越多,也会给车主带来消极影响,此次闹得沸沸扬扬的黑客入侵事件就是例证。“车企还需寻求相关部门制定政策法规来规范市场,同时也要加强重视对跨界技术的学习和掌握。”叶盛强调指出。
值得欣慰的是,目前绝大部分汽车最关键的行车电脑部分仍然处于“封闭式保护”之下,整车厂对此还是持非常谨慎的态度,黑客尚不能造成大范围严重后果。不过,欲在短时间内根除已存的车联网安全漏洞或还较困难。但是建立汽车信息安全保障已是刻不容缓。车企除了在技术上加大投入、强化信息安全;更需要寻求相关立法部门援助,保护企业与消费者不受黑客肆意攻击。
安全瓶颈会不会制约车联网的发展?
尽管近年来车联网发展势头迅猛,但被公开报道的车联网安全漏洞事件也不少。我们知道,车联网由设备商、移动数据提供商、软件开发三部分组成。然而,大部分情况下三者之间都是各自为营,相对独立,这种情况下的安全问题更令人担忧。安全会不会成为制约车联网的发展的瓶颈?汽车是不是越智能越好?
对此,受访专家一致认为,问题发现得比较及时,会倒逼各车企提早重视并建立防护系统,对车联网的发展不会有太大影响。
张兆钧告诉记者,这是一个很好警惕,“事情发生后,整车厂必然会重视汽车网络安全,并加强研发投入,启用防护技术。”实际上,防护技术在IT信息行业已经较为成熟,其最为核心的原理技术不需要再做特殊开发,概念和技术都存在,汽车行业可以引用其经验和技术原理来尽早解决问题。
叶盛同样认为,“目前问题处于可控范围,问题的产生会加速整车厂和相关供应商对网络安全问题的重视并解决。”首先处理应用较多的影音娱乐导航系统的问题,其次,在安全驾驶和远程控制上,除了提供车主便利的同时进一步加强其安全性。叶盛还指出,人、车、互联网的互动趋势无法改变,车联网的发展仍将继续前行。
最后,张兆钧亦指出,汽车未来仍会朝着智能制造方向发展。“随着科技的进一步发展,汽车智能互联会是一种趋势,智能的最后一个阶段即自带司机功能,到时,关掉这个功能,体验自己开车或许会成为少数发烧友的特殊喜好了。”
在很大程度上,电子设备的确令汽车变得更加脆弱
不管厂家的表态是忽略事态严重性还是有意回避问题,汽车上越来越多的电子化应用,似乎正在让我们的汽车变得更加脆弱。
其实,早在多年前,就有调查显示,很多高级车的出故障频率明显高于低级别车型,而其中的一个重要原因就是高级车上采用了更多的电子设备。为何会出现这种情况?归结而言,对于机械装置而言,在材料选择、加工精度等方面确定的情况下,出现故障可能更多是由于老化、磨损等相对简单的原因。相比之下,电子装置的故障原因无疑更为复杂,任何一个传输信号出现问题,都可能导致系统报错。而且,“蝴蝶效应”在电子装置故障中可能表现得更加明显,车辆表现出的问题很可能并非实际故障原因,这也令电子装置故障变得更难检测和解决。
如果说多年前电子装置故障的困扰更多限于高档车型,那么近年来,随着电子化配置逐渐从高级车型下移,这种麻烦也变得愈发普遍。而且,汽车技术的发展,使车辆对电子装置的依赖愈发明显,从发动机气缸何时点火,到车辆是否应该换挡;从ABS何时启动,到安全气囊是否应该弹出,驾驶员的每一个操作,几乎都伴随着车辆电子控制单元(ECU)对遍布车内外的传感器信号的判断,以及通过车内控制网络的大量数据交换。在这种情况下,只要入侵了车内的控制网络,无疑就夺取了车辆的控制权,这也就是两位黑客所做的事。
要求汽车回到“原始社会”,既不现实也没有必要
电子装置令车辆变得脆弱,但这并不意味着我们要对这些车内的这些电子化应用,以及电子配置说“不”。使汽车告别电子化配置,回到“原始社会”,既不现实,也没有必要。
综合而言,电子化配置在极大提升汽车驾驶乐趣的同时,也实现了环保、安全和娱乐等不可或缺的功能。发动机可变气门正时、涡轮增压、高压共轨技术的应用,不仅提高了动力输出,还使能源的利用更加经济;ABS、ESP、安全气囊等主被动安全装置的应用,令驾车出行变得更有保障;无钥匙进入、车载娱乐系统、导航系统更是令驾车出行变得更加便利。如果因为担心黑客入侵而放弃上述已有的一切,实在是一种得不偿失。
汽车的黑与被黑,或将成为一场暗战
从某种意义上讲,黑客大会为黑客指明了努力方向。因此,可以肯定的是,在车联网逐渐普及的背景下,围绕汽车系统的攻防战,将在未来愈演愈烈。不过,汽车对社会、经济的重要地位,以及汽车安全带来的深远影响,都决定了无论是厂家还是国家都不可能对针对汽车的黑客行为放任不管。实际上,文章开头的两名黑客得到美国国防部资助,就已经说明问题了。因此,认为汽车被黑的情况将越来越普遍的观点似乎有些悲观,更可能的结果是,汽车的黑与被黑,将成为一场暗战,而不会带来太大的实际危害。
如何防范汽车被黑?
对于如何防止汽车联网后遭黑客攻击,刘健皓表示,首先要从基础设计上下功夫。采用物理隔离,或者像特斯拉(一种电动汽车)一样升级车身总线,这就会使破解难度成倍提高,甚至不得不物理侵入车辆。其次,传统的遥控钥匙破解需要射频设备,且只针对一台车。而升级到云服务,攻击工具只需一台电脑,目标则可能是全国或全球的同平台所有上路车辆。所谓“术业有专攻”,整车制造厂商造车水准一流,但对IT行业的安全攻防则积累较少。所以在车联网服务应用的初期,安全的问题会不断显现,但通过专业的网络安全研究机构的提示,可以不断修补漏洞,降低安全风险。
车企在信息安全方面的投入和重视不足是车联网安全漏洞产生的重要原因。如今,车联网安全漏洞已公诸于众,不管是为了保住其百年汽车品牌也好,还是为日后车联网的发展开路也罢,加强研发投入、建立起一套行之有效的网络安全管理体系、提高网络运营人员的安全素质已成为众车企的当务之急。