五年內汽車被黑客攻擊事件激增20倍
在特斯拉被網絡高手悄無聲息地偷走了好幾回後,關於智能汽車的安全問題已經不是聳人聽聞的新聞。公衆也相信,四年前好萊塢大片《速度與激情8》中,黑客操縱大批“殭屍”汽車在曼哈頓街頭自殺式衝撞的場景,某一天在技術層面完全可能上演。
但“某一天”會很久嗎?真相是,這一天或許已經到來。
“在過去5年時間裡,汽車被攻擊的次數增長了20倍;黑客對智能汽車的攻擊快速增加,其中27.6%的攻擊涉及車輛控制。”這是在剛結束的第11屆中國汽車論壇上,華爲智能汽車解決方案BUCTO蔡建永分享的一組極具衝擊力的數據,它直觀地反映了汽車遭受黑客攻擊這一問題的嚴峻性。
媒體公開報道信息顯示,2019年,黑客通過入侵共享汽車App並改寫程序跟數據,盜走包含奔馳CLA、GLA小型SUV、Smartfortwo微型車等超100輛汽車。而目的爲盜竊的汽車攻擊並不算最壞的情況,更糟糕的情況是在汽車行駛過程中遭到攻擊。
“互聯網上的所有安全威脅都將平滑地向汽車蔓延。”蔡建永稱,電腦或者手機入侵最多損失個人的信息或者財產,而車輛受到入侵,尤其是車輛在高速行駛的時候受到入侵將導致車毀人亡。“如果汽車像Windows一樣(受到大量程序攻擊),這是不可接受的。”
Upstream Security發佈的《2019年全球汽車網絡安全報告》預測稱,在2018-2023年,網絡黑客攻擊或將導致汽車業折損近240億美元。這一切都顯示出,當汽車與PC一樣成爲了移動互聯網的載體,當車聯網和智能駕駛功能成爲車輛標配,汽車網絡安全的底線也將成爲最大的安全隱患。
黑客入侵的新目標
“當汽車成爲網絡空間的一個組成部分,就會像其他任何聯網的電子設備和計算機系統一樣,成爲黑客攻擊的目標,面臨嚴峻的網絡安全挑戰。”除了蔡建永,司法鑑定科學研究院副主任郭弘也在這場汽車行業的年度論壇上強調了汽車的互聯網安全問題。
在汽車系統尚未進入網絡時代之時,黑客入侵的入口還只是藍牙系統、CD播放器此類設備,這種攻擊方式需要近距離接觸車輛才能進行。但伴隨着車聯網的發展,黑客入侵的入口被極大地“拓寬”。並且黑客進行攻擊的地點也不再侷限於車輛附近。
網絡安全專家表示,隨着蜂窩通信網絡技術的發展,現在黑客可以在國家任何一個位置,對車發起攻擊。
在360集團集團工業互聯網安全研究院院長張建新看來,汽車領域的安全挑戰可以分爲三類,分別是軟件化編程、網聯化接入,以及數字化應用帶來的風險。其中,軟件化編程帶來代碼的漏洞,網聯化接入能讓黑客對車輛進行無物理接觸遠程攻擊。據媒體報道,早在2017年,信息安全公司卡巴斯基的分析師就已從大量高端汽車製造商的應用程序編碼中找出大量漏洞。
在這樣的情況下,PC時代的安全風險可能會在汽車上重演。蔡建永給出的2019年數據表示,移動互聯網上的惡意應用程序數量超過1300萬個,並以年複合增長率60%的速度高速增長;在Android移動終端上,每個月平均有80-90萬用戶受到攻擊。
“如果這一數字放到智能汽車上,那將產生災難性的影響。”蔡建永說。
在PC時代,“紅色代碼”、“熊貓燒香”等病毒曾入侵大量電腦系統,美國核電站、波蘭航空公司等企業、機構的操作系統遭黑客入侵事件,也曾引發世界範圍內的關注。
目前被認爲是智能化、網聯化代表之一的特斯拉,就曾被找出大量安全漏洞。張建新在介紹汽車所面臨的黑客攻擊風險時提到,早在2014年,也就是特斯拉第二款汽車產品ModelS發佈兩年後,其第一個漏洞就被360集團相關團隊發現,利用該缺陷,控制者能夠通過遠程控制實現開鎖、鳴笛等操作。
今年,特斯拉因攝像頭記錄了駕駛員的面部特徵以及車內大部分空間而陷入“隱私門”,其中的監控錄像就是一名黑客入侵汽車後曝光的信息。
