毫不夸張地說(shuō),2015年為“互聯(lián)網(wǎng)汽車”的元年。國(guó)內(nèi)外IT汽車廠商紛紛致力于汽車智能化,智能汽車正在成為新的行業(yè)風(fēng)向標(biāo)。但是汽車聯(lián)上網(wǎng)后,車輛信息安全風(fēng)險(xiǎn)也會(huì)增加。普華永道預(yù)測(cè),全球車聯(lián)網(wǎng)市場(chǎng)中汽車安全市場(chǎng)增長(zhǎng)速度最快,2015年全球汽車安全市場(chǎng)規(guī)模將達(dá)到138.6億美元,到2020年這一數(shù)字將增長(zhǎng)至538.9億美元。同時(shí),也應(yīng)看到,科技進(jìn)步之路難免會(huì)一波三折,不能因噎廢食。相反,我們應(yīng)該積極尋求應(yīng)對(duì)之策,理清其背后的安全風(fēng)險(xiǎn)并加以防范,保障用戶利益、社會(huì)公共安全以及產(chǎn)業(yè)健康發(fā)展。
產(chǎn)業(yè)鏈各方掘金互聯(lián)網(wǎng)汽車
據(jù)《2015年車聯(lián)網(wǎng)研究報(bào)告》顯示,2015年全球車聯(lián)網(wǎng)市場(chǎng)規(guī)模將達(dá)到362.8億美元,到2020年,全球車聯(lián)網(wǎng)市場(chǎng)規(guī)模將達(dá)到1311.3億美元。
國(guó)內(nèi)互聯(lián)網(wǎng)汽車發(fā)展得如火如荼。東風(fēng)汽車2014年就與華為合作,在汽車電子、智能汽車、IT/ICT信息化建設(shè)等領(lǐng)域展開跨界合作;北汽集團(tuán)則與樂視攜手,以樂視汽車生產(chǎn)廠商的身份在智能汽車競(jìng)爭(zhēng)中占據(jù)一席之地;上汽集團(tuán)與阿里合作,同時(shí)開發(fā)無(wú)人駕駛功能;一汽集團(tuán)也于今年4月發(fā)布了智能汽車“摯途”戰(zhàn)略;江淮汽車計(jì)劃于2020年進(jìn)入3.0時(shí)代;海馬汽車也于今年3月正式發(fā)布了移動(dòng)互聯(lián)人車生態(tài)系統(tǒng);今年7月,長(zhǎng)城汽車表示將50.33億元用于發(fā)展智能汽車項(xiàng)目。
與此同時(shí),互聯(lián)網(wǎng)巨頭也都將車聯(lián)網(wǎng)當(dāng)作未來(lái)的核心項(xiàng)目。今年1月,百度公布了新版車聯(lián)網(wǎng)解決方案CarLife;3月,阿里聯(lián)手上汽集團(tuán)子公司合資設(shè)立10億元互聯(lián)網(wǎng)汽車基金;不久后,騰訊、富士康、和諧汽車簽署協(xié)議,欲共同打造“互聯(lián)網(wǎng)+智能電動(dòng)車”平臺(tái)。
電信運(yùn)營(yíng)商也沒閑著。中國(guó)電信將車聯(lián)網(wǎng)等業(yè)務(wù)作為集團(tuán)轉(zhuǎn)型的主要業(yè)務(wù)之一;中國(guó)移動(dòng)將在今年借助4G網(wǎng)絡(luò),大力推進(jìn)車聯(lián)網(wǎng)業(yè)務(wù);中國(guó)聯(lián)通也表示成立專門公司運(yùn)營(yíng)車聯(lián)網(wǎng)。
安全將成互聯(lián)網(wǎng)汽車軟肋
最近,多起智能汽車被黑客入侵事件讓智能汽車網(wǎng)絡(luò)安全成為公眾關(guān)注的焦點(diǎn)。2011年至今,“白帽子”漏洞報(bào)告平臺(tái)“烏云”上共提交有關(guān)車企網(wǎng)站的漏洞達(dá)58個(gè),其中近一半的漏洞都可能造成網(wǎng)站用戶的信息泄露,背后涉及百萬(wàn)車主的信息安全。
今年3月,烏云平臺(tái)曝光了比亞迪智能汽車的一個(gè)漏洞,黑客通過該漏洞或?qū)?dǎo)致汽車被黑客完全控制。該漏洞為云服務(wù)存在嚴(yán)重安全漏洞,黑客可以編寫程序獲取任意車主的信息如姓名、車牌號(hào)、車架號(hào)、身份證號(hào)、第二聯(lián)系人姓名、手機(jī)號(hào)和控制密碼。6月,HackPWN安全極客狂歡節(jié)啟動(dòng)儀式上,安全專家利用發(fā)現(xiàn)的比亞迪汽車云服務(wù)平臺(tái)漏洞,在沒有鑰匙的情況下,成功利用電腦先后實(shí)現(xiàn)了遠(yuǎn)程開鎖、鳴笛、閃燈、開啟天窗等行為,從開始操作到成功破解,只花了不到兩分鐘的時(shí)間。
