近来,Jeep自由光等车型被曝出存在软件漏洞,黑客可通过钻空子远程操控车子的各种功能。旋即,汽菲亚特克莱斯勒及时宣布在美国召回140万辆存在软件漏洞的汽车,这成了汽车行业史上首次因黑客隐患发起的大召回。此前,先后有福特、丰田、特斯拉、宝马、劳斯莱斯、比亚迪等,均被爆出其产品可通过互联网被入侵。一时间,车联网引发的网络安全问题得到业界的高度重视。
车作为一种重要交通工具,和电脑、手机等不同,汽车如果被“黑”,轻则导致信息泄漏、钱物受损,重则危及人生安全。那么,在车联网发展的过程中,安全漏洞真的难以避免吗?车载网络应用与保驾护航的技术该如何协调?安全问题会否制约车联网的发展?本期盖世论衡特邀衍进商务咨询(上海)有限公司首席合伙人张兆钧、益普索研究集团研究总监叶盛围绕以上问题展开讨论。
论衡之一:车联网发展的过程中,安全漏洞真的难以避免?
这个夏天,多起汽车被黑客入侵事件让车联网安全成了公众关注的焦点。7月份,两位白帽黑客(注:白帽黑客与黑帽黑客不同,其不会恶意利用漏洞牟利,而是将协助相关机构提升计算机或网络系统的安全性)宣布,在一项测试中侵入到Jeep自由光搭载的Uconnect车载系统,通过该软件可以远程向车载系统发送指令来控制汽车。随后,菲亚特发起了汽车行业史上首次因黑客隐患的大召回,这也拉开了黑客与汽车“战争“的序幕。试问,在车联网的应用过程中,汽车安全漏洞是否真的难以避免?
对此,叶盛表示,汽车作为独立的商品,当与互联网联接后,实际就承担着和互联网同样的风险。“与银行等使用互联网技术来提高工作效率和人机互动体验所面临的风险一样,汽车使用网络导致的安全隐患也将无法避免。”在他看来,黑客破解本来就是矛与盾的问题,只要是人为参与的软件设计和后台加密都是有机会让特定人群来进行破解的,且大部分整车厂在这方面业务都是外包模式。“通用Onstar(安吉星)的硬件就是采取外包模式,这就使得软件与硬件供应商之间存在模糊地带,给黑客提供了可趁之机。”
张兆钧指出,车联网漏洞问题的由来是有轨迹可循的。互联网技术的发展,尤其是无人驾驶的刺激才使得整车厂逐步放开了汽车与互联网的连接部分。
其分析指出,早期汽车的研发设计中,整套车机作业系统/车载信息娱乐系统都由整车厂独自研发完成,在全封闭的情况下,黑客根本无从下手。近年来,整车厂意识到传统车机已经无法满足消费者对于互联化、智能化的需求,但由于汽车研发周期长,难以适应移动互联网短至半年甚至三个月的迭代速度,且研发成本过高,于是,汽车厂商不得不放开对车机端的控制。然而,在网络的安全方面,整车厂研发人员并不像传统IT人员一样拥有较高的敏感度,后台开放后很可能残留一些可操控的漏洞,这就给黑客入侵提供了契机。
“车联网安全隐患主要表现为两个层面,一是远程控制汽车本身,这种危险级别最高,将直接影响汽车整体运行状况;二是联网后汽车的操作系统、操作软件等各种服务系统的控制。”
张兆钧坦陈,车联网问题是汽车与互联网结合过程中无意间留下的,但安全漏洞隐患必将引发阵痛和教训,这是整车厂投资少、重视度不够的后果。
论衡小结:回顾汽车安全漏洞发生的历程可知,互联网的冲击迫使传统汽车制造商放开部分车机的控制接口,也在无意间埋下了安全漏洞的种子。早期,车企对网络安全意识不强,兼之这方面投入成本过高,使其未能建立起一套行之有效的网络安全管理体系。如今,汽车已然裸奔于黑客眼中,互联网技术的相对滞后让整车厂频频躺枪。问题的出现,给车企在信息安全上敲响了一记警钟,尤其是国内汽车企业,在依赖外来技术时,更是要加强防卫警戒,防患于未然。
论衡之二:当前车载网络的应用是否迈进太快,而保驾护航的进展显得落后?
可以想象,汽车的附加功能变得越多越复杂,更多的黑客入侵也就无法避免。摆在车企眼前的难题是保驾护航能否跟得上车载网络的应用,特别是黑客技术的发展。据彭博社等外媒指出,以宝马、奥迪和奔驰为代表的车企在车载技术方面的竞争早已超过了动力方面,功能应用发展和安全防护措施进步之间并不见得能保持同步。
当前,车载网络的应用是否迈进太快,而保驾护航的进展显得落后?
