2015年,一辆吉普切诺基被两名安全工程师远程侵入并操控,此后菲亚特克莱斯勒召回了140万辆汽车。这起远程“黑客”攻击事件引发了汽车行业对联网车安全设计的高度关注,同时也被认为是对汽车行业产生巨大影响的标志性事件。而在2016年8月,360汽车安全
实验室首次通过传感器漏洞破解了特斯拉自动驾驶系统……
近年,事关车联网安全事件频出,如果说这些事件不足以说明问题的严重性,那么《速度与激情8》中无人驾驶失控的局面如果变成现实,当社会和生命安全遭受摧残性威胁的时候,恐怕任何唏嘘已晚。尤其是随着汽车智能化的快速发展,车与车、车与互联网、车与道路等基础设施的联网程度将逐步深入,而潜在的入侵点和漏洞亦将会成几何性的增长,因此车联网安全问题的严重性已经到了不容忽视的地步。
车联网安全“漏洞”升级 行业亟待协同发展
随着智能化、联网化程度不断增加,如今汽车已经变成名副其实的万物互联时代的智能终端设备。据了解,目前汽车的普通车型拥有25到200个不等的ECU(电子控制单元),高级轿车有144个ECU连接,软件代码超过6500万行,无人驾驶的软件代码超过2亿行;5年之后,每一辆智能汽车每天产生的数据量在4000GB左右。360车联网安全中心安全专家刘健皓表示,随着汽车中ECU和连接的增加,将大大增加黑客对汽车的攻击面,尤其是汽车通过通信网络接入互联网连接到云端之后,每个计算、控制和传感单元,每个连接路径都有可能因存在安全漏洞从而被黑客利用,实现对汽车的攻击和控制。
而360补天漏洞响应平台总经理白健亦指出,“汽车行业的信息安全相对金融等行业来说弱一些,且高危漏洞占比较大,因此安全工作还有很长的路要走。”同时其指出,车联网安全未来还将面临数字化转型、漏洞攻击产业化、人才匮乏等挑战。
然纵观我国车联网安全目前的发展,固然行业和各企业已经引起关注,部分企业还组建了相应的团队,但整体处于各自为战、摸着石头过河的阶段。然每个人都清楚车联网安全问题涉及领域较多,更多的需要行业间的协同和产业间的支撑。
为了协同行业之间的资源互补,聚集上下游厂商力量共同驱动车联网安全产业快速向前发展, 近日,由360筹备发起的中国车联网安全联盟正式启动,这是国内第一个专注于车联网安全研究与实践的联盟组织。360集团技术总裁、首席安全官谭晓生表示:“随着这个世界对于网络的依赖日益加深,很难想象一家公司就能把一个事情全部搞定,因此协同发展是一种形态,我们组织成立车联网安全联盟,希望更多相关的企业参与进来,通过产业链的力量来去解决问题,最终的目的就是未来让普通的老百姓都能够安全出行。”
软件升级与车联网安全
不过,在联盟的发起成员中,发现OTA领域服务商上海艾拉比智能科技有限公司赫然在列。OTA因汽车智能发展需求,近两年备受行业关注,尤其在特斯拉已经将OTA技术大规模应用在自家车型上之后,越来越多的车企及相关企业开始投入。不过不解的是其涉及的是软件升级,跟车联网安全有什么重要的实际关联?为何360在联盟初建时就会将其列入其中?
对于此问题,上海艾拉比董事长孙荣卫表示之前也有考虑过,不过其在跟行业人士的交流中最终找到了答案:安全和升级是天然的一个亲兄弟,安全支持升级,升级保障安全;另外安全不是绝对的,车联网方案今天是安全的,但并不代表明天也会安全,而软件稳定的升级是安全的最后一道保障。
“虽然我们没有360这样大的资产规模,然而我们在技术上我们有多年的积累,并在历史上有服务过十几个亿的终端安全,而对于OEM未来自主进行的不同安全配套厂商的选择,艾拉比会进行定制化的适配,并通过服务经验来保证适配效率,或许这也是360选择我们的原因之一。这次我们很荣幸和360一起牵头发动这样的产业联盟,不过我们深知车联网安全不是一两家企业的问题,是一个产业生态,需要更多的合作伙伴共同参与。”孙荣卫说道。
据了解,自产品研发阶段开始,艾拉比即陆续与众多汽车网络安全厂商达成战略合作,为客户提供安全稳定的解决方案。而在车联网安全方面,一直置身其中,并与360智能网联汽车安全实验室、吉大正元、联合汽车电子等多个厂商还联合发布了网联安全概念车整体解决方案。
OTA升级是保障汽车安全的有效手段
市场调研机构 ABI Research 报告曾指出:到2022年,路上跑着的大约2.03亿台车将可能通过无线方式进行软件更新,而这些车辆中,至少2200万辆有可能连固件都能更新。而丹麦咨询公司Navigant则称,到2025年,全球近半数轻型车销售,将会包含可启用无线软件更新解决网络安全、功能和合规问题的车载通信能力。因此在一定程度上可以说,只要汽车软件能像在任何移动设备上一样被更新,将在较大程度上防御新的威胁。
上海艾拉比智能科技有限公司总裁芮亚楠在接受盖世汽车采访时表示,通过OTA技术,未来具有强大硬件性能和软件OTA能力的车辆,才能成为真正意义上的智能终端。而OTA在导入全新功能和提升用户体验的同时,也是保障汽车安全的最佳手段,其可解决低成本软件故障、软件风险应急响应、安全漏洞修复等潜在问题,例如,当汽车遭遇黑客攻击时,可通过OTA的方式关闭受到攻击的服务,降低安全事故影响,同时查找安全漏洞,并通过OTA补丁升级的方式来修复漏洞,同时可以导入全新功能和提升用户体验。
不过,芮亚楠同时指出,作为未来解决安全漏洞问题的有效手段,OTA首先要保证自身体系的稳定性和可靠性。而在此方面艾拉比经过很多大规模的测试,并设定相应的机制以提高测试成功率。其次,OTA升级还需要信息安全来保驾护航,软件未来会越来越多,其防护变得很重要。目前车企通常是在基础软件体系上去加密来确保OTA信息安全,不过这远远是不够的,还需要对整个系统做深度测试和整体防护。
“之前我们提及汽车信息安全可能会觉得较为遥远,然现在涉及联网的车型逐步上市,车联网系统已经在应用,车企势必要经受住被攻击的风险考验。而艾拉比作为OTA领域的专业服务提供商,将与联盟一起,从行业标准规范制定、体系建立、产业环境营建等维度推动我国汽车信息安全产业的可持续发展。” 芮亚楠说道。
展望未来,车联网安全将成为安全产业发展的重要领域,整车厂商和服务提供商将成为车联网安全的关键角色。正如上述中所提到,汽车安全、车联网的安全还有很长一段路要走,这更需要各大供应商以及整车厂共同配合,车辆的前端市场、后市场的安全都要做到生态化的联动协调,共同驱动车联网安全产业快速向前发展。