一個智商165的人，他是現(xiàn)實世界里的失敗者，卻是網(wǎng)絡(luò)中的頂尖黑客。他可以追蹤到任何一個人的信息，先后入侵國際金融系統(tǒng)和國家安全局。這就是電影《沒有絕對安全的系統(tǒng)》中所描述的情景。

現(xiàn)如今，汽車也正演變成一個漏洞越來越多的“系統(tǒng)”。2014年的黑客攻擊致克萊斯勒140萬輛汽車召回；2019年奔馳被發(fā)現(xiàn)19個安全漏洞，波及200多萬輛汽車。近段時間，大眾、福特、現(xiàn)代、豐田等接連被曝出存在安全漏洞。不幸的是，最壞的時候還沒有到來……有專家預(yù)測，2025年前后汽車網(wǎng)絡(luò)攻擊可能會大爆發(fā)。

30秒快速閱讀：
1、當(dāng)前，數(shù)字鑰匙的安全漏洞問題最為嚴(yán)重。隨著自動駕駛、5G車聯(lián)等逐步成熟，汽車信息安全形勢日益嚴(yán)峻。
2、行業(yè)對汽車信息安全高度關(guān)注，用戶卻沒有明顯感知。手機被攻破頂多“傷財”，而汽車安全漏洞卻能“害命”。
3、比之海外品牌，現(xiàn)存的中國品牌汽車在信息安全方面相對偏弱。OTA（空中升級）將是“堵”漏洞的重要手段。

● 汽車“漏洞”越來越多，安全攻擊快速增長

汽車信息安全與車聯(lián)網(wǎng)關(guān)系密切，汽車越“獨立”，信息安全問題越小，反之越嚴(yán)重。2015年起，車企逐步深化網(wǎng)聯(lián)功能，汽車網(wǎng)絡(luò)入侵事件也日益增多。中國汽車技術(shù)研究中心曾對市面上的70余輛汽車進(jìn)行信息安全能力測試，發(fā)現(xiàn)2000個以上數(shù)據(jù)漏洞。七大攻擊入口主要為：網(wǎng)絡(luò)架構(gòu)、車載信息娛樂系統(tǒng)、T-BOX、云平臺、App、ECU及無線電。

當(dāng)前，汽車數(shù)字鑰匙的安全漏洞問題最為嚴(yán)重。車主通過手機App就能解鎖車輛、啟動汽車或遙控泊車，然而整條鏈路的安全性并不“健壯”。2019年，有黑客僅用30秒就偷走一輛Model S。2019年前10個月，英國發(fā)生14000多起利用數(shù)字鑰匙漏洞盜竊汽車的案件，作案時間通常都不到30秒。

數(shù)字鑰匙漏洞還只是“冰山一角”。近一兩年，汽車網(wǎng)絡(luò)安全攻擊事件呈現(xiàn)出快速增長趨勢。有統(tǒng)計數(shù)據(jù)顯示，2019年公開報道的針對智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全攻擊的事件差不多是2018年的兩倍。

未來，汽車所面臨的信息安全處境有可能“更糟”。5G興起，加速汽車“觸網(wǎng)”；智能汽車的發(fā)展，堅定了車企走“軟件定義硬件”的道路。然而，越多的觸點意味著越多的風(fēng)險，越多的代碼行段必然帶來越多的BUG（當(dāng)前汽車軟件代碼量達(dá)上億行）。

『特斯拉Model S』

騰訊科恩實驗室車聯(lián)安全技術(shù)專家范士雄稱，“車聯(lián)網(wǎng)安全還處在初期階段。科恩實驗室曾做過量化評估，如果手機的安全分?jǐn)?shù)是100分，那么當(dāng)前車聯(lián)網(wǎng)安全也就六七十分的水平?！绷硪晃黄囆畔踩珜＜冶硎荆拔磥?，汽車安全漏洞會越來越多。”該人士認(rèn)為，現(xiàn)在還沒有到真正爆發(fā)的時候，當(dāng)自動駕駛汽車大規(guī)模起量時，形勢會更加嚴(yán)峻，時間節(jié)點可能是2025年前后。

● 用戶沒有明顯感知，汽車安全攻擊卻可“害命”

人們對汽車安全漏洞的關(guān)注似乎一直停留在B端，C端用戶好像并沒有明顯的感知。好比今天電腦和智能手機如此發(fā)達(dá)，用戶依然對網(wǎng)絡(luò)安全沒有切身感受。

面對如此現(xiàn)狀，從業(yè)者也在思考，汽車信息安全的需求到底是什么？任何一項功能、服務(wù)的應(yīng)用，都是用戶有需求，車企才會去做部署。汽車信息安全，理論上也應(yīng)是如此。

『2014年被入侵后失控的克萊斯勒汽車』

那么，為何C端用戶沒有感知呢？上述不具名安全專家認(rèn)為，首先，當(dāng)前智能網(wǎng)聯(lián)汽車的數(shù)量還不夠多，相較于存量傳統(tǒng)汽車而言可謂“九牛一毛”。其次，與手機/電腦相比，汽車安全攻擊門檻更高，黑客自己先要有車作為“研究”對象，同時還要足夠強的汽車專業(yè)知識。