除了國(guó)產(chǎn)品牌汽車,國(guó)外大牌汽車廠商更是頻頻被曝安全漏洞。今年1月,德國(guó)的一份報(bào)告顯示,寶馬汽車公司的“互聯(lián)駕駛”系統(tǒng)存在安全漏洞,黑客利用這一漏洞可在幾分鐘內(nèi)無(wú)線開啟汽車的車門;7月初,路虎攬勝因車載系統(tǒng)的漏洞可能導(dǎo)致車門被遠(yuǎn)程開啟而在美國(guó)發(fā)出召回聲明;7月底,菲亞特克萊斯勒公司宣布,由于存在軟件故障,黑客可以通過這些漏洞控制汽車的關(guān)鍵功能。此后,通用汽車的OnStar被曝存在安全漏洞;8月美國(guó)拉斯維加斯舉行的“黑帽子”大會(huì)上,兩名研究人員公布了特斯拉Model S系統(tǒng)存在的六個(gè)重大安全漏洞;此后,美國(guó)加州大學(xué)圣地亞哥分校宣布他們成功入侵2013雪佛蘭跑車,他們通過攻擊車載自動(dòng)診斷系統(tǒng)接口處插入的裝置來(lái)攻破汽車的安防系統(tǒng),之后通過發(fā)送信息來(lái)控制雨刷器,并最終在汽車低速行駛時(shí)控制了其剎車系統(tǒng)。整個(gè)行業(yè)應(yīng)該認(rèn)識(shí)到這些前所未有的新興威脅。
——利用車聯(lián)網(wǎng)系統(tǒng)軟件的漏洞
智能汽車的信息控制系統(tǒng)帶來(lái)的網(wǎng)絡(luò)連接,隱含了系統(tǒng)漏洞,為安全埋下隱患。汽車內(nèi)部各系統(tǒng)相互聯(lián)通使外來(lái)攻擊有了跨越系統(tǒng)的路徑,而各系統(tǒng)間通信依靠的仍是創(chuàng)立于20世紀(jì)80年代的計(jì)算機(jī)協(xié)議,不具備驗(yàn)證消息來(lái)源的能力。原美國(guó)國(guó)防部高級(jí)研究項(xiàng)目局網(wǎng)絡(luò)安全研究負(fù)責(zé)人派特爾·扎特克說(shuō),汽車系統(tǒng)的整體安全水平可能比目前計(jì)算機(jī)操作系統(tǒng)的安全狀況落后15或20年。
——通過攻破與車聯(lián)網(wǎng)相關(guān)聯(lián)的智能手機(jī)、智能手表或者是云端數(shù)據(jù)庫(kù)等進(jìn)入車聯(lián)網(wǎng)
如通過網(wǎng)絡(luò)不慎下載病毒會(huì)將以往PC、手機(jī)互聯(lián)網(wǎng)時(shí)代的安全威脅帶到汽車領(lǐng)域。特斯拉汽車就是通過手機(jī)應(yīng)用程序來(lái)遠(yuǎn)程控制汽車,進(jìn)行開啟車門、開關(guān)空調(diào)等操作。未來(lái)隨著智能可穿戴設(shè)備的快速發(fā)展與普及,智能眼鏡、手環(huán)、車鑰匙等便攜式可穿戴設(shè)備也可以與汽車實(shí)現(xiàn)連接,對(duì)汽車進(jìn)行控制。此外,有分析稱,汽車最大的網(wǎng)絡(luò)安全隱患在云端,一組服務(wù)器可以監(jiān)控成千上萬(wàn)輛汽車的位置、行駛路線,甚至可以被用來(lái)操控制動(dòng)裝置和發(fā)動(dòng)機(jī)。
——車載診斷系統(tǒng)OBD或是造成汽車網(wǎng)絡(luò)風(fēng)險(xiǎn)的一個(gè)重要源頭
缺少私有加密協(xié)議而采用保護(hù)性差的開放通用協(xié)議是OBD最普遍的安全問題,而代碼沒有采用反逆向措施和用戶數(shù)據(jù)泄露是汽車應(yīng)用最常見的安全問題與潛在風(fēng)險(xiǎn)?,F(xiàn)在許多汽車廠商為了創(chuàng)造更好的互聯(lián)體驗(yàn),給予OBD更多權(quán)限,比如剎車等,黑客可以通過OBD往網(wǎng)絡(luò)里寫一些數(shù)據(jù)包攻擊這輛車。
