日前，某進口汽車品牌在華合資企業被爆出因官網后臺存在漏洞，導致10萬名車主的姓名、手機號碼、意向購買車型等信息或遭泄露的消息。而最近在北京舉行的HackPWN安全極客狂歡節上，參會的安全專家在沒有車鑰匙的情況下，利用發現的安全漏洞對汽車進行入侵和破解，實現了遠程開鎖、鳴笛、閃燈、開啟天窗等操控，特斯拉、奔馳等高檔品牌汽車都未能幸免。一時間，汽車領域網絡安全的話題再次處于風口浪尖的位置。

汽車互聯程度越高是否越不安全?其網絡安全隱患主要來自哪些方面?現階段，汽車企業應該如何保障信息安全?日前，記者就這一系列問題采訪了國內互聯網漏洞報告平臺——烏云網安全專家、“白帽子”(也被描述為正面的黑客,可以識別計算機或網絡系統中的安全漏洞，但并不惡意利用而是將之對外公布。這樣系統將可以在被其他人，比如黑客攻擊前修補漏洞)王彪。

■最大的網絡安全隱患在云端

隨著移動互聯技術的不斷應用，汽車與外部的信息交換越來越頻繁，正逐步成為“云”上的超級移動終端。這種變化一方面給人們的出行生活帶來了前所未有的便利和美好體驗，另一方面也帶來許多潛在的安全隱患。“汽車最大的網絡安全隱患在云端，一組服務器可以監控成千上萬輛汽車的位置、行駛路線，甚至可以被用來操控制動裝置和發動機，這類案例并不少見。”王彪告訴記者，“云端的控制權限非常強大，攻擊云端的價值比攻擊汽車本身大得多，成本也低得多。”形象地說，如果破解沒有聯網的車，需要的是嵌入式(軟件)人才，而這種人才因稀缺而身價極高。但對于互聯網汽車來說，云端都有入口、鏈接，幾乎每位IT人士都可以零成本地進行相關測試和研究。“汽車互聯的程度越高，對攻擊者的價值就越高，其每個環節也會被更多的研究。”王彪稱。從現實情況看，根據烏云網方面的觀察，目前汽車行業網絡安全漏洞主要集中于對網站和云服務的攻擊。就網站而言，黑客主要竊取用戶和經銷商信息。用戶在購車時填寫的身份證、電話號碼等信息如果沒有被保管好，往往被售賣;經銷商信息則被篡改，以致于客戶在撥打4S店電話時發現查無此號。就云服務而言，更多的是物流、快遞、城市交通系統等相關廠商在運用，通過車輛調度管理系統監控甚至控制車輛;　一旦系統被入侵，黑客可以發布虛假指令，甚至斷油斷電和控制車速，后果將非常嚴重。然而，令人擔憂的是，這些廠商的后臺安全等級一般都不高。

國外的研究資料也顯示，汽車“黑客”的攻擊手法可能多種多樣。比如，通過在汽車的維護用端口設置特殊儀器，攻破車載系統漏洞，操控部分汽車功能;利用系統漏洞，控制原本用來防止輪胎破裂事故發生的輪胎壓力監測系統;使用廣域網攻擊車載LAN，造成遠程打開門鎖等重大危害。

■車企普遍忽視網絡安全問題

據介紹，2011年至今，“白帽子”們在烏云網平臺上提交的汽車企業、經銷商網絡安全漏洞達58個，其中近一半可能導致數據泄露，涉及數百萬名車主的信息安全。其中，許多漏洞都是打上補丁、改個復雜密碼就能修復的低級漏洞，卻一直沒有得到相關方面的重視。汽車企業在保護網絡信息安全上為何存在如此大的疏漏?烏云網合伙人鄔迪認為，根源在于很多車企不夠重視自身的信息安全建設。“從烏云‘白帽子’提交的漏洞來看，很少有車企會在聯系之后進行認領，個別企業甚至主動忽略。”鄔迪表示。

記者了解到，跨國車企的安全反應中心大多在國外，在國內往往并不涉及信息安全服務業務，所以即使出現問題，也沒有專人推動解決。而自主品牌汽車企業目前大多還未建立安全反應中心，也尚未設置相關的職能和人員。“信息安全是傳統車企向網絡云服務提供者轉型過程中必然要面對的問題。”王彪指出，“比亞迪在車企中做得比較好，烏云‘白帽子’提交的漏洞報告，該公司大多予以認真積極對待，這種態度值得肯定。”

■應減少非必要的信息收集

行業專家曾指出，網絡信息安全是汽車行業需要最優先考慮的事情之一，安全感非常重要，能讓廣大消費者對產品充滿信心。據報道，日本信息處理推進機構按照汽車生命周期(策劃、開發、使用、廢棄)，整理出相應各階段的信息安全對策，并指出生產制造階段是最重要環節。在這一階段汽車及零部件廠商開始設計硬件和軟件并安裝到汽車上，汽車制造商必須按規定做到“按照需求定義進行準確安裝”、“安裝時杜絕漏洞”、“萬一存在漏洞，也要能在出貨之前發現”。王彪則認為，在汽車全生命周期中，選車到買車、發生交通事故到維修車輛這幾個階段最容易遭遇信息安全問題，因為會發生大量的信息錄入和存留。他指出，要降低信息安全風險，汽車銷售方應盡可能減少非必要的信息收集，比如身份證、家庭住址等;同時，組建專業的運營和安全團隊，并給予必要權限。“處理好這些事情，基本就能保障80%以上的網絡信息安全了。先解決基礎問題，再考慮其他的。”王彪說。

■自動駕駛需要更強大的保障

如今，自動駕駛已成為大勢所趨，許多車企都在積極投身相關的技術和產品研發中。對此，王彪表示，自動駕駛汽車更可能通過云端互聯被操控，因此，“如何建設更安全的云平臺并保障信息傳輸過程的安全”也將成為迫在眉睫的挑戰。而這無疑是個龐大的課題，目前已經有許多公司在為之努力，“我們現階段能做的是做好網絡安全開發和運營。”王彪認為，對于企業因網絡安全管理不當致使用戶信息泄露的行為，政府可以考慮制訂法規給予處罰。對于記者提出的界定泄露者存在困難的疑慮，他表示通過技術手段可以實現。“只有認識到網絡信息泄露是違法的，企業才有壓力和動力改進存在的問題。”