駭客與汽車“開戰” 車聯網能否躲過一劫？

近來，Jeep吉普的Cherokee等車型被曝出存在軟體漏洞，駭客可通過鑽空子遠程操控車子的各種功能。旋即，飛雅特克萊斯勒及時宣佈在美國召回140萬輛存在軟體漏洞的汽車，這成了汽車產業史上首次因駭客隱患發起的大召回。此前，先後有福特（FORD, F-US）、豐田、特斯拉（Tesla, TSLA-US）、BMW、勞斯萊斯、比亞迪等，均被爆出其產品可通過網路被入侵。一時間，車聯網引發的網路安全問題得到業界的高度重視。

車作為一種重要交通工具，和電腦、手機等不同，汽車如果被“駭”，輕則導致資料洩漏、錢財受損，重則危及人生安全。那麼，在車聯網發展的過程中，安全漏洞真的難以避免嗎？車載網路應用與保護駕駛的技術該如何協調？安全問題會否制約車聯網的發展？本期蓋世論衡特邀衍進商務諮詢(上海)有限公司首席合夥人張兆鈞、益普索研究集團研究總監葉盛圍繞以上問題展開討論。

論衡之一：車聯網發展的過程中，安全漏洞真的難以避免？

這個夏天，多起汽車被駭客入侵事件讓車聯網安全成了大眾關注的焦點。7月份，兩位白帽駭客（注：白帽駭客與黑帽駭客不同，其不會惡意利用漏洞牟利，而是將協助相關機構提升電腦或網路系統的安全性）宣布，在一項測試中入侵到Jeep Cherokee搭載的Uconnect車載系統，通過該軟體可以遠程向車載系統發送指令來控制汽車。隨後，菲亞特發起了汽車產業史上首次因駭客隱患的大召回，這也拉開了駭客與汽車“戰爭”的序幕。試問，在車聯網的應用過程中，汽車安全漏洞是否真的難以避免？

對此，葉盛表示，汽車作為獨立的商品，當與網路聯接後，實際就承擔著和網路同樣的風險。“與銀行等使用網路技術來提高工作效率和人機互動體驗所面臨的風險一樣，汽車使用網路導致的安全隱患也將無法避免。”在他看來，駭客破解本來就是矛與盾的問題，只要是人為參與的軟體設計和後台加密都是有機會讓特定人群來進行破解的，且大部分整車廠在這方面業務都是外包模式。“通用Onstar（安吉星）的硬體就是採取外包模式，這就使得軟體與硬體供應商之間存在模糊地帶，給駭客提供了可趁之機。”

張兆鈞指出，車聯網漏洞問題的由來是有軌跡可循的。互聯網技術的發展，尤其是無人駕駛的刺激才使得整車廠逐步放開了汽車與互聯網的連接部分。

其分析指出，早期汽車的研發設計中，整套車機作業系統/車載資訊娛樂系統都由整車廠獨自研發完成，在全封閉的情況下，駭客根本無從下手。近年來，整車廠意識到傳統車機已經無法滿足消費者對於互聯化、智能化的需求，但由於汽車研發週期長，難以適應移動互聯網短至半年甚至三個月的更迭速度，且研發成本過高，於是，汽車廠商不得不放開對車機端的控制。然而，在網路安全方面，整車廠研發人員並不像傳統IT人員一樣擁有較高的敏感度，後台開放後很可能殘留一些可操控的漏洞，這就給駭客入侵提供了契機。

“車聯網安全隱患主要表現為兩個層面，一是遠程控制汽車本身，這種危險級別最高，將直接影響汽車整體運行狀況；二是聯網後汽車的操作系統、操作軟體等各種服務系統的控制。”

張兆鈞坦承，車聯網問題是汽車與互聯網結合過程中無意間留下的，但安全漏洞隱患必將引發陣痛和教訓，這是車廠投資少、重視度不夠的後果。

論衡小結：回顧汽車安全漏洞發生的歷程可知，互聯網的衝擊迫使傳統汽車製造商開放部分車機的控制接口，也在無意間埋下了安全漏洞的種子。早期，車廠對網路安全意識不強，兼之這方面投入成本過高，使其未能建立起一套行之有效的網路安全管理體系。如今，汽車已然裸奔於駭客眼中，互聯網技術的相對滯後讓車廠頻頻中槍。問題的出現，給車廠在資料安全上敲響了一記警鐘，尤其是中國汽車企業，在依賴外來技術時，更是要加強防衛警戒，防患於未然。

