作者｜王慧

來源｜財經國家周刊

有沒有想過，這是一個什么樣的恐怖場景？

有一天，你坐上智能汽車，打開自動駕駛，正準備找個舒服的姿勢躺下，聽個音樂的時候，突然發現自己失去了對車輛的控制，音響喇叭里傳出一個陌生的聲音，威脅你給他轉一筆錢，否則就把你的車撞樹上去。

誰在操控你的智能汽車？

這并非聳人聽聞，智能汽車的安全威脅，離我們并不遙遠。

▲圖/圖蟲創意 ?

3月20日，特斯拉首席執行官埃隆·馬斯克（Elon Musk）在參加中國發展高層論壇會議時，提到關于特斯拉被監控一事。他表示，特斯拉公司將不會向美國政府提供其車輛在中國或其他國家收集的數據。

事件的由頭是，3月初，一群黑客稱他們成功入侵硅谷監控初創公司Verkada收集的海量監控數據，可以看到15萬個監控的實時錄像，其中一個視頻來自特斯拉上海工廠內部，這些黑客稱，他們可以獲取特斯拉工廠及倉庫共計222部監控拍到的影像。

3月10日，針對特斯拉上海超級工廠監控被入侵一事，特斯拉方面回應稱：目前公司已經停止了這些攝像頭的聯網，并且已經在供應商現場采取措施進行停止攝像頭工作，并進一步提升各環節的安全把控。

馬斯克也多次強調特斯拉濫用數據的非必要性，稱如果特斯拉進行間諜行動將會帶來巨大的負面影響，后果也十分嚴重。不過，對于特斯拉以及智能汽車的信息安全威脅，行業內外仍然存在很大爭議。

今年全國兩會期間，360創始人、董事長兼CEO周鴻祎提出：“預計到2025年，智能網聯汽車可占年度汽車銷量的50%，智能汽車已陸續出現遠程控制、數據竊取、信息欺騙等安全問題，建議國家加大鼓勵和引導企業，將智能汽車的聯網安全防護體系納入車輛生產、銷售和服務體系中，并逐步形成強制性要求。”

特斯拉是智能汽車的技術創新代表，在信息安全方向布局較早，工廠監控和車輛尚且還有被入侵被控制的風險。那么，未來隨著網絡化程度越來越高，智能汽車的信息安全問題又當如何解決？

最快18秒，你的車就被別人開走了

黑客盜取工廠錄像和360技術人員發現的特斯拉汽車信息安全問題并非孤例。

2014年和2016年，在國際信息安全會議上，360公司的工程師曾和外部技術人員合作挖掘出多項安全漏洞，演示如何通過干擾傳感器和通信模塊，“黑”掉一輛特斯拉。

2015年，國外也有黑客入侵了特斯拉Model S的車載系統，導致車輛在行駛過程中突然熄火；2017年，來自360公司和騰訊公司的安全技術人員分別展示了如何“無鑰匙”遠程進入特斯拉的車載系統和電網系統。

2020年，全球更是發生多起特斯拉App宕機事件，致使手機無法與車輛進行鏈接，車主處于“盲開”狀態，甚至有些車主被鎖在車中。

▲2016年，浙江大學與360汽車信息安全實驗室進行了一項課題研究，圖為團隊演示如何通過設備干擾特斯拉的毫米波雷達，讓系統得到錯誤的距離判斷。圖/研究報告

當然，問題也不只是發生在特斯拉上，其他眾多品牌汽車的電子信息系統，同樣出過事。

公開報道顯示，2015年，兩名白帽黑客遠程入侵了一輛行駛中的切諾基，對其做出減速、關閉引擎、制動失靈等操作。此舉導致克萊斯勒緊急召回了140萬輛切諾基。

2016年，日產汽車宣布關閉其專為Leaf系列開發的應用程序Nissan Connected EV，因為他們發現，黑客可以侵入汽車系統，控制電池操作等功能，以耗盡電池。

2018年10月，奔馳也被曝出兩個CVE漏洞，攻擊者可利用漏洞，使車機無法正常工作。

2019年，歐洲ADAC汽車協會曾對33個品牌的237款車型進行了一項安全測試，結果顯示99%的車輛能夠被黑客解鎖并開走，最短耗時僅需18秒。

2020年，我國國家市場監管總局缺陷產品管理中心聯合相關機構，針對多款智能網聯汽車進行信息安全測試，結果發現高達63%的網聯車輛存在一定程度的安全隱患。

類似的安全威脅正隨著技術和產業的發展日益凸顯。

首先是面臨安全威脅的智能汽車基數已經愈發龐大。以我國的數據為例，我國智能汽車產業正呈現井噴式增長，預計到2025年，智能汽車占比將達到當年汽車銷量的50%。

其次，智能汽車正逐步從封閉網絡向開放網絡升級，過去只在電腦、手機等智能終端出現的遠程控制、數據竊取、信息欺騙等安全問題，已經蔓延到智能汽車上，嚴重威脅到人身安全和公共安全。

