假如20万辆汽车同时被黑客控制,车辆将变成攻击人类的武器,带来的灾难无法想象——
图:第三届中国汽车安全与召回技术论坛在重庆召开。
■本报记者 刘文新 文/摄
随着汽车智能化、网联化进程的不断加快,汽车网络安全面临越来越严峻的挑战。10月20日至22日,由国家市场监督管理总局缺陷产品管理中心、中国汽车工程研究院等机构联合主办的第三届中国汽车安全与召回技术论坛,在汽车重镇重庆召开。国家市场监督管理总局缺陷产品管理中心汽车部主任肖凌云提供的数据让人触目惊心:今年以来,针对整车企业、车联网信息服务提供商等相关企业和平台的恶意攻击,达到280余万次。
与此同时,产业链相关企业,特别是传统车企、网络安全意识不强、防护能力欠缺、安全投入不足等问题,十分突出。
在此背景下,来自政府机构、企事业单位、科研院所等领域的300余人共聚一堂,针对汽车安全问题坦诚交流,深入探讨,为智能汽车面临的网络信息安全建言献策。
超六成网联汽车存在安全隐患
肖凌云表示,市场监管总局缺陷产品管理中心曾联合相关机构对多款车型进行信息安全测试,发现63%的网联车辆存在安全隐患。“假如20万辆汽车同时被黑客控制,车辆将变成攻击人类的武器,带来的灾难无法想象。”
随着车联网的普及,汽车上联网的部件增加,与外部链接的端口增多,可攻击的范围本身就在增多,信息安全的风险也随之提升。这一点在从陆续曝光的信息安全事件中也可以看出。
据介绍,最早的信息安全事件与车辆蓝牙钥匙、OBD设备相关。此后,随着智能手机的普及,移动端车辆远程控制APP开始出现,安全漏洞的范围不断扩大,信息安全的风险随之提升。2019年6月,英国发生14起案件,犯罪分子利用无钥匙进入系统漏洞,入侵车辆,并向车主勒索赎金。这些犯罪分子利用“中继攻击”黑客技术,在没有钥匙的情况下打开车辆并启动发动机。同样在2019年,美国芝加哥一群黑客利用Car2goAPP应用漏洞解锁豪华车,使Car2go停止了在芝加哥的服务。这次事件的发生,导致个人车主和APP应用服务商遭受了重大财产损失。
“新四化”带来网络安全风险
在“新四化”背景下,汽车产业链正在加速深度合作。
360智能网联汽车安全实验室主任严敏睿认为,在可预见的未来,车、路协同将会导致非常多的车和路、人和人、车和网络的连接,同时必然暴露汽车更多的信息安全接入点和风险点。“网联化使汽车暴露于互联网,车辆近乎裸奔;智能化架构复杂,风险点增多,攻击链路多样化;共享化造成物理接触攻击面,便于黑客进行接触式攻击;电动化降低漏洞成本,更利于黑客进行非法控制。”
据悉,在2019年8月的世界黑客大会上,百度公司曾表示黑客可以通过APN直接访问车厂后台核心网内的资源。同年12月,360智能网联汽车安全实验室在与梅赛德斯-奔驰公司的研究中发现,正是利用此类漏洞,使用新型攻击手段,实现批量远程开、闭车门,启动、关闭引擎等控车操作,可影响的奔驰汽车达到200余万辆。
信息安全是一场攻与防之间的博弈。中国信息通信研究院副院长余晓晖认为,车联网信息安全遵循“木桶效应”:黑客寻找成功的攻击路径,总是选择成本低、速度快、难度小的路径,这也反过来说明,汽车安全性取决于最薄弱环节的防护。
信息安全是系统工程
国家市场监督管理总局质量发展局副局长王贇松表示,车联网+自动驾驶在中国正成为汽车产业发展的新动力,预计国内市场规模将超千亿元。在此背景之下,营造一个有效的统一车辆市场,建立适当的法律框架,确保道路安全、数据保护、访问和网络安全,非常重要。
信息安全是系统工程,要实现信息安全,必须从设计研发、生产制造到售后全生命周期中,建立完整的安全防护体系,在安全设计、测试验证、监督管理与更新维护中形成闭环。国汽(北京)智能网联汽车研究院整车事业部部长刘卫国建议,智能网联汽车的发展要上升到国家战略并且具有属地化,需要有中国特色的方案;中国需要发展智能网联汽车共性的基础技术平台,为整个智能网联产业做支撑;产品准入政策的制定不要过死,增强车企对自身产品负责的意识。
华为智能汽车解决方案BU、标准总监高永强则从技术层面提供了新的思路:智能网联汽车的安全防护目标是“进不来、拿不走、看不懂、改不了、瘫不成、赖不掉”,基于纵深防御的安全防护框架可以从车云服务、外部接口、车内网络以及车内部件等板块入手,建立多重安全防护体系,以实现网络安全防护目标。