日前,一名19岁的青少年声称远程入侵了13个国家的超过25辆特斯拉汽车,并在一系列推文中表示,他在特斯拉的系统中发现一处软件漏洞,这个软件漏洞使他能够访问电动汽车先驱的系统。
这位青少年自称是信息技术专家大卫科伦坡(David Colombo),他在社交媒体上表示,该软件缺陷使他能够解锁门窗、无需钥匙启动汽车并禁用其安全系统。他还声称,他不仅可以远程控制,还能查看车内是否有司机,打开车辆的立体声系统并闪烁前灯。
软件漏洞频出 安全问题突出
过去的几年中,特斯拉多次遭到黑客入侵。
曾有多家网络安全公司的研究人员已经证明,特斯拉可以被黑客轻松入侵,甚至在许多情况下可以被远程入侵。
早在2014年,也就是特斯拉第二款汽车产品Model S发布两年后,其第一个漏洞就被360集团相关团队发现,利用该缺陷,控制者能够通过远程控制实现开锁、鸣笛等操作。
2020年,特斯拉因摄像头记录了驾驶员的面部特征以及车内大部分空间而陷入“隐私门”,其中的监控录像就是一名黑客入侵汽车后曝光的信息。
无独有偶,同样是在2020年,一名黑客针对特斯拉汽车成功开发了新的密钥克隆中继攻击,不到5分钟,一辆价值70多万元的特斯拉就被远程控制开走了。2020年9月,国内网络安全龙头企业——奇安信的车联网安全研究员演示通过远程方式在线开启了一辆智能汽车的车窗、后视镜,随后汽车被启动、上路。
不仅如此,随着互联网信息技术的发展,用户的个人信息通过各种渠道上传到网络终端,已经成为个人的数字名片,包含了用户的所有信息,同时也涉及更多用户个人信息安全问题。
作为移动数据收集和发射器,每一辆智能汽车都可以获取车主身份、行动轨迹、驾驶习惯、与手机蓝牙绑定的通讯录、谈话等内容,车主行驶所到之处,人、地、事、物均一览无遗。汽车联网后,上述安全风险更为突出,黑客通过漏洞攻击,可能肆意收集和越界使用相关数据,不仅侵犯了用户隐私,更威胁到国家安全。
软件重新定义 风险愈发集中
软件重新定义了电动汽车的构造,但也不可避免带来新的风险隐患。一辆智能汽车包含多达150个电子控制单元和大约1亿行软件代码,这也给黑客攻击的机会。
现代电动汽车90%以上由计算机和软件控制。汽车被接入无线网、Car2x,连接器和总线(例如OBD)等,这些接口都可能被利用,使得汽车易遭遇网络攻击。
捷豹路虎前首席执行官拉尔夫·斯佩斯曾说,在一个互联的世界里,网络安全与刹车一样,对用户的安全至关重要。汽车智能化和网联化速度加快,也意味着以往互联网存在的所有安全威胁都将平滑地向汽车蔓延。一旦车辆受到入侵,尤其是车辆在高速行驶的时候受到入侵,将可能导致车毁人亡。而随着车联网的发展,汽车与外界的接口随之增多,可能遭受到的风险也越大。
中科院创业投资管理有限公司研究总监邵元骏博士对记者表示:“智能化、网联化趋势下,汽车逐步由简单的动力机械升级为具备数据处理和通信功能的智能终端,由于智能网联汽车处于发展初期,技术尚未成熟,所以有较多的漏洞有待在发展的过程中逐步发现并完善,实现产品迭代升级。这是技术从发展到成熟必经的过程。”
据AV-TEST Institute数据显示,过去10年中恶意软件的数量从2011年的约6500万增加到2020年底的约11亿;根据工信部车联网动态监测情况显示,2020年以来发现的针对整车企业、车联网信息服务提供商等相关企业的恶意攻击达到280余万次。近年来,各国网络安全研究人员和汽车企业披露的网络安全事件和安全风险漏洞也在持续增加。
智能网联领域专家王丹也指出:“软件领域的安全漏洞或者bug是一定会存在的,换句话,不存在没有漏洞的系统。”从这一角度看,软件“拖了”智能化的后腿,似乎是无法避免的。
AVL List中国网络安全负责人、资深汽车安全工程师杨倚也认同这一观点,他说:“现在看来,完全安全的系统是不存在的,而且传统的汽车架构与技术在早期并没有充分考虑网络安全问题,因此随着联网程度的提高,汽车网络安全风险也会与日俱增。然而,汽车网络安全才刚刚起步,解决方案还跟不上其它智能系统的发展速度,这是当前的现状。”
多方加强重视 用户培养提上日程
事实上,国内外汽车企业在研发智能网联汽车伊始,并未充分考虑到为之配备充分的网络安全保障功能。直至2016年前后,频繁出现的车辆网络安全攻击事件引起了较大的社会反响,并威胁到车辆用户和汽车企业的人身和财产安全,大部分车企开始意识到建设网络安全保障能力的重要性。
现在虽然企业和国家层面都认识到了网络安全的重要性,但诚实地讲,想要做到全面的防范仍有困难。邵元骏认为,主要从三个层面加强对汽车网络安全的保障:国家层面应尽快完善涉及汽车安全的法律法规及标准体系,完善智能汽车的检测、认证和准入体系,规范智能汽车产品的合规上市;企业层面应重视汽车智能化趋势下功能安全的保障,硬件和软件双管齐下,提升车辆产品在信息传输和保存环节的可靠性以及应对外部攻击和非法操控的能力;消费者层面应提升安全意识,重视智能汽车产品的安全功能,将安全作为购车前考虑的重要指标。
杨倚指出,现在看起来政府和行政机构已经意识到了汽车网络安全风险并开始积极推动立法,同时相关组织开始制定一系列的安全标准,车企方面也开始逐步针对法律与标准进行网络安全建设,这都是好的趋势。
据《智能网联汽车安全渗透白皮书2.0》,目前,国内外汽车企业正在积极建立专业网络安全部门或者子公司,加强网络安全管理。国内企业在网络安全防护方面同样在加紧部署,造车新势力开始组建网络安全团队,并与专业网络安全科技公司开展合作,建立以主动防御为核心的网络安全防护体系,从云端、车端、移动端全面保障网络安全。同时传统车企也正在网络安全领域积极跟进,例如上汽集团组织下属企业加入集团网络安全保护与管理体系,统一部署数据加密软件,保证集团整体的数据安全,并通过自建云平台和云计算中心,为车辆产品提供全品类的云安全服务。