根據汽車網絡安全公司Upstream Security統計，公開報道的智能汽車網絡安全攻擊事件，從2018年的80起，激增到2019年的155起。

而2020年，包括整車企業以及車聯網信息服務提供商在內的智能汽車相關企業和平臺遭遇的惡意攻擊，總數已達到280余萬次。

一位接受記者采訪的信息安全產業專家說，未來，如果數十萬輛汽車因為使用同一個應用或者同一個服務器，或者因為黑客攻擊一個漏洞而同時癱瘓，其災難程度不亞于一次“9·11”事件。

防線“千瘡百孔”，網絡攻擊的又一個活靶子

人工智能、大數據、物聯網等新技術的誕生和廣泛應用，為汽車產業帶來顛覆性變革，巨大的不確定性和無處不在的網絡安全隱患，又將這一產業推至懸崖邊。

近兩年，汽車網絡安全攻擊方式日趨多樣化，除了傳統的攻擊手法，還出現了利用超聲波的“海豚音”攻擊、利用照片以及馬路標識線的AI攻擊等手段，且攻擊路線也變得越來越復雜。

中國汽車信息安全共享分析中心發布的信息顯示，汽車信息安全涉及范圍較廣，主要有十大信息安全風險，包括不安全的云端接口、未經授權的訪問、系統存在的后門、不安全的車載通信、車載網絡未做安全隔離、系統固件可被提取及逆向、不安全的第三方組件、敏感信息泄露、不安全的加密和不安全的配置。

根據以上風險，黑客可利用汽車電子系統的漏洞，如藍牙、云端、網絡通信等在功能安全、軟件、信息傳輸、娛樂系統多方面展開攻擊。

華為智能汽車解決方案BU、標準總監高永強表示：“從風險類型來看，我們認為當下智能汽車面臨的網絡安全威脅主要有七類，分別是手機App和云端服務器漏洞，不安全的外部連接，遠程通信接口漏洞，不法分子反向攻擊服務器以獲取數據，車載網絡指令被篡改，車載部件系統因固件刷寫、提取、植入病毒等被破壞。”

汽車之所以會成為繼智能手機后網絡攻擊的又一個活靶子，一個關鍵的原因在于，隨著汽車產業向“新四化”方向轉型，車內大幅度地增加諸多車載終端應用，由此導致更多的信息安全接入點和風險點被暴露出來。

▲圖/圖蟲創意

以車載軟件為例，一組數據很直觀地告訴了我們汽車網絡安全存在的風險如何觸目驚心。

卡耐基梅隆大學軟件工程學院的一份報告指出，在美國開發的代碼平均每個功能點會有0.75個缺陷，每百萬行代碼就會有大約6000個缺陷或漏洞，而代碼要達到“很好”這一級別，每百萬行代碼的缺陷或漏洞數量應控制在600個至1000個之內，如果達到“優異”級別，每百萬行代碼的缺陷或漏洞數量就要控制在600個以內。

換句話說，即使所有代碼都達到了“很好”這一級別，按照目前汽車平均擁有一億行代碼來計算，每輛智能汽車就可能存在10萬個缺陷或漏洞。而這些缺陷以及漏洞會造成什么樣的風險，沒有人可以預測。

除了防線“千瘡百孔”，不容忽視的是，汽車行業在信息安全方面的防護基礎和防御力量，整體也較為薄弱。

中國信息通信研究院副院長余曉暉公開表示，僅在汽車端，就有三類問題較為突出：首先，受限于成本、技術成熟度等因素，目前車內防護仍以軟件措施為主，身份認證、加密隔離等應用不足；其次，對關鍵零部件、整車系統級軟硬件的風險評估能力不足；最后，網絡安全測試評價基礎薄弱，在車內部件、整車等方面測試驗證能力不足，整車滲透還主要依賴于人工實施，滲透深度和水平缺乏可量化評估標準。

