汽车业频现网络安全事件
令特斯拉CEO马斯克万万没有想到的是,特斯拉号称独步天下的自动驾驶技术会成为其被诟病的“槽点”之一。
近日,一则拍摄于福建厦门的视频显示,一辆特斯拉独自在隧道内行驶,此时两边的车道并没有其他车辆,不过特斯拉的中控大屏里却显示右侧有公交车经过。
当事人称,类似公交车的物体只在隧道前半程出现过,而后半程则消失不见,奇怪的是当时隧道内并没有其他车辆出现。
事后,特斯拉方面给出的答复是,这有可能是车载雷达出现了误侦测的情况。
无独有偶,2021年1月,国外一位特斯拉车主也在Twitter上传了一则引发热议的视频:这辆特斯拉汽车经过一处墓地时,雷达能隐隐约约识别到人的轮廓,中控屏上也出现了众多“行人”,然而此时路面上却一个人都没有。
不可否认,特斯拉的自动辅助驾驶技术有其独到之处,但雷达误侦测却成为埋在驾驶者身边的定时炸弹。不少特斯拉车主吐槽说,在开启了Autopolit(自动驾驶系统)功能后,特斯拉很容易将路旁的各种标牌误认为是限速或停车标志,然后系统会采取自动刹车的操作。这样一来,原本为了解放驾驶者双手,提供更加便捷、智能体验的自动驾驶功能,却成了潜在的巨大风险。
事实上,这已不是特斯拉第一次暴露出汽车网络安全方面的问题:早在2015年,黑客就曾入侵了特斯拉Model S的车载系统,导致其在行驶过程中突然熄火;2017年,来自360公司和腾讯公司的安全技术人员分别展示了如何“无钥匙”远程进入特斯拉的车载系统和电网系统;2020年,全球更是发生了多起特斯拉App宕机事件,致使手机无法与车辆进行链接,车主处于“盲开”状态,甚至有些车主被锁在车中,对车主的行车安全和人身安全构成了威胁。
当然,类似的事件并不只是发生在特斯拉汽车上。2015年7月,两位著名白帽黑客查理·米勒以及克里斯·瓦拉塞克曾入侵了一辆Jeep自由光的Uconnect车载系统,通过软件远程向该系统发送指令,启动了车上的各种功能。2016年,日产汽车不得不关闭其专为Leaf系列开发的应用程序Nissan Connected EV,因为他们发现,黑客可以侵入汽车系统,控制电池操作等功能,以耗尽电池。此外,奥迪、保时捷、宾利和兰博基尼等大众旗下品牌的Megamos Crypto防护系统也都被黑客攻破过。
业界认为,相对传统汽车厂商而言,特斯拉无疑在网络安全防护方面表现得更好一些,但依然无法有效防范各种漏洞利用、数据泄露和服务中断等问题,这无疑让人们对汽车网络安全捏了一把汗。
汽车网络安全防护还很薄弱
显然,我们不得不面对这样一个事实,当汽车越来越智能,随之而来的风险也越来越大。
据业界透露,近两年汽车网络安全攻击方式日趋多样化,除了传统的攻击手法,还出现了利用超声波的“海豚音”攻击、利用照片以及马路标识线的AI攻击等手段,且攻击路线也变得越来越复杂化,导致汽车网络安全问题日益严峻。
华为智能汽车解决方案BU、标准总监高永强表示:“从风险类型来看,我们认为当下智能汽车面临的网络安全威胁主要有七类,分别是手机App和云端服务器漏洞,不安全的外部连接,远程通信接口漏洞,不法分子反向攻击服务器以获取数据,车载网络指令被篡改,车载部件系统因固件刷写、提取、植入病毒等被破坏。”
汽车之所以会成为继智能手机后网络攻击的又一个“靶子”,一个关键的原因在于,随着汽车产业向智能化、网联化、共享化、电动化为特征的“新四化”方向狂飙迈进,车内功能较之前有了大幅度的增加,车与车、终端应用、路边基础设施以及云端之间的联通也随之大大增强,由此导致更多的信息安全接入点和风险点被暴露出来。
以车载软件为例,数据很直观地告诉了我们汽车网络安全存在的风险有多大。卡耐基梅隆大学软件工程学院的一份报告指出,在美国开发的代码平均每个功能点会有0.75个缺陷,每百万行代码就会有大约6000个缺陷或漏洞,而代码要达到“很好”这一级别,每百万行代码的缺陷或漏洞数量应控制在600个至1000个之内,如果达到“优异”级别,每百万行代码的缺陷或漏洞数量就要控制在600个以内。
也就是说,即使所有代码都达到了“很好”这一级别,按照目前汽车平均拥有一亿行代码来计算,每辆智能汽车就可能存在10万个缺陷或漏洞。而这些缺陷以及漏洞会造成什么样的风险,没有人可以预测。
此外,目前汽车行业在信息安全方面的防护基础整体还较为薄弱。据中国信息通信研究院副院长余晓晖介绍,仅在汽车端就有三类问题较为突出:首先,受限于成本、技术成熟度等因素,目前车内防护仍以软件措施为主,身份认证、加密隔离等应用不足;其次,对关键零部件、整车系统级软硬件的风险评估能力不足;第三,网络安全测试评价基础薄弱,在车内部件、整车等方面测试验证能力不足,整车渗透还主要依赖于人工实施,渗透深度和水平缺乏可量化评估标准。
网络安全成为汽车“标配”
新技术的运用往往具有两面性,具体到汽车产业而言,人工智能、大数据、物联网等新技术的诞生和广泛应用,一方面导致汽车产业出现颠覆性变革,汽车不再只是孤立的交通工具,而是成为融入互联互通体系的信息终端,并可能逐渐成为国家关键信息基础设施的重要组成部分;另一方面,巨大的不确定性和无处不在的网络安全隐患,又将这一行业推至悬崖边,始终战战兢兢,如履薄冰。
面对日益严峻的形势,汽车网络安全方面的需求正变得越来越紧迫,并开始成为汽车的“标配”。
业界认为,汽车的信息安全问题,从小的层面上说,它威胁到了个人的人身安全和用户隐私泄露,而从大的层面上看,它也会影响社会的稳定,并带来公众恐慌。可以说,一个没有安全保障的汽车智能网联系统在将来没有任何生存和发展的空间。因此,无论是整车厂、零部件制造商还是第三方网络安全解决方案提供商,都应强化汽车信息安全方面的能力,共同建立智能网联汽车网络安全的防护体系。
“没有网络安全,一切无从谈起。”中国工程院院士沈昌祥表示,汽车网络空间比想象的脆弱很多,传统的“封堵查杀”已经难以应对网络攻击,必须建立起主动免疫的计算架构,达到计算结果全程可测可控,防护与计算并存的主动免疫模式。
而在国家互联网应急中心研究员王永健看来,在5G高速发展的背景下,安全应该跑在速度前。他建议,在技术监测手段上,要建立基于深度学习等技术的智能异常流量监测机制,提升汽车网络安全防护能力;研究基于5G认证框架的通信加密算法,构建可信的“人-车-路-云”协同通信;同时加强异常强干扰监测定位技术的研究,实现对卫星导航等系统的异常干扰源位置的协同定位。
国汽(北京)智能网联汽车研究院有限公司总经理助理刘卫国则从政策层面给出了建议。他认为,智能网联汽车的发展应上升到国家战略并进行属地化管理,而且需要发展智能网联汽车的共性基础技术平台,为整个智能网联汽车产业做支撑。不过,目前整个行业还存在只做智能化或者只做网联化的情况,只有两者的有效结合,才能把整个系统建成闭环。(记者 傅勇)