日前，一名19歲的青少年聲稱遠程入侵了13個國家的超過25輛特斯拉汽車，并在一系列推文中表示，他在特斯拉的系統(tǒng)中發(fā)現(xiàn)一處軟件漏洞，這個軟件漏洞使他能夠訪問電動汽車先驅(qū)的系統(tǒng)。

這位青少年自稱是信息技術(shù)專家大衛(wèi)科倫坡(David Colombo)，他在社交媒體上表示，該軟件缺陷使他能夠解鎖門窗、無需鑰匙啟動汽車并禁用其安全系統(tǒng)。他還聲稱，他不僅可以遠程控制，還能查看車內(nèi)是否有司機，打開車輛的立體聲系統(tǒng)并閃爍前燈。

軟件漏洞頻出 安全問題突出

過去的幾年中，特斯拉多次遭到黑客入侵。

曾有多家網(wǎng)絡(luò)安全公司的研究人員已經(jīng)證明，特斯拉可以被黑客輕松入侵，甚至在許多情況下可以被遠程入侵。

早在2014年，也就是特斯拉第二款汽車產(chǎn)品Model S發(fā)布兩年后，其第一個漏洞就被360集團相關(guān)團隊發(fā)現(xiàn)，利用該缺陷，控制者能夠通過遠程控制實現(xiàn)開鎖、鳴笛等操作。

2020年，特斯拉因攝像頭記錄了駕駛員的面部特征以及車內(nèi)大部分空間而陷入“隱私門”，其中的監(jiān)控錄像就是一名黑客入侵汽車后曝光的信息。

無獨有偶，同樣是在2020年，一名黑客針對特斯拉汽車成功開發(fā)了新的密鑰克隆中繼攻擊，不到5分鐘，一輛價值70多萬元的特斯拉就被遠程控制開走了。2020年9月，國內(nèi)網(wǎng)絡(luò)安全龍頭企業(yè)——奇安信的車聯(lián)網(wǎng)安全研究員演示通過遠程方式在線開啟了一輛智能汽車的車窗、后視鏡，隨后汽車被啟動、上路。

不僅如此，隨著互聯(lián)網(wǎng)信息技術(shù)的發(fā)展，用戶的個人信息通過各種渠道上傳到網(wǎng)絡(luò)終端，已經(jīng)成為個人的數(shù)字名片，包含了用戶的所有信息，同時也涉及更多用戶個人信息安全問題。

作為移動數(shù)據(jù)收集和發(fā)射器，每一輛智能汽車都可以獲取車主身份、行動軌跡、駕駛習(xí)慣、與手機藍牙綁定的通訊錄、談話等內(nèi)容，車主行駛所到之處，人、地、事、物均一覽無遺。汽車聯(lián)網(wǎng)后，上述安全風(fēng)險更為突出，黑客通過漏洞攻擊，可能肆意收集和越界使用相關(guān)數(shù)據(jù)，不僅侵犯了用戶隱私，更威脅到國家安全。

軟件重新定義 風(fēng)險愈發(fā)集中

軟件重新定義了電動汽車的構(gòu)造，但也不可避免帶來新的風(fēng)險隱患。一輛智能汽車包含多達150個電子控制單元和大約1億行軟件代碼，這也給黑客攻擊的機會。

現(xiàn)代電動汽車90%以上由計算機和軟件控制。汽車被接入無線網(wǎng)、Car2x，連接器和總線(例如OBD)等，這些接口都可能被利用，使得汽車易遭遇網(wǎng)絡(luò)攻擊。

捷豹路虎前首席執(zhí)行官拉爾夫·斯佩斯曾說，在一個互聯(lián)的世界里，網(wǎng)絡(luò)安全與剎車一樣，對用戶的安全至關(guān)重要。汽車智能化和網(wǎng)聯(lián)化速度加快，也意味著以往互聯(lián)網(wǎng)存在的所有安全威脅都將平滑地向汽車蔓延。一旦車輛受到入侵，尤其是車輛在高速行駛的時候受到入侵，將可能導(dǎo)致車毀人亡。而隨著車聯(lián)網(wǎng)的發(fā)展，汽車與外界的接口隨之增多，可能遭受到的風(fēng)險也越大。

中科院創(chuàng)業(yè)投資管理有限公司研究總監(jiān)邵元駿博士對記者表示：“智能化、網(wǎng)聯(lián)化趨勢下，汽車逐步由簡單的動力機械升級為具備數(shù)據(jù)處理和通信功能的智能終端，由于智能網(wǎng)聯(lián)汽車處于發(fā)展初期，技術(shù)尚未成熟，所以有較多的漏洞有待在發(fā)展的過程中逐步發(fā)現(xiàn)并完善，實現(xiàn)產(chǎn)品迭代升級。這是技術(shù)從發(fā)展到成熟必經(jīng)的過程。”

