2019年,5G技術(shù)正式商用。它在加速汽車產(chǎn)業(yè)智能化、為消費者提供更便捷用車生活的同時,也增加汽車信息安全維護的難度。汽車信息安全之于汽車企業(yè),一如手機信息安全之于手機制造商。
我國汽車信息安全處于怎樣的狀態(tài)?汽車信息安全是否存在嚴重漏洞?未來汽車信息安全將怎樣發(fā)展?汽車信息安全能否改變汽車產(chǎn)業(yè)生態(tài)或者延展汽車產(chǎn)業(yè)鏈?帶著這些問題,記者采訪了多位業(yè)內(nèi)專家,揭秘汽車信息安全黑洞,探索如何建立汽車信息安全防護墻。
汽車信息安全系統(tǒng)風險系數(shù)高
由于早期的計算機不聯(lián)網(wǎng)、不存在網(wǎng)絡(luò)攻擊問題,為追求高計算速度及高效率,網(wǎng)絡(luò)體系結(jié)構(gòu)中并沒有防護部件。中國工程院院士沈昌祥表示,這種“無序社會”的計算模式問題表現(xiàn)為重大的網(wǎng)絡(luò)工程應(yīng)用,僅僅是功能的堆砌,并無安全服務(wù)。由于安全設(shè)計的缺失或不足,網(wǎng)絡(luò)體系結(jié)構(gòu)中也存在大量軟硬件缺陷。這種計算安全問題,隨著車輛搭載了諸多計算系統(tǒng)并聯(lián)網(wǎng),也出現(xiàn)在汽車信息安全領(lǐng)域。
車輛信息安全領(lǐng)域從2016年起開始出現(xiàn)攻擊事件,大部分車企從2017年開始意識到信息安全問題,并在2018年采取行動,布局汽車信息安全板塊。目前,國內(nèi)外車企都在積極布局汽車安全體系。國家工信部網(wǎng)絡(luò)安全管理局處長付景廣表示,隨著車輛開放連接的逐漸增多,相關(guān)設(shè)備系統(tǒng)間數(shù)據(jù)交互更為緊密,網(wǎng)絡(luò)攻擊、木馬病毒、數(shù)據(jù)竊取等互聯(lián)網(wǎng)安全威脅也逐漸延伸至汽車領(lǐng)域。一旦車載系統(tǒng)和關(guān)鍵零部件、車聯(lián)網(wǎng)平臺等遭受網(wǎng)絡(luò)攻擊,VPS租用,可導致車輛被非法控制,進而造成隱私泄露、財產(chǎn)損失甚至人員傷亡。網(wǎng)絡(luò)安全已經(jīng)成為車聯(lián)網(wǎng)產(chǎn)業(yè)健康發(fā)展的基礎(chǔ)和前提。
騰訊科恩實驗室車聯(lián)安全技術(shù)專家范士雄認為,車輛以往通用的架構(gòu)是基于車輛是一個封閉系統(tǒng)的情景,因而缺少對信息安全防護的考慮,例如車內(nèi)常用的CAN通訊協(xié)議就缺乏加密保護和身份認證。現(xiàn)在車企為了追求車輛網(wǎng)聯(lián)化,直接將現(xiàn)有架構(gòu)接入互聯(lián)網(wǎng)中,因此原本封閉系統(tǒng)中的安全漏洞就會都暴露在互聯(lián)網(wǎng)中,成為攻擊者的目標。車輛信息安全是車企在網(wǎng)聯(lián)化過程中必然會遇到的問題。與此同時,未來車輛會引入越來越多的信息化技術(shù),如自動駕駛、V2X等,每個新的技術(shù)都可能會成為一個新的攻擊點面。車輛智能化和信息化程度會越來越高,這也就意味著攻擊者可以利用信息化中的漏洞獲得更多的控制權(quán)限,導致更嚴重的功能安全問題,如可以利用車聯(lián)網(wǎng)平臺中的漏洞實現(xiàn)車輛的群體控制等。所以在汽車產(chǎn)業(yè)智能化和網(wǎng)聯(lián)化的過程中,信息安全一定會成為其首要考量的問題,成為汽車功能安全的一部分。智能網(wǎng)聯(lián)汽車將持續(xù)面臨敏感數(shù)據(jù)泄露和未授權(quán)控車的風險,一旦被不法分子攻擊,就會威脅人身安全甚至公共安全。
中國汽車工程研究院(以下簡稱“中國汽研”)特聘專家鄭光偉強調(diào),車企在傳統(tǒng)汽車安全領(lǐng)域已經(jīng)有了多年積累,使得車輛本身的安全性能已經(jīng)達到了不錯的水平,但在信息安全方面,車企做得還遠遠不夠,這很大程度程序上與汽車信息安全的復雜性有關(guān)。車輛的信息安全涉及到云端、管端和車內(nèi)三個系統(tǒng),尤其是車內(nèi)交互系統(tǒng)為車輛信息安全帶來更大的挑戰(zhàn)。“車內(nèi)信息系統(tǒng)是一個復雜的系統(tǒng),智能網(wǎng)聯(lián)化的汽車交互方式更為多樣化和互聯(lián)網(wǎng)化,尤其是加入‘人’這個更為復雜的主體,讓車內(nèi)信息安全的維護難度不斷加大。”鄭光偉強調(diào),這種復雜性給汽車信息安全乃至汽車安全帶來巨大風險的同時,也要求信息安全必須得到重視。長安汽車智能汽車云負責人蔡春茂也表示,車輛信息安全首先要保障云端的安全,包括手機接入的安全等;其次,要確保管端的安全,確保車載控制器的安全,防止黑客利用系統(tǒng)漏洞進行攻擊;最后還要確保,未來車載以太網(wǎng)升級后,車輛的計算能力、軟件能力增強后車載軟件系統(tǒng)的安全性。針對車輛信息安全問題的產(chǎn)生,鄭光偉認為汽車信息安全問題不僅存在車輛生產(chǎn)階段,在使用階段也存在。為此必須在于生產(chǎn)階段加強安全保障的同時,加強使用階段的信息安全維護。
范士雄表示,在車聯(lián)網(wǎng)信息安全上,車端主要涉及的網(wǎng)聯(lián)部件包括上層的車機娛樂系統(tǒng)、T-Box聯(lián)網(wǎng)模塊、車內(nèi)網(wǎng)關(guān)以及車輛底層的各個ECU模塊。除了車端之外,還會包含云端車聯(lián)網(wǎng)平臺和車輛手機App終端。針對不同的零部件,主要安全威脅也不盡相同。常見的安全威脅包括藍牙、Wifi等無線協(xié)議棧的安全漏洞,OTA升級安全防護缺陷,網(wǎng)絡(luò)通訊被劫持等。目前多個公開的安全研究案例已經(jīng)表明,車聯(lián)網(wǎng)中信息安全漏洞最終可以導致車輛核心的動力系統(tǒng)、轉(zhuǎn)向系統(tǒng)被遠程控制,從而導致嚴重的車輛功能性安全問題。
