網絡安全隱患 堵在智能汽車起跑線上

人工智能、大數據、物聯網等新技術的誕生和廣泛應用,導致汽車業出現顛覆性變革的同時,巨大的不確定性和無處不在的網絡安全隱患,又將這一產業推至懸崖邊。

汽車業頻現網絡安全事件

令特斯拉CEO馬斯克萬萬沒有想到的是,特斯拉號稱獨步天下的自動駕駛技術會成爲其被詬病的“槽點”之一。

近日,一則拍攝於福建廈門視頻顯示,一輛特斯拉獨自在隧道內行駛,此時兩邊的車道並沒有其他車輛,不過特斯拉的中控大屏裡卻顯示右側有公交車經過。

當事人稱,類似公交車的物體只在隧道前半程出現過,而後半程則消失不見,奇怪的是當時隧道內並沒有其他車輛出現。

事後,特斯拉方面給出的答覆是,這有可能是車載雷達出現了誤偵測的情況。

無獨有偶,2021年1月,國外一位特斯拉車主也在Twitter上傳了一則引發熱議的視頻:這輛特斯拉汽車經過一處墓地時,雷達能隱隱約約識別到人的輪廓,中控屏上也出現了衆多“行人”,然而此時路面上卻一個人都沒有。

不可否認,特斯拉的自動輔助駕駛技術有其獨到之處,但雷達誤偵測卻成爲埋在駕駛者身邊的定時炸彈。不少特斯拉車主吐槽說,在開啓了Autopolit(自動駕駛系統功能後,特斯拉很容易將路旁的各種標牌誤認爲是限速或停車標誌,然後系統會採取自動剎車的操作。這樣一來,原本爲了解放駕駛者雙手,提供更加便捷、智能體驗的自動駕駛功能,卻成了潛在的巨大風險

事實上,這已不是特斯拉第一次暴露出汽車網絡安全方面的問題:早在2015年,黑客就曾入侵了特斯拉Model S(參數丨圖片)的車載系統,導致其在行駛過程中突然熄火;2017年,來自360公司和騰訊公司的安全技術人員分別展示瞭如何“無鑰匙”遠程進入特斯拉的車載系統和電網系統;2020年,全球更是發生了多起特斯拉App宕機事件,致使手機無法與車輛進行鏈接,車主處於“盲開”狀態,甚至有些車主被鎖在車中,對車主的行車安全和人身安全構成了威脅

當然,類似的事件並不只是發生在特斯拉汽車上。2015年7月,兩位著名白帽黑客查理·米勒以及克里斯·瓦拉塞克曾入侵了一輛Jeep自由光的Uconnect車載系統,通過軟件遠程向該系統發送指令,啓動了車上的各種功能。2016年,日產汽車不得不關閉其專爲Leaf系列開發的應用程序Nissan Connected EV,因爲他們發現,黑客可以侵入汽車系統,控制電池操作等功能,以耗盡電池。此外,奧迪、保時捷、賓利蘭博基尼等大衆旗下品牌的Megamos Crypto防護系統也都被黑客攻破過。

業界認爲,相對傳統汽車廠商而言,特斯拉無疑在網絡安全防護方面表現得更好一些,但依然無法有效防範各種漏洞利用、數據泄露和服務中斷等問題,這無疑讓人們對汽車網絡安全捏了一把汗。

汽車網絡安全防護還很薄弱

顯然,我們不得不面對這樣一個事實,當汽車越來越智能,隨之而來的風險也越來越大。

據業界透露,近兩年汽車網絡安全攻擊方式日趨多樣化,除了傳統的攻擊手法,還出現了利用超聲波的“海豚音”攻擊、利用照片以及馬路標識線的AI攻擊等手段,且攻擊路線也變得越來越複雜化,導致汽車網絡安全問題日益嚴峻。

華爲智能汽車解決方案BU、標準總監高永強表示:“從風險類型來看,我們認爲當下智能汽車面臨的網絡安全威脅主要有七類,分別是手機App和雲端服務器漏洞,不安全的外部連接,遠程通信接口漏洞,不法分子反向攻擊服務器以獲取數據,車載網絡指令被篡改,車載部件系統因固件刷寫、提取、植入病毒等被破壞。”

