原标题:谁在操控你的汽车?
文 | 陈千凌
电影《速度与激情8》中,有这样一段令人印象深刻的情节:黑客只是动了几下手指,就能遥控大批汽车,让整个城市的交通陷入一片混乱。令人担忧的是,这样的场景不仅发生在电影中,还正在变为现实。
18秒,你的车就能被开走
最近一段时间,特斯拉因为信息安全问题被推上风口浪尖。
一是黑客入侵事件。3月初,一群黑客称他们成功入侵硅谷监控初创公司Verkada收集的海量监控数据,可以看到15万个实时监控录像,其中一个视频来自特斯拉上海工厂内部。这些黑客声称,他们可以获取特斯拉工厂及仓库共计222部监控影像。
二是监控车主风波。近日马斯克在推特发文称,将收回一些车主FSD beta版的试用权限,原因是这些车主在使用FSD beta功能时,没有对道路情况给予足够的关注。有用户询问马斯克,特斯拉是如何知道车主不关注路况的呢?特斯拉车内摄像头是否可以监测车主目光?对此,马斯克回答“Yes”,这被网友解读为,特斯拉承认通过车内摄像头来监视驾驶员。
除了被“监控”,车主们更要面临被“操控”的风险。去年,有车主表示自己的特斯拉APP内看不到自己的车了,却出现了5台位于欧洲的特斯拉,除了能查看这些车辆的所有信息,还能进行远程遥控,网友将其调侃为“买一送五”。此外,还有一名黑客针对特斯拉汽车成功开发了新的密钥克隆中继攻击,不到5分钟,一辆价值70多万元的特斯拉就被远程控制开走了。
并不只特斯拉,多个智能汽车品牌都出现了此类问题。
2015年,两名白帽黑客就远程入侵了一辆正在路上行驶的切诺基,并对其做出减速、关闭引擎、突然制动或者制动失灵等操控,克莱斯勒为此不得不在全球召回了140万辆车。2016年,日产汽车宣布关闭其专为Leaf系列开发的应用程序Nissan Connected EV,因为他们发现,黑客可以侵入汽车系统,控制电池操作等功能,以耗尽电池。2018年10月,奔驰也被曝出两个CVE漏洞,攻击者可利用漏洞,使车机无法正常工作。
美国前国家安全局局长、首任网络司令部司令基思·亚历山大曾说过,“世界上只有两种网络,一种是已经被攻破的网络,一种是还不知道自己被攻破的网络。”事实上,智能汽车面对的已经不是能不能被攻破的问题,而是会被多快攻破的问题。2019年,欧洲ADAC汽车协会曾对33个品牌的237款车型进行了一项安全测试,结果显示99%的车辆能够被黑客解锁并开走,最短耗时仅需18秒。
智能汽车的信息安全问题亟需高度警惕,一方面是因为快速发展的产业规模——《智能网联汽车技术路线图2.0》预测,到2025年,中国PA、CA级智能网联汽车销量占当年汽车总销量的比例将超过50%。另一方面是因为持续攀升的网络安全攻击事件——根据汽车网络安全公司Upstream Security统计,公开报道的智能网联车网络安全攻击事件,已经由2018年的80起激增到2019年的155起。2020年整车企业、车联网信息服务提供商等相关企业和平台遭到的恶意攻击已达到280余万次。
若是放任这种态势继续演化,那或许有一天,电影中数十万辆汽车因为黑客攻击而同时瘫痪的情节真的有可能在现实上演。
超过手机,汽车成新信息风险来源
随着互联网、人工智能、云计算和大数据等新兴技术的应用越来越多,智能汽车已经像电脑、手机一样,成为了数字时代的智能终端。在电脑、手机上出现的远程操控、数据窃取等安全问题,也同样会在智能汽车上发生。但相比前者,智能汽车的破坏力更甚。因为手机出问题了,大不了换一个,但汽车一旦突然出了问题,可能会马上直接影响到驾乘者,甚至周边路人的人身安全。
除了后果更为严重,智能汽车还面临着更多的风险敞口,主要体现在三个方面:
一是更多的控制器配备。智能汽车提供了更多样化、便捷化的功能应用,比如娱乐、自动驾驶等,这需要用到更多复杂的控制器,包括车载远程通信终端、信息娱乐系统、中央网关等,涉及到硬件、固件、系统、应用软件方方面面。受限于控制器性能和形态的多样性,传统网络安全的分析方法和防护手段并不能直接使用,这对智能汽车安全防护提出更高要求。
二是更多的信息交互。相比传统汽车单独的、具有封闭特性的网络,智能汽车是接入互联网的开放网络,也成为了多网融合的信息交换场景。包括汽车与运营平台之间的专网通信、与第三方云之间的互联网通信、与手机等手持电子设备之间的近场通信、与其他车辆之间的通信、与交通设施之间的通信,再加上车内总线网络的通信等。更多的信息交互,也就意味着更多的风险点。
