汽车进入被盗高峰期？安全漏洞最坑人

  　　 一个智商165的人，他是现实世界里的失败者，却是网络中的顶尖黑客。他可以追踪到任何一个人的信息，先后入侵国际金融系统和国家安全局。这就是电影《没有绝对安全的系统》中所描述的情景。

  　　现如今，汽车也正演变成一个漏洞越来越多的“系统”。2014年的黑客攻击致克莱斯勒140万辆汽车召回；2019年奔驰被发现19个安全漏洞，波及200多万辆汽车。近段时间，大众、福特、现代、丰田等接连被曝出存在安全漏洞。不幸的是，最坏的时候还没有到来……有专家预测，2025年前后汽车网络攻击可能会大爆发。

  　　30秒快速阅读：　　1、当前，数字钥匙的安全漏洞问题最为严重。随着自动驾驶、5G车联等逐步成熟，汽车信息安全形势日益严峻。　　2、行业对汽车信息安全高度关注，用户却没有明显感知。手机被攻破顶多“伤财”，而汽车安全漏洞却能“害命”。　　3、比之海外品牌，现存的中国品牌汽车在信息安全方面相对偏弱。OTA将是“堵”漏洞的重要手段。

  　　● 汽车“漏洞”越来越多，安全攻击快速增长

  　　汽车信息安全与车联网关系密切，汽车越“独立”，信息安全问题越小，反之越严重。2015年起，车企逐步深化网联功能，汽车网络入侵事件也日益增多。中国汽车技术研究中心曾对市面上的70余辆汽车进行信息安全能力测试，发现2000个以上数据漏洞。七大攻击入口主要为：网络架构、车载信息娱乐系统、T-BOX、云平台、App、ECU及无线电。

  　　当前，汽车数字钥匙的安全漏洞问题最为严重。车主通过手机App就能解锁车辆、启动汽车或遥控泊车，然而整条链路的安全性并不“健壮”。2019年，有黑客仅用30秒就偷走一辆Model S(参数|询价)。2019年前10个月，英国发生14000多起利用数字钥匙漏洞盗窃汽车的案件，作案时间通常都不到30秒。

  　　数字钥匙漏洞还只是“冰山一角”。近一两年，汽车网络安全攻击事件呈现出快速增长趋势。有统计数据显示，2019年公开报道的针对智能网联汽车网络安全攻击的事件差不多是2018年的两倍。

  　　未来，汽车所面临的信息安全处境有可能“更糟”。5G兴起，加速汽车“触网”；智能汽车的发展，坚定了车企走“软件定义硬件”的道路。然而，越多的触点意味着越多的风险，越多的代码行段必然带来越多的BUG。

  『特斯拉Model S』

  　　腾讯安全科恩实验室安全技术专家范士雄称，“车联网安全还处在初期阶段。如果手机的安全分数是100分，那么当前车联网安全也就六七十分的水平。”另一位汽车信息安全专家表示，“未来，汽车安全漏洞会越来越多。”该人士认为，现在还没有到真正爆发的时候，当自动驾驶汽车大规模起量时，形势会更加严峻，时间节点可能是2025年前后。

  　　● 用户没有明显感知，汽车安全攻击却可“害命”

  　　人们对汽车安全漏洞的关注似乎一直停留在B端，C端用户好像并没有明显的感知。好比今天电脑和智能手机如此发达，用户依然对网络安全没有切身感受。

  　　面对如此现状，从业者也在思考，汽车信息安全的需求到底是什么？任何一项功能、服务的应用，都是用户有需求，车企才会去做部署。汽车信息安全，理论上也应是如此。

  『2014年被入侵后失控的克莱斯勒汽车』

  　　那么，为何C端用户没有感知呢？上述不具名安全专家认为，首先，当前智能网联汽车的数量还不够多，相较于存量传统汽车而言可谓“九牛一毛”。其次，与手机/电脑相比，汽车安全攻击门槛更高，黑客自己先要有车作为“研究”对象，同时还要足够强的汽车专业知识。