汽車之所以會成爲繼智能手機後網絡攻擊的又一個“靶子”,一個關鍵的原因在於,隨着汽車產業智能化網聯化、共享化、電動化爲特徵的“新四化”方向狂飆邁進,車內功能較之前有了大幅度的增加,車與車、終端應用、路邊基礎設施以及雲端之間的聯通也隨之大大增強,由此導致更多的信息安全接入點和風險點被暴露出來。

以車載軟件爲例,數據很直觀地告訴了我們汽車網絡安全存在的風險有多大。卡耐基梅隆大學軟件工程學院的一份報告指出,在美國開發的代碼平均每個功能點會有0.75個缺陷,每百萬行代碼就會有大約6000個缺陷或漏洞,而代碼要達到“很好”這一級別,每百萬行代碼的缺陷或漏洞數量應控制在600個至1000個之內,如果達到“優異”級別,每百萬行代碼的缺陷或漏洞數量就要控制在600個以內。

也就是說,即使所有代碼都達到了“很好”這一級別,按照目前汽車平均擁有一億行代碼來計算,每輛智能汽車就可能存在10萬個缺陷或漏洞。而這些缺陷以及漏洞會造成什麼樣的風險,沒有人可以預測。

此外,目前汽車行業在信息安全方面的防護基礎整體還較爲薄弱。據中國信息通信研究院副院長餘曉暉介紹,僅在汽車端就有三類問題較爲突出:首先,受限於成本、技術成熟度等因素,目前車內防護仍以軟件措施爲主,身份認證、加密隔離等應用不足;其次,對關鍵零部件、整車系統級軟硬件的風險評估能力不足;第三,網絡安全測試評價基礎薄弱,在車內部件、整車等方面測試驗證能力不足,整車滲透還主要依賴於人工實施,滲透深度和水平缺乏可量化評估標準。

網絡安全成爲汽車“標配

新技術的運用往往具有兩面性,具體到汽車產業而言,人工智能、大數據、物聯網等新技術的誕生和廣泛應用,一方面導致汽車產業出現顛覆性變革,汽車不再只是孤立的交通工具,而是成爲融入互聯互通體系的信息終端,並可能逐漸成爲國家關鍵信息基礎設施的重要組成部分;另一方面,巨大的不確定性和無處不在的網絡安全隱患,又將這一行業推至懸崖邊,始終戰戰兢兢,如履薄冰。

面對日益嚴峻的形勢,汽車網絡安全方面的需求正變得越來越緊迫,並開始成爲汽車的“標配”。

業界認爲,汽車的信息安全問題,從小的層面上說,它威脅到了個人的人身安全和用戶隱私泄露,而從大的層面上看,它也會影響社會的穩定,並帶來公衆恐慌。可以說,一個沒有安全保障的汽車智能網聯繫統在將來沒有任何生存和發展的空間。因此,無論是整車廠、零部件製造商還是第三方網絡安全解決方案提供商,都應強化汽車信息安全方面的能力,共同建立智能網聯汽車網絡安全的防護體系。

“沒有網絡安全,一切無從談起。”中國工程院院士沈昌祥表示,汽車網絡空間比想象的脆弱很多,傳統的“封堵查殺”已經難以應對網絡攻擊,必須建立起主動免疫的計算架構,達到計算結果全程可測可控,防護與計算並存的主動免疫模式。

而在國家互聯網應急中心研究員王永健看來,在5G高速發展的背景下,安全應該跑在速度前。他建議,在技術監測手段上,要建立基於深度學習等技術的智能異常流量監測機制,提升汽車網絡安全防護能力;研究基於5G認證框架的通信加密算法,構建可信的“人-車-路-雲”協同通信;同時加強異常強幹擾監測定位技術的研究,實現對衛星導航等系統的異常干擾源位置的協同定位。

國汽(北京)智能網聯汽車研究院有限公司總經理助理劉衛國則從政策層面給出了建議。他認爲,智能網聯汽車的發展應上升到國家戰略並進行屬地化管理,而且需要發展智能網聯汽車的共性基礎技術平臺,爲整個智能網聯汽車產業做支撐。不過,目前整個行業還存在只做智能化或者只做網聯化的情況,只有兩者的有效結合,才能把整個系統建成閉環。(傅勇