全球對于汽車聯網的安全爭議一直沒有間斷過,當“黑客”與“汽車廠商”博弈過程中,安全廠商的重要性不言而喻。畢竟,黑客入侵電腦不過是信息安全受損,而如果入侵汽車那就和生命息息相關了。可隨著互聯網的發展,我們從手機到pc,從汽車到家電,基本都處于24小時的聯網狀態,安全和隱私似乎無處可逃。
當 “汽車 ”有了 “智能 ”這個定語加持 ,我們將會享受到更多的服務、便利以及交互變革。比如,語音識別可以操控汽車播放音樂或者導航代替手指輸入,面部識別可以根據駕駛員眨眼次數、打哈欠頻率判斷是否疲勞駕駛,紅外線傳感能夠獲得車輛位置、行駛速度、周邊環境以及障礙物等信息,自動減速或避讓……沒錯,這些曾經你以為的夢想,都已經照進現實。
可以說,智能汽車的發展可分為V2C(人車互動)、V2V(車車交互)和V2X(萬物互聯)三個階段。目前在我國,在大量傳統企業和互聯網企業的入局下,已經實現V2C滲透率的提升,并逐漸向V2V、V2X階段過渡。目前,我國智能汽車發展水平已達世界第七,僅稍稍落后于日本與韓國。
車聯網的商業前景巨大,據數據統計,目前車聯網用戶規模已達4000萬,預計到2020年,規模將超過2億。在這個背景之下,很多企業瞄準了智能汽車通過各種終端而產生的數據生意,汽車圈也顯得越來越開放。
但開放帶來機遇的同時也造成了更大的安全隱患:數據傳輸被截獲、加密數據遭破解、遠程控制失靈等等都可能會讓“智能汽車”聯網變的不安全。
今年 9 月 ,騰訊科恩實驗室以“遠程無物理接觸”的方式,成功入侵特斯拉汽車,控制行車系統的車電網絡(CAN 總線)權限,而 CAN 總線就相當于汽車的“大腦”,能夠控制包括車窗、車鎖在內的部分。這是全球范圍內第一次通過安全漏洞成功無物理接觸遠程攻入特斯拉車電網絡,并實現任意的車身和行車控制。
而在更早前的2015年,克萊斯勒公司的聯網汽車的車載信息系統就曾遭遇黑客破解,進而導致重大安全隱患:黑客可以通過網絡對汽車進行遠程遙控。對此,克萊斯勒不得不緊急召回140萬輛汽車,面臨1.05億美元的民事責任賠償,以及數億美元的損失。
在上述黑客破解克萊斯勒公司聯網汽車的實驗視頻中,兩名黑客可以從任何接入互聯網的地方下達指令,“遠程獲取汽車的關鍵功能操作權限,比如踩下剎車、讓引擎熄火、把車開下公路,并令所有電子設備宕機。”
似乎對于智能汽車技術的關注上,智能汽車的安全博弈更讓人心驚,因為,處于聯網中的設備越來越多。在前陣子舉行的第二屆中國互聯網安全領袖峰會上,騰訊安全科恩實驗室的車聯網安全項目負責人薛瑋講述了黑客入侵汽車的15個攻擊面,并根據9月成功遠程入侵特斯拉的事件,對一條完整的特斯拉攻擊鏈進行了解析。據他介紹,目前車聯網和自動駕駛還在初級階段,絕大部分汽車行車電腦不接入車聯網和互聯網,這種在信息上落后的汽車行業反而保護了大多數汽車安全。而特斯拉不同,特斯拉的核心系統是接入互聯網的,盡管核心控制部門是實時操作系統,與車機的Linux是兩個系統,但是兩者之間是有傳輸通道的,而利用這個通道就可以控制汽車的核心權限。本次實驗室研究人員利用漏洞直接攻入特斯拉汽車模塊并拿到CAN 總線的權限,從而向汽車發送偽造的指令,實現真正的“遠程攻擊”。
面對車聯網與信息安全,薛瑋有一套自己的方法論,即關注安全建設的四大要素。第一是專業安全,即引入信息安全專家,確保專業的人做專業的事;其次是安全工程,引入安全工程方法防患于未然;再次是安全保護,引入安全保護機制做更堅固的盾;最后是安全策略,即比攻擊者更快的響應、修復和更新,以此從根本上保證汽車網絡安全的平穩發展。另外則是要嚴格遵守汽車安全的4C理論,即溝通(Communication)、跨界(Cross-Domain)、合作(Collaboration)、融合理論(Convergence)。
事實上,要想解決這些難題,必然要求企業間聯合起來,開放合作,共享數據與技術,完善現有的智能汽車生產流程,達成一體化。在羅蘭貝格汽車行業中心專家時帥看來,未來智能汽車安全的發展趨勢,在產業鏈層面將會是一個非線性的,供應鏈將從傳統的二級轉變為一級,互聯網公司或創新型企業將有可能會營造一個扁平的供應模式,會和整車廠一起研發。
然而,凱文·凱利在《必然》中認為,在未來,對于我們行為的記錄會越來越多,未來的商業都是通過分析數據流來做決策,而那些掌握數據的公司才能賺到更多的錢。從某種意義上來講,這樣的一種未來,都讓我們處于一種被“剝開來看”的狀態。“聯網”的狀態和時間越來越多,“聯網”的數據越來越多,我們所面臨的信息安全問題可能不用“黑客”靠近,也處于一個“透明”的狀態了,到底該怎么辦才好?
京公網安備 11010502049343號