文 | 智能相对论(ID:aixdlun)
作者 | 陈选滨
智能汽车越来越像一个科技产品,伴随着车联网速率的提升,汽车拥有了更多智能化的功能和表现,同时也带来了诸多生态性的问题,其中接轨互联网所带来的安全问题就是未来汽车发展需要面对的一大焦点。
据中国汽车技术研究中心牵头编制的《车联网网络安全白皮书(2020年)》显示,随着我国智能网联汽车渗透率逐渐升高,网络安全事件频发,仅2019年网络安全问题导致的汽车安全事件占比高达57%。
若是无法阻断这样的安全威胁,那么智能汽车的发展也将面临着巨大的阻碍。毕竟,相较于PC、手机等常规智能设备而言,一旦行驶中的智能汽车面临网络攻击,致使车辆偏移、网络中断等所带来的威胁更加严峻。
也正是如此,汽车安全问题一直是整车厂商、信息安全企业重点聚焦的领域,伴随着近年来的智能汽车产业的推进,这一焦点问题在市场也被逐步放大、关注。
更具威胁性的安全问题?
汽车安全问题,并非耸人听闻。日前,欧盟网络安全机构(ENISA)便发布报告称,目前自动驾驶车辆非常容易受到各种攻击,包括传感器攻击、误导目标检测系统、数据中心后端恶意攻击,以及在训练数据或物理世界中呈现的对抗性机器学习攻击,从而危险乘客、行人和其他车辆。
若是PC遭受网络攻击,用户所面临的可能也只是财产相关的损失;而若是智能汽车受到攻击,那么所造成的后果就有可能是生命安全、公共安全上的破坏。因此,智能汽车领域所面临的安全问题远比传统互联网领域要严峻许多。
当然,这只是结果导向的表现。
“智能相对论”从安全防控路径来看,智能汽车也同样面临着多维度的风险防控环节。电子科技大学罗蕾教授认为,未来汽车在安全方面存在两条网络安全路径:safety和security。前者为安全可靠,指保护外部环境不受设备的伤害;而后者为安全保密,指保护设备不受外部环境的伤害。
在此,华为智能汽车解决方案BU、标准总监高永强就曾总结道:“从风险类型来看,我们认为当下智能汽车面临的网络安全威胁主要有七类,分别是手机App和云端服务器漏洞,不安全的外部连接,远程通信接口漏洞,不法分子反向攻击服务器以获取数据,车载网络指令被篡改,车载部件系统因固件刷写、提取、植入病毒等被破坏。”
对此,我们大致可以从智能汽车的感知层、网络层、应用层三大层面来进行归类和辨识。
其一,感知层,即负责感知外界信息的传感器、图像感知器等。一般来说,在感知层存在的安全威胁就有(一)非法控制节点;(二)非法捕获节点;(三)非法获取感知节点所感知的信息;(四)对感知节点进行DOS攻击;等等。
从某种程度来说,感知层受到威胁,就等同于汽车行驶过程视线受到了干扰,无法对周围的环境进行准确判断,很容易出现行驶事故。
其二,网络层,即负责将感知层信息传输到应用层,或根据应用层需求进行信息、数据处理的“中枢”网络。这里存在传统互联网所面临大量安全问题,如非法接入、DOS攻击、信息窃取和篡改,等等。
很显然,网络层受到威胁,最终会导致信息传输错误,很容易源于行车指令错误造成事故或车主个人信息和隐私泄露,等等。
其三,应用层,即常见的车载娱乐系统、车载应用软件、车载导航系统等等。这些对于车载功能的支持系统和应用,要么由汽车厂商配备,要么由车主用户自主下载,风险较高,很容易出现非法人为干预、系统崩溃等问题。
因为应用层拥有较高的装卸自主性,是防范安全问题最严峻的口径。去年,英国最大的消费者组织“Which?”邀请网络安全专家入侵了大众Polo具备部分中控功能的信息娱乐系统后,发现了启动或禁用车辆制动控制系统存在漏洞,并且能通过这个漏洞控制车辆的刹车系统,令人惊诧。
同时,他们也发现,车辆的信息娱乐系统包含了大量丰富的个人数据,包括用户联系人、历史位置信息等,极其容易诱发个人诈骗安全事件。
总的来说,汽车产业进入智能化变革的关键时期,与早期PC、手机的发展类似,应用的扩展和网联率的大幅度提升都使得其成为下一个网络攻击的“靶子”。而智能汽车本身所呈现出来的更加分散的攻击点和更加严重的后果反馈,都使得智能汽车的安全防控愈发严峻。
防患于未然,并不简单