互聯(lián)網(wǎng)汽車需練“金鐘罩”
車聯(lián)網(wǎng)產(chǎn)業(yè)要想健康發(fā)展,就必須解決智能汽車的安全問題。否則,出于對(duì)安全的考慮,消費(fèi)者將不會(huì)主動(dòng)接受智能汽車和各種智能汽車系統(tǒng),車聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展必將因此受阻。
——立法先行為智能汽車提供安全保障
要結(jié)合互聯(lián)網(wǎng)智能汽車帶來(lái)的安全、交通責(zé)任認(rèn)定等問題,制修訂相關(guān)法規(guī),從法律上對(duì)生產(chǎn)、使用互聯(lián)網(wǎng)智能汽車進(jìn)行規(guī)范。同時(shí),逐步建立和完善相關(guān)標(biāo)準(zhǔn),創(chuàng)新網(wǎng)絡(luò)化管理手段和方式,依托先進(jìn)信息技術(shù)對(duì)互聯(lián)網(wǎng)智能汽車進(jìn)行管理。
2014年10月,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院制定《車聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊防護(hù)安全框架》。今年,兩位美國(guó)參議員提議在汽車的程序中提供更多的防入侵保護(hù),尤其是在那些可能危及生命安全的關(guān)鍵零部件,為此,他們還特別提出了一個(gè)“汽車監(jiān)控法案”。歐盟智能交通系統(tǒng)實(shí)施計(jì)劃和2010/40/EU指令明確了智能交通應(yīng)用系統(tǒng)必須使用最小化的數(shù)據(jù),限制數(shù)據(jù)的使用,并對(duì)用戶數(shù)據(jù)進(jìn)行匿名化和集成化處理,以保證車聯(lián)網(wǎng)的安全。
——成立專職部門負(fù)責(zé)汽車網(wǎng)絡(luò)安全
在2013年,美國(guó)國(guó)家公路交通安全管理局已經(jīng)認(rèn)識(shí)到汽車內(nèi)需要安置不兼容系統(tǒng),并設(shè)立了專門機(jī)構(gòu),負(fù)責(zé)車輛網(wǎng)絡(luò)安全問題。澳大利亞政府于2011年成立了交通與設(shè)施常務(wù)委員會(huì)以負(fù)責(zé)智能交通的推廣與實(shí)施,其中安全防護(hù)和隱私保護(hù)一直是智能交通實(shí)施中的核心問題。
——產(chǎn)業(yè)聯(lián)盟合作助智能汽車發(fā)展良性循環(huán)
智能汽車是一條完整的生態(tài)鏈,因此以互聯(lián)網(wǎng)企業(yè)和汽車企業(yè)為主體組建產(chǎn)業(yè)聯(lián)盟,吸引更多的汽車企業(yè)和互聯(lián)網(wǎng)企業(yè)參與,更好地發(fā)揮兩者的技術(shù)優(yōu)勢(shì),形成合力。同時(shí),還應(yīng)發(fā)揮政府部門的引導(dǎo)作用,并以特殊產(chǎn)業(yè)政策給予支持。比如美國(guó)汽車制造商聯(lián)盟和全球汽車制造商協(xié)會(huì)就成立了共同機(jī)構(gòu),以共享對(duì)汽車安全構(gòu)成威脅的網(wǎng)絡(luò)安全信息。
——智能汽車時(shí)代需打造自主芯片和核心技術(shù)
智能汽車的核心技術(shù)相對(duì)還較缺失,關(guān)鍵零部件先進(jìn)傳感器技術(shù)全部來(lái)自國(guó)外,長(zhǎng)期被國(guó)外企業(yè)所壟斷。芯片在汽車領(lǐng)域的用途非常廣泛,沒有芯片汽車就無(wú)法運(yùn)行。除了常見的多媒體娛樂系統(tǒng)、智能鑰匙和自動(dòng)泊車系統(tǒng)外,芯片還廣泛應(yīng)用在汽車發(fā)動(dòng)機(jī)和變速箱控制系統(tǒng)、安全氣囊、駕駛輔助等系統(tǒng)中,堪稱汽車的神經(jīng)。出于網(wǎng)絡(luò)安全的考慮,車聯(lián)網(wǎng)的芯片、軟件等應(yīng)盡可能國(guó)產(chǎn)化。