*圖片來自網(wǎng)絡(luò)

汽車安全并不是傳統(tǒng)意義上的「汽車功能性安全」。在過去，汽車廠商們都致力于將汽車功能做得更加安全，以保證駕駛員和乘客的人身安全。

但是，汽車行業(yè)在發(fā)展，越來越多聯(lián)網(wǎng)汽車、智能汽車的概念在我們生活里出現(xiàn)。這一趨勢帶來的隱患是——汽車一旦接入網(wǎng)絡(luò)，正如潘多拉打開了魔盒，將會帶來許多無法預(yù)知的危險。

這并非聳人聽聞。

在今年舉辦的騰訊互聯(lián)網(wǎng)安全領(lǐng)袖峰會上，騰訊安全科恩實驗室安全研究員薛瑋向我們分享了汽車信息安全方面的話題。他提到，在未來，汽車有 15 個攻擊面。

比如 Smartphone（智能手機(jī)），汽車廠商將無鑰匙功能開發(fā)成一個手機(jī) App，這當(dāng)中帶來的問題是，手機(jī)會不會有任何可能性被黑客利用？如果手機(jī)被黑客利用，手機(jī) App 還是否安全？薛偉提到，最近也有黑客在研究榮威 RX5，通過挾持手機(jī) App 來讓車打開車門車窗。

面對可能遭受攻擊的汽車，TPMS（胎壓監(jiān)測系統(tǒng)）也可能成為入口。比如，黑客可以侵入 TPMS 系統(tǒng)，讓胎壓顯示值過低。薛瑋說，某些車輛有這樣一個邏輯：在高速路上行駛，胎壓過低就會自動剎車，從而對用戶造成危險。

而 DSRC 系統(tǒng)（V2X 技術(shù)），這是一個車與車、車與公共交通設(shè)施、車與行人的通訊技術(shù)，能夠發(fā)送和讀取與車、道路相關(guān)的信息。如果黑客參與到這樣的環(huán)節(jié)，通過偽造信息讓車輛進(jìn)行緊急剎車，從而間接或直接控制這輛車，將有可能造成交通事故。

今年 9 月，科恩實驗室發(fā)布了對特斯拉無接觸式遠(yuǎn)程攻破。通過這種控制剎車無接觸式遠(yuǎn)程攻破，科恩團(tuán)隊可以將車輛的轉(zhuǎn)向助力或者剎車助力消除，造成的影響是車輛在行駛過程中方向盤無法轉(zhuǎn)動，也無法剎車，并且能在行駛的過程中打開天窗和折疊鏡。

面對上述不安全因素或者安全漏洞，有汽車廠商已經(jīng)開始行動。

據(jù)薛瑋的講述，特斯拉早已建立了一套完善的應(yīng)急響應(yīng)流程，并設(shè)立專門基金來獎勵發(fā)現(xiàn)安全漏洞的團(tuán)隊，獎金從 1000 到 10000 美金不等。這種激勵方式也是鼓勵研究人員以及白帽子發(fā)現(xiàn)更多汽車安全漏洞。

在分享的最后，薛偉提出，建設(shè)汽車信息安全的四要素：專業(yè)安全、安全工程、安全保護(hù)以及安全策略。

薛認(rèn)為，在汽車軟件開發(fā)上也可以借鑒之前互聯(lián)網(wǎng)的成果，比如 SDL、CMM 等標(biāo)準(zhǔn)。如今，SAE（美國汽車安全協(xié)會）也已經(jīng)推出了汽車信息安全指南，這是一個框架性的協(xié)議，能夠幫助汽車廠商完善自己的信息安全。

作為傳統(tǒng)汽車廠商的代表，北汽集團(tuán)技術(shù)研究院副院長榮輝給出了自己的看法。他認(rèn)為將來汽車是靠軟件、系統(tǒng)控制。所以，軟件錯誤和系統(tǒng)故障的錯誤必然會影響到汽車安全。

榮輝認(rèn)為，各大汽車研究院在設(shè)計汽車的時候，根本就沒有考慮到一個問題：軟件要根據(jù)汽車的特點重新設(shè)計。常見的做法是發(fā)現(xiàn)一個新功能就加進(jìn)來，越加越多，導(dǎo)致汽車上的代碼居然達(dá)到了1 億行。他說，汽車在將來一定面臨軟件要重新設(shè)計的過程。

比如，一輛 S-Class Mercedes 有 1 億行代碼，有上百個 ECU，5 個網(wǎng)絡(luò)。

CMM 模型（CMM 是軟件能力成熟度模型）規(guī)定：每千行代碼不得超過千分之零點三二，換句話說，每 1 萬行代碼，會出現(xiàn) 3.2 個軟件缺陷（Bug）。按照安全界經(jīng)驗，每 10 個普通的軟件缺陷（Bug）里就會存在 1 個安全漏洞，可能會被不法黑客利用。而這 1 億行代碼中，則存在 32000 個漏洞可能被黑客所利用。

面對潛在風(fēng)險，北汽的做法是打造「閉環(huán)」來維護(hù)汽車信息安全，即：從最基礎(chǔ)的元件到整個產(chǎn)品設(shè)計到研發(fā)、到生產(chǎn)整個過程當(dāng)中，試圖建立一個閉環(huán)。

榮輝提到，從 CPU 到主板，到傳感器傳送的信息，通過搭建一個中間件，將頂層和底層系統(tǒng)隔離開，這樣的好處是底層操作系統(tǒng)升級時，所有應(yīng)用可能不用進(jìn)行更改。

「汽車安全其實是一個藍(lán)海，汽車行業(yè)在信息安全方面是剛開始啟蒙。」騰訊安全科恩實驗室總監(jiān)呂一平告訴我們。

羅蘭貝格汽車行業(yè)中心專家時帥表示，汽車安全其實也帶來了機(jī)會。他說，預(yù)計到 2023年 裝載汽車防火墻的汽車將達(dá)到 1.8 億輛，帶來的價值是 7.6 億美元。這其中，大概一半是來自防火墻，另一半是許可、認(rèn)證等服務(wù)。

面對這樣一個潛力市場，該如何思考和行動？時帥拋出了 5 個問題：

• 是否應(yīng)該或可以從哪個領(lǐng)域切入智能網(wǎng)聯(lián)汽車安全的市場，是汽車網(wǎng)絡(luò)安全的硬件、軟件解決方案還是服務(wù)？

• 如何切入該市場，是自主開發(fā)系統(tǒng)性解決方案，還是尋求借力于日益開放的生態(tài)圈中的合作伙伴的能力？或是以收購的方式獲得能力？

• 應(yīng)當(dāng)與誰合作共贏實現(xiàn)安全問題的解決并創(chuàng)造價值？是整車生產(chǎn)企業(yè)，TSP 供應(yīng)商，還是互聯(lián)網(wǎng)公司？

• 何時是最佳的市場機(jī)遇？能夠快速地覆蓋多數(shù)消費者并建立競爭優(yōu)勢？

• 應(yīng)該以何種方式對相關(guān)的安全產(chǎn)品、解決方案與服務(wù)進(jìn)行定價？相關(guān)收費產(chǎn)品應(yīng)當(dāng)找誰買單？

在業(yè)內(nèi)，一個普遍認(rèn)同的趨勢是：2018 年后上市的的汽車，基本上都有網(wǎng)聯(lián)功能；到 2021 年后，隨著自動駕駛、無人駕駛的引入，將會給整個汽車行業(yè)帶來革命性變化。除了以前汽車廠商較為注重的功能安全外，汽車的信息安全將愈發(fā)重要。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。