據(jù)AV-TEST Institute數(shù)據(jù)顯示，過去10年中惡意軟件的數(shù)量從2011年的約6500萬增加到2020年底的約11億;根據(jù)工信部車聯(lián)網(wǎng)動態(tài)監(jiān)測情況顯示，2020年以來發(fā)現(xiàn)的針對整車企業(yè)、車聯(lián)網(wǎng)信息服務(wù)提供商等相關(guān)企業(yè)的惡意攻擊達到280余萬次。近年來，各國網(wǎng)絡(luò)安全研究人員和汽車企業(yè)披露的網(wǎng)絡(luò)安全事件和安全風(fēng)險漏洞也在持續(xù)增加。

智能網(wǎng)聯(lián)領(lǐng)域?qū)＜彝醯ひ仓赋觯?ldquo;軟件領(lǐng)域的安全漏洞或者bug是一定會存在的，換句話，不存在沒有漏洞的系統(tǒng)。”從這一角度看，軟件“拖了”智能化的后腿，似乎是無法避免的。

AVL List中國網(wǎng)絡(luò)安全負責(zé)人、資深汽車安全工程師楊倚也認同這一觀點，他說：“現(xiàn)在看來，完全安全的系統(tǒng)是不存在的，而且傳統(tǒng)的汽車架構(gòu)與技術(shù)在早期并沒有充分考慮網(wǎng)絡(luò)安全問題，因此隨著聯(lián)網(wǎng)程度的提高，汽車網(wǎng)絡(luò)安全風(fēng)險也會與日俱增。然而，汽車網(wǎng)絡(luò)安全才剛剛起步，解決方案還跟不上其它智能系統(tǒng)的發(fā)展速度，這是當(dāng)前的現(xiàn)狀。”

多方加強重視 用戶培養(yǎng)提上日程

事實上，國內(nèi)外汽車企業(yè)在研發(fā)智能網(wǎng)聯(lián)汽車伊始，并未充分考慮到為之配備充分的網(wǎng)絡(luò)安全保障功能。直至2016年前后，頻繁出現(xiàn)的車輛網(wǎng)絡(luò)安全攻擊事件引起了較大的社會反響，并威脅到車輛用戶和汽車企業(yè)的人身和財產(chǎn)安全，大部分車企開始意識到建設(shè)網(wǎng)絡(luò)安全保障能力的重要性。

現(xiàn)在雖然企業(yè)和國家層面都認識到了網(wǎng)絡(luò)安全的重要性，但誠實地講，想要做到全面的防范仍有困難。邵元駿認為，主要從三個層面加強對汽車網(wǎng)絡(luò)安全的保障：國家層面應(yīng)盡快完善涉及汽車安全的法律法規(guī)及標準體系，完善智能汽車的檢測、認證和準入體系，規(guī)范智能汽車產(chǎn)品的合規(guī)上市;企業(yè)層面應(yīng)重視汽車智能化趨勢下功能安全的保障，硬件和軟件雙管齊下，提升車輛產(chǎn)品在信息傳輸和保存環(huán)節(jié)的可靠性以及應(yīng)對外部攻擊和非法操控的能力;消費者層面應(yīng)提升安全意識，重視智能汽車產(chǎn)品的安全功能，將安全作為購車前考慮的重要指標。

楊倚指出，現(xiàn)在看起來政府和行政機構(gòu)已經(jīng)意識到了汽車網(wǎng)絡(luò)安全風(fēng)險并開始積極推動立法，同時相關(guān)組織開始制定一系列的安全標準，車企方面也開始逐步針對法律與標準進行網(wǎng)絡(luò)安全建設(shè)，這都是好的趨勢。

據(jù)《智能網(wǎng)聯(lián)汽車安全滲透白皮書2.0》，目前，國內(nèi)外汽車企業(yè)正在積極建立專業(yè)網(wǎng)絡(luò)安全部門或者子公司，加強網(wǎng)絡(luò)安全管理。國內(nèi)企業(yè)在網(wǎng)絡(luò)安全防護方面同樣在加緊部署，造車新勢力開始組建網(wǎng)絡(luò)安全團隊，并與專業(yè)網(wǎng)絡(luò)安全科技公司開展合作，建立以主動防御為核心的網(wǎng)絡(luò)安全防護體系，從云端、車端、移動端全面保障網(wǎng)絡(luò)安全。同時傳統(tǒng)車企也正在網(wǎng)絡(luò)安全領(lǐng)域積極跟進，例如上汽集團組織下屬企業(yè)加入集團網(wǎng)絡(luò)安全保護與管理體系，統(tǒng)一部署數(shù)據(jù)加密軟件，保證集團整體的數(shù)據(jù)安全，并通過自建云平臺和云計算中心，為車輛產(chǎn)品提供全品類的云安全服務(wù)。

關(guān)鍵詞： 軟件漏洞 智能汽車 安全問題 特斯拉