是威脅，也是上萬億元的市場空間

加強智能汽車的安全防護，一方面是安全需要，另一面，新產品、新業態、新模式不斷涌現，以智能網聯汽車為載體的產業多樣化服務，也伴隨著大量信息資產的產生而出現。

比如目前，隨著L2級輔助駕駛功能的大規模實現，各大整車企業已將目光瞄準了L3、L4級自動駕駛的產業化。

2020年4月，長城汽車成立數字化中心，并在7月發布整車智能化品牌“咖啡智能”，涵蓋智能座艙、智能駕駛、智能電子電器架構。

值得一提的是，長城汽車并非首個“吃螃蟹”的自主品牌。

早在2016年，上汽就同阿里發布了“全球首款的量產互聯網汽車”榮威RX5。2019年，上汽又與上港、中國移動正式啟動5G、L4級智能駕駛重卡示范運營。2020年7月，上汽集團軟件中心“零束”成立，聚焦智能駕駛系統、軟件架構、基礎軟件平臺和數據工廠。

造車新勢力方面也不乏吃螃蟹者，以小鵬汽車為例。公開資料顯示，其量產車型小鵬P7，搭載了全新的XPILOT 3.0自動駕駛輔助系統，可實現NGP（高速自動導航輔助駕駛）、ACC（自適應巡航）、LCC（車道居中輔助系統）、停車場記憶泊車等功能。

除此之外，當前市場上的語音交互、手機遠程控制、車內外加載攝像頭等智能化功能的搭載率也在日趨上升。

從目前整體來看，智能汽車發展還處于初期，用戶隱私等信息安全已經引起了業內關注，要徹底解決可能還有比較長的路要走，甚至會變成一項長期存在的挑戰。

但可以確定的是，基于這一新情況、新挑戰，未來集成汽車軟件的具有較高安全防護能力的操作系統平臺，也將有很大發展空間。

目前，算上車載操作系統和安全防護等各類軟件在內，大型乘用車的成本中，軟件占10%左右，預計到2030年這一數字將提高到30%，這意味著汽車軟件將有上萬億元的市場空間。

這個萬億空間甚至還不包括灰黑色的數字隱私交易收入。McKinsey咨詢公司的一份報告顯示，2020年，黑產轉賣客戶隱私信息的收入將達到2000億美元。

國家層面應該開始行動了

“沒有網絡安全，一切無從談起。”中國工程院院士沈昌祥在接受采訪時曾表示，汽車網絡空間比想象的脆弱很多，傳統的“封堵查殺”已經難以應對網絡攻擊，必須建立起主動免疫的計算架構，達到計算結果全程可測可控，防護與計算并存的主動免疫模式。

互聯網的加入賦予了汽車無限的可能和無窮的想象，智能汽車正成為數據收集、數據傳輸、數據處理的關鍵節點。但如果信息安全問題無法得到有效解決，真正的智能汽車時代或將永遠無法到來。

對此，有業內專家表示：“智能汽車改變了傳統意義上的汽車安全，從早期功能安全逐步向信息采集和運用安全轉變，對于智能汽車的信息安全管理，也應該提升到國家信息安全的級別。”

整車企業應當如何應對汽車信息安全問題？

從記者采訪了解的情況來看，目前，國內汽車信息安全市場還處于咨詢問路的階段，標準法規還未完善，相關理論尚未形成體系化的模式指導OEM開展相關信息安全工作。

不過，從公開信息看，不少信息安全企業和車企已經開始了相關布局。車企方面，小鵬汽車已擁有一支數十人的信息安全團隊，成員多為來自微軟、阿里巴巴、騰訊、綠盟、網易的高級安全專家；傳統信息安全企業如奇安信、梆梆、科恩實驗室等，也已在將業務重心轉移至汽車信息安全領域。

對于用戶數據的隱私和安全問題，車企也已經在做一些思考，比如上汽集團董事長陳虹接受采訪時表示，車企對用戶可能存在的隱私風險具有告知義務，且在收集、使用、轉移、刪除數據時應給予用戶自由選擇權。而在分析處理數據時，要進行數據和個人身份的分離，并將數據匿名化。

瞭望智庫《中國智能汽車發展報告》認為，國家主管部門應加強戰略布局，從國家層面提出汽車信息安全的總體規劃和部署，統籌協調各方訴求，發揮各自優勢，形成快速、高效、科學、合理的安全標準體系。

一方面，保護汽車數據安全，還要加強在智能汽車使用過程中的數據采集監管工作。禁止在用戶不知情的情況下進行數據采集以及過度采集數據，大力發展數據的安全采集、存儲、認證加密、安全傳輸、脫敏等保護技術。

另一方面，還要制定智能汽車采集用戶數據管理和地理環境數據的標準規范并加強數據出境監管。由國家對車輛信息安全相關數據進行分類管理，對保密等級較高的數據進行統一監控，實施安全動態監測機制，及時發現問題并處理。