近來,Jeep自由光等車型被曝出存在軟件漏洞,黑客可通過鉆空子遠程操控車子的各種功能。旋即,汽菲亞特克萊斯勒及時宣布在美國召回140萬輛存在軟件漏洞的汽車,這成了汽車行業史上首次因黑客隱患發起的大召回。此前,先后有福特、豐田、特斯拉、寶馬、勞斯萊斯、比亞迪等,均被爆出其產品可通過互聯網被入侵。一時間,車聯網引發的網絡安全問題得到業界的高度重視。
車作為一種重要交通工具,和電腦、手機等不同,汽車如果被“黑”,輕則導致信息泄漏、錢物受損,重則危及人生安全。那么,在車聯網發展的過程中,安全漏洞真的難以避免嗎?車載網絡應用與保駕護航的技術該如何協調?安全問題會否制約車聯網的發展?本期蓋世論衡特邀衍進商務咨詢(上海)有限公司首席合伙人張兆鈞、益普索研究集團研究總監葉盛圍繞以上問題展開討論。
論衡之一:車聯網發展的過程中,安全漏洞真的難以避免?
這個夏天,多起汽車被黑客入侵事件讓車聯網安全成了公眾關注的焦點。7月份,兩位白帽黑客(注:白帽黑客與黑帽黑客不同,其不會惡意利用漏洞牟利,而是將協助相關機構提升計算機或網絡系統的安全性)宣布,在一項測試中侵入到Jeep自由光搭載的Uconnect車載系統,通過該軟件可以遠程向車載系統發送指令來控制汽車。隨后,菲亞特發起了汽車行業史上首次因黑客隱患的大召回,這也拉開了黑客與汽車“戰爭“的序幕。試問,在車聯網的應用過程中,汽車安全漏洞是否真的難以避免?
對此,葉盛表示,汽車作為獨立的商品,當與互聯網聯接后,實際就承擔著和互聯網同樣的風險。“與銀行等使用互聯網技術來提高工作效率和人機互動體驗所面臨的風險一樣,汽車使用網絡導致的安全隱患也將無法避免。”在他看來,黑客破解本來就是矛與盾的問題,只要是人為參與的軟件設計和后臺加密都是有機會讓特定人群來進行破解的,且大部分整車廠在這方面業務都是外包模式。“通用Onstar(安吉星)的硬件就是采取外包模式,這就使得軟件與硬件供應商之間存在模糊地帶,給黑客提供了可趁之機。”
張兆鈞指出,車聯網漏洞問題的由來是有軌跡可循的。互聯網技術的發展,尤其是無人駕駛的刺激才使得整車廠逐步放開了汽車與互聯網的連接部分。
其分析指出,早期汽車的研發設計中,整套車機作業系統/車載信息娛樂系統都由整車廠獨自研發完成,在全封閉的情況下,黑客根本無從下手。近年來,整車廠意識到傳統車機已經無法滿足消費者對于互聯化、智能化的需求,但由于汽車研發周期長,難以適應移動互聯網短至半年甚至三個月的迭代速度,且研發成本過高,于是,汽車廠商不得不放開對車機端的控制。然而,在網絡的安全方面,整車廠研發人員并不像傳統IT人員一樣擁有較高的敏感度,后臺開放后很可能殘留一些可操控的漏洞,這就給黑客入侵提供了契機。
“車聯網安全隱患主要表現為兩個層面,一是遠程控制汽車本身,這種危險級別最高,將直接影響汽車整體運行狀況;二是聯網后汽車的操作系統、操作軟件等各種服務系統的控制。”
張兆鈞坦陳,車聯網問題是汽車與互聯網結合過程中無意間留下的,但安全漏洞隱患必將引發陣痛和教訓,這是整車廠投資少、重視度不夠的后果。
論衡小結:回顧汽車安全漏洞發生的歷程可知,互聯網的沖擊迫使傳統汽車制造商放開部分車機的控制接口,也在無意間埋下了安全漏洞的種子。早期,車企對網絡安全意識不強,兼之這方面投入成本過高,使其未能建立起一套行之有效的網絡安全管理體系。如今,汽車已然裸奔于黑客眼中,互聯網技術的相對滯后讓整車廠頻頻躺槍。問題的出現,給車企在信息安全上敲響了一記警鐘,尤其是國內汽車企業,在依賴外來技術時,更是要加強防衛警戒,防患于未然。
論衡之二:當前車載網絡的應用是否邁進太快,而保駕護航的進展顯得落后?