对此,张兆钧认为,原厂生产制造的汽车,其网络安全的防范问题不必过分担心,只有设备受第三方控制时才会有漏洞可寻。其指出,能否控制并影响汽车安全,关键还得看汽车内部的行车电脑/ECU电子控制单元。“行车电脑的控制权被拿走了,或者被穿透了才有可能,而行车电脑也是有制造商独家掌控。”整车厂对接口的开放非常谨慎。“现在,黑客能做的仅仅是侵入到一些公用的或者大家比较熟悉的系统,而这样的接口也很有限。”
同时,张兆钧也指出,黑客入侵汽车网络想要造成恶劣影响并没有那么容易,国内暂时不会受到太大影响,“从国内目前的发展情形看,大多数车企的技术研发还没有达到这个程度,都还处于大门紧关状态,真正要担心的是那些少数走到研发前沿的车企,如特斯拉等,他们一开始运用了大量的现成的互联网技术来至支撑整个系统,所以这些车企的风险比较大。”
在叶盛看来,车联网的发展进程还比较慢,各车企也都比较封闭保守。“现在,车、车互动还没有,主要还是集中在娱乐导航方面,但是整车厂在车载自动诊断系统(OBD)物理接口的处理上还是非常之谨慎。”
当然,汽车的功能越来越多,也会给车主带来消极影响,此次闹得沸沸扬扬的黑客入侵事件就是例证。“车企还需寻求相关部门制定政策法规来规范市场,同时也要加强重视对跨界技术的学习和掌握。”叶盛强调指出。
论衡小结:值得欣慰的是,目前绝大部分汽车最关键的行车电脑部分仍然处于“封闭式保护”之下,整车厂对此还是持非常谨慎的态度,黑客尚不能造成大范围严重后果。不过,欲在短时间内根除已存的车联网安全漏洞或还较困难。但是建立汽车信息安全保障已是刻不容缓。车企除了在技术上加大投入、强化信息安全;更需要寻求相关立法部门援助,保护企业与消费者不受黑客肆意攻击。
论衡之三:安全瓶颈会不会制约车联网的发展?
尽管近年来车联网发展势头迅猛,但被公开报道的车联网安全漏洞事件也不少。我们知道,车联网由设备商、移动数据提供商、软件开发三部分组成。然而,大部分情况下三者之间都是各自为营,相对独立,这种情况下的安全问题更令人担忧。安全会不会成为制约车联网的发展的瓶颈?汽车是不是越智能越好?
对此,受访专家一致认为,问题发现得比较及时,会倒逼各车企提早重视并建立防护系统,对车联网的发展不会有太大影响。
张兆钧告诉记者,这是一个很好警惕,“事情发生后,整车厂必然会重视汽车网络安全,并加强研发投入,启用防护技术。”实际上,防护技术在IT信息行业已经较为成熟,其最为核心的原理技术不需要再做特殊开发,概念和技术都存在,汽车行业可以引用其经验和技术原理来尽早解决问题。
叶盛同样认为,“目前问题处于可控范围,问题的产生会加速整车厂和相关供应商对网络安全问题的重视并解决。”首先处理应用较多的影音娱乐导航系统的问题,其次,在安全驾驶和远程控制上,除了提供车主便利的同时进一步加强其安全性。叶盛还指出,人、车、互联网的互动趋势无法改变,车联网的发展仍将继续前行。
最后,张兆钧亦指出,汽车未来仍会朝着智能制造方向发展。“随着科技的进一步发展,汽车智能互联会是一种趋势,智能的最后一个阶段即自带司机功能,到时,关掉这个功能,体验自己开车或许会成为少数发烧友的特殊喜好了。”
论衡小结:车企在信息安全方面的投入和重视不足是车联网安全漏洞产生的重要原因。如今,车联网安全漏洞已公诸于众,不管是为了保住其百年汽车品牌也好,还是为日后车联网的发展开路也罢,加强研发投入、建立起一套行之有效的网络安全管理体系、提高网络运营人员的安全素质已成为众车企的当务之急。
盖世论衡:是盖世汽车研究院打造的一个品牌汽车评论栏目,透析汽车行业的新现象,新热点,新规律,新趋势;以行业资深专家、权威媒体人及企业高管为发声主体,多层次、多角度探讨变化中的中外汽车业。