而除了網絡、程序技術帶來的安全風險,自動駕駛、人工智能等數字化技術的應用也讓汽車的安全風險增加。在有關數字化應用的攻擊方式中,黑客往往通過對車輛周圍信息進行“投毒”來誤導“大數據”和“人工智能”、“自動駕駛系統”。據媒體報道,2020年,網絡安全公司邁克菲(McAfee)就通過用黑色膠帶改變限速牌數字的方式,使得特斯拉自動駕駛系統對速度做出錯誤判斷,從而超速行駛。
《智能網聯汽車技術路線圖2.0》指出,PA(部分自動駕駛)、CA(有條件自動駕駛)級智能網聯汽車滲透率將在2025年達到50%,2030年將超過70%。在此背景下,解決“汽車黑客”的威脅已成爲車企、消費者、網絡安全企業三方的共同期望。
有意思的是,在智能汽車時代,黑客不只會傷害車主,甚至會“傷害”車企。據媒體報道,一些車主會買來設備“黑”掉自己的車,這是因爲,基於智能汽車的OTA(空中下載技術)功能,部分車主能夠自行在“汽車商店”中購買有如座椅加熱、增加電池續航、增強馬力的車輛功能,這都將通過系統設置來進行解鎖,而“黑”掉系統就能讓車主免費獲得以上功能。去年,特斯拉曾針對此類非法改裝發出警告,但該警告並未影響汽車正常行駛。
多路修補“防火牆”
在車聯網和“軟件定義汽車”的趨勢下,同樣被定義的是汽車風險指數的激增。蔡建永指出,目前汽車的關鍵代碼規模提升了10-100倍,代碼漏洞呈指數級增長。綠盟科技產品總監劉嘉奇同樣認爲,對網聯車來說,更多是軟件代碼帶來了風險的增加。
而實際上,爲了解決這些安全風險,“白帽黑客”式策略一直都在汽車安全業內上演。在有關汽車安全漏洞的問題上,“白帽黑客”們早已嶄露頭角。“白帽黑客”指爲網絡安全機構服務的網絡技術專家,工作內容爲尋找、提交漏洞甚至修復漏洞。
據公開報道,2015年,兩個安全專家發現了大切諾基(參數丨圖片)互動娛樂系統上的漏洞,克萊斯勒(Chrysler)爲應對此事召回140萬輛汽車,負擔1.05億美元的民事責任賠償以及數億美元的損失;騰訊科恩實驗室分別在2016年、2017年兩次利用特斯拉多個高危安全漏洞實現對車輛的無物理接觸遠程攻擊,隨後將其發現的安全漏洞交與特斯拉。
張建新也舉例稱,2020年,360集團安全團隊發現奔馳智能網聯汽車有關的安全漏洞細節,披露及協助其修復了19個安全漏洞。
此外,在汽車使用過程中,像“殺毒軟件”一樣對汽車進行監管也被認爲是保障汽車安全的重要途徑。“(做新能源車的監管)是很重要的一點,(要有)監管和響應的能力,我們要做車信息的收集,實時判斷哪些事情有異常,做好安全事件的應急響應。”劉嘉奇同時認爲,修復汽車中的漏洞時可以進行分級處理,應該最先解決最危險的漏洞,而風險不大的漏洞算不到特別優先級重要的程度。
值得注意的是,在政策層面上,國內車聯網相關體系、標準已在建立之中。6月21日,工信部就《車聯網(智能網聯汽車)網絡安全標準體系建設指南》公開徵求意見,其提出了車聯網安全標準體系框架、重點標準化領域及方向。
蔡建永指出,以美歐爲代表的國家,已制定完善的法規與監管標準,這些法規將在未來2-4年逐步發佈;而在國內,未來3年也將是相關的監管與法規的集中發佈期。
不過,業內認爲,明確法規與監管標準並不足以防患於未然。“標準化、體系化解決的是安全有無的問題,但在這之後,這個車聯網就真正安全了嗎?並不是。”張建新稱,車一定是有漏洞的,聯網導致攻擊面擴大,新的技術引入帶來了新的風險點,一定會有新的問題源源不斷地出現。
在張建新的理解中,要解決問題,必須從實戰來考慮。而所謂“實戰”,即安全機構對汽車的攻擊將更加真實地進行,這與“白帽黑客”所做工作相差不大。
在智能化、網聯化變革如火如荼的背景下,汽車網絡安全正在得到前所未有的重視。無論是車企、軟件供應商,還是PC時代的網絡安全巨頭,都在謀篇佈局以應對新型智能終端設備——汽車上的安全變革。不過,這僅僅是車聯網安全防護的一個起點。正如“魔高一尺,道高一丈”的俗語一般,網絡技術的更迭進階不會停止,黑客與“白帽”之間的較量亦無停歇。