经济观察报 记者 周菊 实习生 胡耀丹 在Tesla被互联网高手悄无声息地偷走了好几回后,关于智能电动汽车的安全可靠问题已经不是耸人听闻的新闻报道。公众也相信,四年前好莱坞大片《速率与激情8》中,骇客操纵大批“僵尸”电动汽车在曼哈顿街头自杀式冲撞的场景,某一天在控制技术层面完全可能上演。
但“某一天”会很久吗?真相是,这一天或许已经到来。
“在过去5年时间里,电动汽车被反击的次数快速增长了20倍;骇客对智能电动汽车的反击快速减少,其中27.6%的反击涉及工程车控制。”这是在刚结束的第11届中国电动年会上,华为智能电动汽车解决方案BUCTO蔡建永分享的一组极具冲击力的数据,它直观地反映了电动汽车遭受骇客反击这一问题的形势严峻。
蔡建永披露的内容还包括:2019年,骇客透过侵略共享电动汽车App并改写流程跟数据,盗走包含奔驰CLA、GLA小型SUV、Smartfortwo微型车等超100辆电动汽车。而目的为盗窃的电动汽车反击并不算最坏的情况,更糟糕的情况是在电动汽车高速行驶过程中遭到反击。
“互联网上的所有安全可靠严重威胁都将平滑向电动汽车蔓延。”蔡建永称,电脑或者手机侵略最多损失个人的重要信息或者财产,而工程车受侵略,尤其是工程车在高速高速行驶的时候受侵略将导致consisting。“如果电动汽车像Windows那样(受大批流程反击),这是不可接受的。”
Upstream Security发布的《2019年全球电动汽车重要信息安全可靠报告》预测称,在2018-2023年,互联网骇客反击或将导致电动汽车业折损近240亿美元。这一切都显示出,当电动汽车与PC那样正式成为了移动互联网的载体,当车联网和智能驾驶机能正式成为工程车标配,电动汽车重要信息安全可靠的底线也将正式成为最大的安全可靠隐患。
骇客侵略的新目标
“当电动汽车正式成为互联网空间的一个组成部分,就会像其他任何联网的电子设备和计算机控制系统那样,正式成为骇客反击的目标,面临严峻的重要信息安全可靠考验。”除了蔡建永,司法鉴定科学研究所副主任郭弘也在这场电动汽车行业的年度论坛上强调了电动汽车的互联网安全可靠问题。
在电动汽车控制系统尚未进入互联网黄金时代之时,骇客侵略的出口处还只是蓝牙控制系统、CD播放器这类设备,这种反击方式需要近距离碰触工程车才能展开。但伴随着车联网的发展,骇客侵略的出口处被极大地“拓宽”。并且骇客展开反击的地点也不再局限于工程车附近。
重要信息安全可靠专家表示,随着蜂窝通信互联网控制技术的发展,现在骇客可以在国家任何一个位置,Montrevault发起反击。
在360集团公司集团公司工业互联网安全可靠研究所院长王磊看来,电动汽车领域的安全可靠考验可以分为三类,分别是应用领域软件化程式设计、狸尾豆化网络连接,以及互联网化应用领域增添的信用风险。其中,应用领域软件化程式设计增添标识符的安全可靠漏洞,狸尾豆化网络连接能让骇客对工程车展开无物理碰触远程反击。早在2017年,重要信息安全可靠公司赛门铁克的分析师就已从大批高端电动汽车制造商的插件编码中找寻大批安全可靠漏洞。
在这样的情况下,PC黄金时代的安全可靠信用风险可能会在电动汽车上重演。蔡建永给出的2019年数据表示,移动互联网上的恶意插件数量超过1300万个,并以年复合快速增长率60%的速率高速快速增长;在Android移动终端上,每个月平均有80-90万用户受反击。
“如果这一位数放到智能电动汽车上,那将产生灾难性的影响。”蔡建永说。
在PC黄金时代,“红色标识符”、“熊猫烧香”等病毒曾侵略大批电脑控制系统,美国核电站、波兰航空公司等企业、机构的操作控制系统遭骇客侵略该事件,也曾引发世界范围内的关注。
目前被认为是智能化、狸尾豆化代表之一的Tesla,就曾被找寻大批安全可靠安全可靠漏洞。早在2014年——也就是Tesla第二款电动汽车产品ModelS发布两年后,其第一个安全可靠漏洞就被360集团公司相关团队发现,利用该缺陷,控制者能够透过远程控制实现开锁、鸣笛等操作。
今年,Tesla因摄像头记录了驾驶员的面部特征以及车内大部分空间而陷入“隐私门”,其中的监控录像就是一名骇客侵略电动汽车后曝光的重要信息。