未来,作为一款网络化的智能产品,汽车漏洞会永远存在,这是众多知名车企承认的观点。那么,面对这样的安全威胁,可以去做的只有防御,防患于未然,这不仅能在最大可能的保障智能汽车安全,同时也将是未来智能汽车市场竞争的一大决胜点。
因此,不管是从行业发展的角度,还是在市场竞争的需求来说,智能汽车的安全问题都将是未来汽车发展的焦点。这也吸引了众多相关厂商的入场与合作,2月,奇安信拟与中电互联共同出资设立合资公司,拓宽奇安信在车联网领域安全业务的市场,完善产业布局。
同样的,360也是如此。时值两会开幕,“智能相对论”看到,周鸿祎所公布的3分提案,其中就包括智能汽车网络安全相关的内容。他表示,「随着智能网联汽车产业蓬勃发展和数字化程度越来越高,智能汽车联网带来的安全隐患非常大,建议必须尽快加强智能汽车网络安全,促进智能网络汽车行业健康发展。」
可以说,市场两大信息安全巨头争先博弈,智能汽车安全问题渐渐被越来越多的消费者所关注。据调查显示,消费者对智能网联汽车的主要顾虑之一是安全,29%受访消费者担心黑客攻击导致智能互联系统紊乱或失效;23%消费者担心车上的娱乐互动App太多,导致行车受干扰。
尽管如此,但是就目前市场和行业的反馈来看,“智能相对论”认为,智能汽车的安全防范问题并不简单,主要表现在多个层面。
其一,攻击点广泛且分散。
周鸿祎将智能汽车比作是一台四个轮子上的“大手机”,同时并集成了大量的摄像头、雷达、测速仪、导航仪等各类传感器上。因此,过去智能终端所存在的远程控制、数据窃取、信息诈骗等问题,也会陆续在智能汽车的新场景上重演,甚至结果反馈会更加严重。
譬如,智能汽车上存在大量的传感器,在行驶过程中会持续采集车辆内外的各项数据,包括零部件运转情况、道路交通情况、驾乘人员状态等等,并在本地、边缘和云端进行存储,一旦泄露,不仅是个人隐私数据,包括关系国家安全的道路网数据、环境影像等数据也是如此,后果不堪设想。
其二,自上而下的防御路径。
不同于传统互联网,个人的智能终端可以由用户选择下载各类信息安全产品,即常见的“杀毒”软件来予以防范。这是一种自下而上的全民化防御路径。
而智能汽车的安全系统是一条明显的自上而下的集成化防御路径,需要多方配合、长周期的投入、部署,例如国家管理条例的支持、车联系统的兼容与适配、统一国家标准的强制测试、贯穿生产、销售和售后的产品服务,等等。这需要国家、地区、汽车厂商、安全产品服务商等协同推动。
因此,周鸿祎也在两会呼吁,希望国家层面可以尽快完善相关政策和场景,推动智能汽车安全产业进入强制化、标准化发展阶段。而在市场层面,奇安信也陆续与北汽蓝谷信息技术有限公司、中电工业互联网有限公司、湘江智能和中汽数据有限公司等相关企业达成战略合作,一步一个脚印地联合其他厂商走通这一安全路径。
其三,车载软件之间的权责管理不清晰。
微信上车引发的车企与腾讯之间的反垄断和侵权争议,是今年2月智能汽车安全问题的一个热点。
事情大致如下,博泰车联网的车联网产品搭载了微信,并未得到腾讯的授权。腾讯对此提出诉讼,直接限定其具有微信功能的产品不能与汽车厂商进行交易。由此,双方都感到不满,前者认为这是垄断行为,后者则认为这是侵权行为,各执一词。
事实上,这一热点所反馈的便是当前诸多车载软件存在的权责管理问题。以微信上车为例,微信并未授权车载车联网系统,而通过第三方平台,车主在行驶过程中使用车载微信引发的事故,由谁负责?类似的争议很难在短时间的扯清。
众所周知,车载软件是网络攻击的一大入口,各类互联网软件上车无形中就增加了智能汽车的安全威胁。如果权责管理不清晰,基本不会有市场主体站出来主动的弥补这一“漏洞”,被强制上车的微信置身博泰车联网平台,基本成了“两不管”,就很可能连环引发汽车安全问题。
小结
很显然,智能汽车安全问题是一个多态并存的状态,其中所涉及的不光只是汽车厂商,也包括相关互联网服务商,比如信息安全方面的360、奇安信,应用软件方面的腾讯,等等。解决智能汽车的安全问题,需要做好每一环的工作,真正的防患于未然在于各大车载系统或车载软件的服务商都能把控好每一个节点的安全反馈,才能使智能汽车安全不容有失。