  　　更关键的原因在于，当前汽车网络攻击的“黑色产业链”尚未成熟。“黑产利用”的商业价值有限，可能还不如“黑”手机/电脑勒索钱财来得更直接。范士雄表示，当前汽车网络攻击多以车企的云数据平台为主，这比起入侵单独的一辆汽车来说非法获利空间大多了。

  　　手机/电脑被攻破顶多“伤财”，汽车安全漏洞却可能“害命”，这才是问题的关键所在。汽车信息安全所面临的“威胁”主要体现在两方面：一是影响范围，比如通过云平台漏洞可以批量控制多少车；二是影响程度，入侵信息娱乐系统的危害有限，但如果底层控制系统被攻破，就能够“害命”。假如“范围”和“程度”两个条件同时满足，有可能造成“群死群伤”。

  　　好的一面是，我国对互联网的管理非常严格，同时车企极其注重汽车产品安全，未来汽车信息安全问题不一定就像说得那么严重。糟糕的一面是，车联网方兴未艾，不清楚安全漏洞将如何被黑客利用，黑暗势力依然隐藏在背后。控制汽车作为暗杀工具，或胁迫高速行驶的自动驾驶汽车勒索比特币，这些情景不是没人畅想过。

  　　● 中国品牌车是“软柿子”，但安全问题正快速改善

  　　当前所暴露出来的汽车安全漏洞入侵问题，其根源往往在数年前。因为汽车开发周期通常需要3-5年，而当时车企在进行开发时可能压根就没有预埋网络安全设计。

  　　在范士雄看来，上述情况是现如今汽车信息安全所面临的最大挑战。他认为，“三五年前所开发的汽车并不完全是针对智能网联设计的，也没有考虑太多信息安全性，还认为汽车只是一个相对‘独立’的空间。现在为了实现网联功能，可能做小幅改动后就让汽车去联网，这相当于把一个有很多漏洞的系统直接暴露在了网络上。”

  　　在存量车中，中国品牌国产车的信息安全问题最为突出。“中国品牌汽车就好像‘软柿子’，属于谁都能捏的那种。”上述不具名安全专家称，依据他们所做的测试研究，美系车很早就涉足车联网，信息安全基础比较好。日系讲究精细化，加密做得特别好，即便车被‘黑’了你也控制不了。德系秉承‘工匠精神’，信息安全中规中矩，非常规范化。

  　　不过，这种情况正在快速好转，主要是车企对信息安全越来越重视，人才、预算等资源倾斜力度不断加大。同时，专业的互联网公司也在帮助车企建设信息安全能力。比如，腾讯安全科恩实验室已经与国内外众多车企展开密切的安全合作。他们一方面帮助车企建立安全评估和自治能力；另一方面也把技术能力转换成自动化工具，为车企提供安全服务，解决安全问题。

  『通用凯迪拉克CT5全新电子电气架构』

  　　除了不断加大资源投入外，车企也针对未来智能汽车进行产品开发。大众、吉利、凯迪拉克等都陆续推出基于新电子电气架构的车型，在云端、通信链路、车端都会部署安全解决方案。以车端为例，将内部网络分区隔离，并采取严格的身份认证，即便某一模块被攻破，也不至于扩散到整车或其他车辆。而OTA技术的应用，则使得未来的汽车能像手机一样，通过不断“打补丁”的方式堵住漏洞。

  　　全文总结：

  　　所谓道高一尺，魔高一丈。汽车信息安全永远处在“攻”与“防”的动态平衡中。攻要能突破防御才有存在的意义，防要能抵挡攻击才能证明其价值。暂且不论汽车安全漏洞给用户带来的人身安全威胁，隐私数据保护必将面临更大挑战。智能汽车就是一个时刻在收集数据的“传感器”，不管是个人行为数据、企业商业机密，还是国家层面的地理信息数据，都存在巨大的泄漏风险。