更關(guān)鍵的原因在于，當(dāng)前汽車網(wǎng)絡(luò)攻擊的“黑色產(chǎn)業(yè)鏈”尚未成熟?！昂诋a(chǎn)利用”的商業(yè)價值有限，還不如“黑”手機/電腦勒索錢財來得更直接。范士雄表示，當(dāng)前汽車網(wǎng)絡(luò)攻擊多以車企的云數(shù)據(jù)平臺為主，這比起入侵單獨的一輛汽車來說非法獲利空間大多了。

手機/電腦被攻破頂多“傷財”，汽車安全漏洞卻可能“害命”，這才是問題的關(guān)鍵所在。汽車信息安全所面臨的“威脅”主要體現(xiàn)在兩方面：一是影響范圍，比如通過云平臺漏洞可以批量控制多少車；二是影響程度，入侵信息娛樂系統(tǒng)的危害有限，但如果底層控制系統(tǒng)（如剎車、轉(zhuǎn)向、動力等）被攻破，就能夠“害命”。假如“范圍”和“程度”兩個條件同時滿足，有可能造成“群死群傷”。

好的一面是，我國對互聯(lián)網(wǎng)的管理非常嚴(yán)格，同時車企極其注重汽車產(chǎn)品安全，未來汽車信息安全問題不一定就像說得那么嚴(yán)重。糟糕的一面是，車聯(lián)網(wǎng)方興未艾，不清楚安全漏洞將如何被黑客利用，黑暗勢力依然隱藏在背后?？刂破囎鳛檎伟禋⒐ぞ?，或脅迫高速行駛的自動駕駛汽車?yán)账鞅忍貛?，這些情景不是沒人暢想過。

● 中國品牌車是“軟柿子”，但安全問題正快速改善

當(dāng)前所暴露出來的汽車安全漏洞入侵問題，其根源往往在數(shù)年前。因為汽車開發(fā)周期通常需要3-5年，而當(dāng)時車企在進(jìn)行開發(fā)時可能壓根就沒有預(yù)埋網(wǎng)絡(luò)安全設(shè)計。

在范士雄看來，上述情況是現(xiàn)如今汽車信息安全所面臨的最大挑戰(zhàn)。他認(rèn)為，“三五年前所開發(fā)的汽車并不完全是針對智能網(wǎng)聯(lián)設(shè)計的，也沒有考慮太多信息安全性，還認(rèn)為汽車只是一個相對‘獨立’的空間?，F(xiàn)在為了實現(xiàn)網(wǎng)聯(lián)功能，可能做小幅改動后就讓汽車去聯(lián)網(wǎng)，這相當(dāng)于把一個有很多漏洞的系統(tǒng)直接暴露在了網(wǎng)絡(luò)上?！?/p>

在存量車中，中國品牌國產(chǎn)車的信息安全問題最為突出。“中國品牌汽車就好像‘軟柿子’，屬于誰都能捏的那種?！鄙鲜霾痪呙踩珜＜曳Q，依據(jù)他們所做的測試研究，美系車很早就涉足車聯(lián)網(wǎng)，信息安全基礎(chǔ)比較好。日系講究精細(xì)化，加密做得特別好，即便車被‘黑’了你也控制不了。德系秉承‘工匠精神’，信息安全中規(guī)中矩，非常規(guī)范化。

不過，這種情況正在快速好轉(zhuǎn)，主要是車企對信息安全越來越重視，人才、預(yù)算等資源傾斜力度不斷加大。同時，專業(yè)的互聯(lián)網(wǎng)公司也在幫助車企建設(shè)信息安全能力。比如，騰訊科恩實驗室已經(jīng)與豐田、東風(fēng)等車企達(dá)成合作。他們一方面幫助車企建立安全評估和自治能力；另一方面也把技術(shù)能力轉(zhuǎn)換成自動化工具，幫助車企消除一些基礎(chǔ)的安全問題。

『通用凱迪拉克CT5全新電子電氣架構(gòu)』

除了不斷加大資源投入外，車企也針對未來智能汽車進(jìn)行產(chǎn)品開發(fā)。大眾、吉利、凱迪拉克等都陸續(xù)推出基于新電子電氣架構(gòu)的車型，在云端、通信鏈路、車端都會部署安全解決方案。以車端為例，將內(nèi)部網(wǎng)絡(luò)分區(qū)隔離，并采取嚴(yán)格的身份認(rèn)證，即便某一模塊被攻破，也不至于擴散到整車或其他車輛。而OTA技術(shù)的應(yīng)用，則使得未來的汽車能像手機一樣，通過不斷“打補丁”的方式堵住漏洞。

全文總結(jié)：

所謂道高一尺，魔高一丈。汽車信息安全永遠(yuǎn)處在“攻”與“防”的動態(tài)平衡中。攻要能突破防御才有存在的意義，防要能抵擋攻擊才能證明其價值。暫且不論汽車安全漏洞給用戶帶來的人身安全威脅，隱私數(shù)據(jù)保護(hù)必將面臨更大挑戰(zhàn)。智能汽車就是一個時刻在收集數(shù)據(jù)的“傳感器”，不管是個人行為數(shù)據(jù)、企業(yè)商業(yè)機密，還是國家層面的地理信息數(shù)據(jù)，都存在巨大的泄漏風(fēng)險。