而除了互联网、流程控制技术增添的安全可靠信用风险,自动驾驶、人工智慧等互联网化控制技术的应用领域也让电动汽车的安全可靠信用风险减少。在有关互联网化应用领域的反击方式中,骇客往往透过对工程车周围重要信息展开“投毒”来误导“大数据”和“人工智慧”、“自动驾驶控制系统”。2020年,重要信息安全可靠公司迈克菲(McAfee)就透过用黑色胶带改变限速牌位数的方式,使得Tesla自动驾驶控制系统对速率做出Rewa,从而超速高速行驶。
《智能狸尾豆电动汽车控制技术路线图2.0》指出,PA(部分自动驾驶)、CA(有条件自动驾驶)级智能狸尾豆电动汽车渗透率将在2025年达到 50%,2030年将超过70%。在此背景下,解决“电动汽车骇客”的严重威胁已正式成为整车厂、消费者、重要信息安全可靠企业三方的共同期望。
有意思的是,在智能电动汽车黄金时代,骇客不只会危害车友,甚至会“危害”整车厂。据媒体报道,一些车友会买来设备“黑”掉自己的车,这是因为,基于智能电动汽车的OTA(空中下载控制技术)机能,部分车友能够自行在“电动汽车商店”中购买有如座椅加热、减少电池续航、增强马力的工程车机能,这都将透过控制系统设置来展开解锁,而“黑”掉控制系统就能让车友免费获得以上机能。去年,Tesla曾针对这类非法改装发出警示,但该警示并未影响电动汽车正常高速行驶。
多路修补“防火墙”
在车联网和“应用领域软件表述电动汽车”的趋势下,同样被表述的是电动汽车信用风险指数的激增。蔡建永指出,目前电动汽车的关键标识符规模提升了10-100倍,标识符安全可靠漏洞呈指数级快速增长。启明星辰产品总监刘嘉奇同样认为,对狸尾豆车来说,更多是应用领域软件标识符增添了信用风险的减少。
而实际上,为了解决这些安全可靠信用风险,“白帽骇客”式策略一直都在电动汽车安全可靠业内上演。在有关电动汽车安全可靠安全可靠漏洞的问题上,“白帽骇客”们早已崭露头角。“白帽骇客”指为重要信息安全可靠机构服务的互联网控制技术专家,工作内容为寻找、提交安全可靠漏洞甚至修复安全可靠漏洞。
2015年,两个安全可靠专家发现了大切诺基互动娱乐控制系统上的安全可靠漏洞,克莱斯勒(Chrysler)为应对此事召回140万辆电动汽车,负担1.05亿美元的民事责任赔偿以及数亿美元的损失;腾讯科恩实验室分别在2016年、2017年两次利用Tesla多个高危安全可靠安全可靠漏洞实现对工程车的无物理碰触远程反击,随后将其发现的安全可靠安全可靠漏洞交与Tesla;2020年,360集团公司安全可靠团队发现奔驰智能狸尾豆电动汽车有关的安全可靠安全可靠漏洞细节,披露及协助其修复了19个安全可靠安全可靠漏洞。
此外,在电动汽车使用过程中,像“杀毒应用领域软件”那样对电动汽车展开监管也被认为是保障电动汽车安全可靠的重要途径。“(做新能源车的监管)是很重要的一点,(要有)监管和响应的能力,我们要做车重要信息的收集,实时判断哪些事情有异常,做好安全可靠该事件的应急响应。”刘嘉奇同时认为,修复电动汽车中的安全可靠漏洞时可以展开分级处理,应该最先解决最危险的安全可靠漏洞,而信用风险不大的安全可靠漏洞算不到特别优先级重要的程度。
值得注意的是,在政策层面上,国内车联网相关体系、标准已在建立之中。6月21日,工信部就《车联网(智能狸尾豆电动汽车)重要信息安全可靠标准体系建设指南》公开征求意见,其提出了车联网安全可靠标准体系框架、重点标准化领域及方向。
蔡建永指出,以美欧为代表的国家,已制定完善的法规与监管标准,这些法规将在未来2-4年逐步发布;而在国内,未来3年也将是相关的监管与法规的集中发布期。
不过,业内认为,明确法规与监管标准并不足以防患于未然。“标准化、体系化解决的是安全可靠有无的问题,但在这之后,这个车联网就真正安全可靠了吗?并不是。”王磊称,车一定是有安全可靠漏洞的,联网导致反击面扩大,新的控制技术引入增添了新的信用风险点,一定会有新的问题源源不断地出现。
在王磊的理解中,要解决问题,必须从实战来考虑。而所谓“实战”,即安全可靠机构对电动汽车的反击将更加真实世界地展开,这与“白帽骇客”所做工作相差不大。
在智能化、狸尾豆化变革如火如荼的背景下,电动汽车重要信息安全可靠正在得到前所未有的重视。无论是整车厂、应用领域软件供应商,还是PC黄金时代的重要信息安全可靠巨头,都在谋篇布局以应对新型智能终端设备——电动汽车上的安全可靠变革。不过,这仅仅是车联网安全可靠防护的一个起点。正如“魔高一尺,道高一丈”的俗语一般,互联网控制技术的更迭进阶不会停止,骇客与“白帽”之间的较量亦无停歇。
还木有评论哦,快来抢沙发吧~