可以想象,汽車的附加功能變得越多越復雜,更多的黑客入侵也就無法避免。擺在車企眼前的難題是保駕護航能否跟得上車載網絡的應用,特別是黑客技術的發展。據彭博社等外媒指出,以寶馬、奧迪和奔馳為代表的車企在車載技術方面的競爭早已超過了動力方面,功能應用發展和安全防護措施進步之間并不見得能保持同步。
當前,車載網絡的應用是否邁進太快,而保駕護航的進展顯得落后?
對此,張兆鈞認為,原廠生產制造的汽車,其網絡安全的防范問題不必過分擔心,只有設備受第三方控制時才會有漏洞可尋。其指出,能否控制并影響汽車安全,關鍵還得看汽車內部的行車電腦/ECU電子控制單元。“行車電腦的控制權被拿走了,或者被穿透了才有可能,而行車電腦也是有制造商獨家掌控。”整車廠對接口的開放非常謹慎。“現在,黑客能做的僅僅是侵入到一些公用的或者大家比較熟悉的系統,而這樣的接口也很有限。”
同時,張兆鈞也指出,黑客入侵汽車網絡想要造成惡劣影響并沒有那么容易,國內暫時不會受到太大影響,“從國內目前的發展情形看,大多數車企的技術研發還沒有達到這個程度,都還處于大門緊關狀態,真正要擔心的是那些少數走到研發前沿的車企,如特斯拉等,他們一開始運用了大量的現成的互聯網技術來至支撐整個系統,所以這些車企的風險比較大。”
在葉盛看來,車聯網的發展進程還比較慢,各車企也都比較封閉保守。“現在,車、車互動還沒有,主要還是集中在娛樂導航方面,但是整車廠在車載自動診斷系統(OBD)物理接口的處理上還是非常之謹慎。”
當然,汽車的功能越來越多,也會給車主帶來消極影響,此次鬧得沸沸揚揚的黑客入侵事件就是例證。“車企還需尋求相關部門制定政策法規來規范市場,同時也要加強重視對跨界技術的學習和掌握。”葉盛強調指出。
論衡小結:值得欣慰的是,目前絕大部分汽車最關鍵的行車電腦部分仍然處于“封閉式保護”之下,整車廠對此還是持非常謹慎的態度,黑客尚不能造成大范圍嚴重后果。不過,欲在短時間內根除已存的車聯網安全漏洞或還較困難。但是建立汽車信息安全保障已是刻不容緩。車企除了在技術上加大投入、強化信息安全;更需要尋求相關立法部門援助,保護企業與消費者不受黑客肆意攻擊。
論衡之三:安全瓶頸會不會制約車聯網的發展?
盡管近年來車聯網發展勢頭迅猛,但被公開報道的車聯網安全漏洞事件也不少。我們知道,車聯網由設備商、移動數據提供商、軟件開發三部分組成。然而,大部分情況下三者之間都是各自為營,相對獨立,這種情況下的安全問題更令人擔憂。安全會不會成為制約車聯網的發展的瓶頸?汽車是不是越智能越好?
對此,受訪專家一致認為,問題發現得比較及時,會倒逼各車企提早重視并建立防護系統,對車聯網的發展不會有太大影響。
張兆鈞告訴記者,這是一個很好警惕,“事情發生后,整車廠必然會重視汽車網絡安全,并加強研發投入,啟用防護技術。”實際上,防護技術在IT信息行業已經較為成熟,其最為核心的原理技術不需要再做特殊開發,概念和技術都存在,汽車行業可以引用其經驗和技術原理來盡早解決問題。
葉盛同樣認為,“目前問題處于可控范圍,問題的產生會加速整車廠和相關供應商對網絡安全問題的重視并解決。”首先處理應用較多的影音娛樂導航系統的問題,其次,在安全駕駛和遠程控制上,除了提供車主便利的同時進一步加強其安全性。葉盛還指出,人、車、互聯網的互動趨勢無法改變,車聯網的發展仍將繼續前行。
最后,張兆鈞亦指出,汽車未來仍會朝著智能制造方向發展。“隨著科技的進一步發展,汽車智能互聯會是一種趨勢,智能的最后一個階段即自帶司機功能,到時,關掉這個功能,體驗自己開車或許會成為少數發燒友的特殊喜好了。”
論衡小結:車企在信息安全方面的投入和重視不足是車聯網安全漏洞產生的重要原因。如今,車聯網安全漏洞已公諸于眾,不管是為了保住其百年汽車品牌也好,還是為日后車聯網的發展開路也罷,加強研發投入、建立起一套行之有效的網絡安全管理體系、提高網絡運營人員的安全素質已成為眾車企的當務之急。
蓋世論衡:是蓋世汽車研究院打造的一個品牌汽車評論欄目,透析汽車行業的新現象,新熱點,新規律,新趨勢;以行業資深專家、權威媒體人及企業高管為發聲主體,多層次、多角度探討變化中的中外汽車業。
京公網安備 11010502049343號