論衡之二：當前車載網路的應用是否邁進太快，而保駕護航的進展顯得落後？

可以想像，汽車的附加功能變得越多越複雜，更多的駭客入侵也就無法避免。擺在車企眼前的難題是保駕護航能否跟得上車載網路的應用，特別是駭客技術的發展。據彭博社等外媒指出，以BMW、奧迪和奔馳為代表的車企在車載技術方面的競爭早已超過了動力方面，功能應用發展和安全防護措施進步之間並不見得能保持同步。

當前，車載網路的應用是否邁進太快，而保駕護航的進展顯得落後？

對此，張兆鈞認為，原廠生產製造的汽車，其網路安全的防範問題不必過分擔心，只有設備受第三方控制時才會有漏洞可尋。其指出，能否控制並影響汽車安全，關鍵還得看汽車內部的行車電腦/ECU電子控制單元。“行車電腦的控制權被拿走了，或者被穿透了才有可能，而行車電腦也是有製造商獨家掌控。”車廠對接口的​​開放非常謹慎。“現在，駭客能做的僅僅是入侵到一些公用的或者大家比較熟悉的系統，而這樣的接口也很有限。”

同時，張兆鈞也指出，駭客入侵汽車網路想要造成惡劣影響並沒有那麼容易，中國暫時不會受到太大影響，“從中國目前的發展情形看，大多數車廠的技術研發還沒有達到這個程度，都還處於大門緊關狀態，真正要擔心的是那些少數走到研發前端的車廠，如特斯拉等，他們一開始運用了大量現成的互聯網技術來至支撐整個系統，所以這些車廠的風險比較大。”

在葉盛看來，車聯網的發展進程還比較慢，各大車廠也都比較封閉保守。“現在，車跟車互動還沒有，主要還是集中在娛樂導航方面，但是車廠在車載自動診斷系統（OBD）物理接口的處理上還是非常之謹慎。”

當然，汽車的功能越來越多，也會給車主帶來消極影響，此次鬧得沸沸揚揚的駭客入侵事件就是例證。“車廠還需尋求相關部門制定政策法規來規範市場，同時也要加強重視對跨界技術的學習和掌握。”葉盛強調指出。

論衡小結：值得欣慰的是，目前絕大部分汽車最關鍵的行車電腦部分仍然處於“封閉式保護”之下，車廠對此還是持非常謹慎的態度，駭客尚不能造成大範圍嚴重後果。不過，欲在短時間內根除已存的車聯網安全漏洞或還較困難。但是建立汽車資料安全保障已是刻不容緩。車廠除了在技術上加大投入、強化資料安全；更需要尋求相關立法部門援助，保護企業與消費者不受駭客肆意攻擊。

論衡之三：安全瓶頸會不會制約車聯網的發展？

儘管近年來車聯網發展勢頭迅猛，但被公開報導的車聯網安全漏洞事件也不少。我們知道，車聯網由設備商、移動數據提供商、軟體開發三部分組成。然而，大部分情況下三者之間都是各自為營，相對獨立，這種情況下的安全問題更令人擔憂。安全會不會成為制約車聯網發展的瓶頸？汽車是不是越智慧越好？

對此，受訪專家一致認為，問題發現得比較及時，會逼各車廠提早重視並建立防護系統，對車聯網的發展不會有太大影響。

張兆鈞告訴記者，這是一個很好警惕，“事情發生後，車廠必然會重視汽車網路安全，並加強研發投入，啟用防護技術。”實際上，防護技術在IT資訊產業已經較為成熟，其最為核心的原理技術不需要再做特殊開發，概念和技術都存在，汽車產業可以引用其經驗和技術原理來儘早解決問題。

葉盛同樣認為，“目前問題處於可控範圍，問題的產生會加速車廠和相關供應商對網路安全問題的重視並解決。”首先處理應用較多的影音娛樂導航系統的問題，其次，在安全駕駛和遠程控制上，除了提供車主便利的同時進一步加強其安全性。葉盛還指出，人、車、互聯網的互動趨勢無法改變，車聯網的發展仍將繼續前行。

最後，張兆鈞亦指出，汽車未來仍會朝著智能製造方向發展。“隨著科技的進一步發展，汽車智能互聯會是一種趨勢，智能的最後一個階段即自帶司機功能，到時，關掉這個功能，體驗自己開車或許會成為少數狂熱者的特殊喜好了。”

論衡小結：車廠在資料安全方面的投入和重視不足是車聯網安全漏洞產生的重要原因。如今，車聯網安全漏洞已公諸於眾，不管是為了保住其百年汽車品牌也好，還是為日後車聯網的發展開路也罷，加強研發投入、建立起一套行之有效的網路安全管理體系、提高網路營運人員的安全素質已成為眾車廠的當務之急。(文/雷雲)

《蓋世汽車網授權轉載》