也许离你并不遥远 一篇文章读懂汽车网络安全

网络安全技术是实现自动驾驶的关键之一，未来自动驾驶趋于成熟的时候，网络安全也许会成为最后一道瓶颈。然而在各车企和无数创业公司如火如荼研究自动驾驶的今天，网络安全却似乎正被人们忽视。

最近美国出了不少大新闻，川普通过大数据公司分析5000万Facebook用户个人信息，并投放政治引导性广告进而影响大选的事让美国民众炸了锅，社交平台上诸如“如何删除Facebook个人信息”等帖子被大量转发，网络信息安全一时间风声鹤唳，每个人都开始回想自己似乎也有曾被广告“精准投放”的经历。

今天，信息泄露可能会让商品折扣信息更精确地找到你，产生些预算外的开销，更严重点可能会有掌握你个人信息的骗子找上门来，增加被骗的风险。这些其实还只是些财产损失。但如果将来自动驾驶的时代来临，与外界联网的车辆被黑客袭击而失去控制，可就是人命关天的大事了。

今年九月，慕尼黑将举办一年一度的Hackathon黑客马拉松，今年这场开发者盛会的主题之一就是互联交通时代的网络安全。今天我们也分三个部分来聊聊这个话题，首先来看有哪些汽车被黑客攻击的实例，其次，聊聊各国汽车网络安全的研究现状，最后做个小科普，看看黑客都能从哪几种途径入侵我们的汽车。

汽车网络安全，离我们并不遥远

目前已经实现的ADAS（高级辅助驾驶系统）和自动驾驶之间有个根本区别，就是容错率不同。ADAS的警报可以有一定的容错率，因为人可以主观进行修正，而自动驾驶的容错率必须是0%，小的差错都可能车毁人亡。而确保这种安全主要分两个方面，一个是Safety，即自动驾驶本身的技术不出差错，另一个是Security，即网络安全，是系统面对外部攻击时安全机制。

虽然前几天Uber的事故让人不禁对技术层面担忧，但我个人还是相信伴随着不断研究，自动驾驶技术的完善只是时间问题。而网络安全方面，如今几乎所有新车都带有手机镜像或智能App等网联功能，诸如安吉星和一些品牌的App已经可以做到车辆远程定位，远程开关车门甚至操控车辆，随着未来汽车网联化进一步加深，车辆被黑客攻击的风险也随之增大，而传统的汽车设计其实并未考虑会遭遇大规模网络攻击的情况，这部分的研究其实刚起步不久。

事实上，过去几年黑客袭击车辆的事屡见不鲜，中招的各车企中以克莱斯勒影响最为轰动。那还是2015年，两名白帽黑客Charlie Miller和Chris Valasek远程入侵了一辆正在路上行驶的切诺基（自由光），并对其做出减速、关闭引擎、突然制动或者制动失灵等操控。事件一出业界震惊，克莱斯勒为了防止汽车被黑客攻击，共在全球召回了140万辆车并安装了相应补丁。这两名白帽黑客也“自荐”成功，目前就职于通用的自动驾驶子公司。

去年，腾讯网络安全实验室的研究人员还成功远程入侵了一辆特斯拉Model X，实现对多个ECU的操控，并在没有车钥匙的情况下实现开闭车门，控制灯光系统，播放音乐等功能。

过去几年间，除了上述事件之外事实上还发生了几百起黑客操控汽车的案件，涉及诸多品牌和车型。车辆网联时代近在眼前，人们需要网联技术来提供服务以及实现远程诊断等功能，但随之而来的则是巨大的网络安全风险。

几个记录在案的黑客入侵汽车事件及入侵

无人驾驶卡车是另一个颇有前景的发展分支，特斯拉就已经有了无人驾驶电动卡车的产品。乘用车被黑客入侵威胁乘客安全，而长途跋涉并携带昂贵物资的卡车，譬如一列为4S店供货载满911的卡车车队，如果一旦被黑客操控，随之而来的将是巨额的财产损失。

网络安全赛跑，各国参与度如何？

事实上汽车网络安全问题已经引起了人们注意，各国都相继召开了汽车网络安全峰会，今年一月，第三届中国汽车网络安全峰会在上海召开，对加强CAN总线传输安全，车载芯片加密保护等技术做了讨论。虽然目前和研究自动驾驶科技比还相去甚远，但世界范围内对汽车网络安全的重视呈度已经越来越高。

在技术方面处于领跑地位的是以色列的公司，其中Cyber Ark、Check Point和Palo Alto Network等公司都已在纳斯达克上市，他们都是由以色列国防军精英情报部门的技术人员所帮助创建的，其余诸如创业公司Argus Cyber Security也在前不久被大陆以四亿美金的价格收购。

大陆汽车网络安全示意图

法规标准化方面，美国走在各国前列，2016年，美国SAE就发布了以车辆系统功能安全为核心的J3061标准和《汽车网络安全实践》，制定了安全分级和风险评估等标准。去年九月，中国信息通信研究院也发布了《车联网网络安全白皮书》，阐述了网络安全威胁分析和防护策略。

欧洲方面，大陆博世等零电子零部件巨头都在研发网络安全解决方案，哈曼与PSA也结成网络安全战略新伙伴。国内则有CIIA智能网联汽车安全实验室，360、腾讯汽车网络安全实验室等进行相关研究。

黑客如何入侵？有何安全建议？

黑客通常由外部接口侵入汽车网络系统后将病毒代码通过总线传送至ECU，经研究，一辆车约有50个接口可能被入侵，其主要分为：

·远程通讯系统：比如紧急救援，车载电话以及未来的远程诊断等。·信息娱乐系统：比如U盘内的MP3文件，车载智能应用等。·手机互联APP：借助一些Carplay功能，通过公共WIFI或一些非法App将携带病毒数据传至手机，进而连接进入车辆。·OBD-II系统：借助物理连接车辆诊断系统侵入ECU。·门锁系统：门锁通常与车内系统连接以实现如车钥匙忘在车内提醒等功能，黑客通过仿制车钥匙信号进入门锁系统进而控制与之相连系统，这种方式难度较大。

各车企和网络安全公司的解决措施主要是通过分区，虚拟化等方法隔离关键模块（ECU，Gateway等），并在关键模块的数据通路上多层加密、设置冗余系统并设置远程监控，一旦发现车辆被控制，启用冗余程序强力终止攻击并重获控制权、以及建立安全信息市场，悬赏车辆漏洞信息等。

在现在尤其是不久的将来，汽车网络安全将和每个人息息相关，，踢车帮也在这里给广大车主们提几条防止汽车被黑客入侵的小建议：

·车载软件及时更新并及时关注厂家公告（软件更新可能会修复漏洞）·对汽车原装软件进行修改时应小心注意·给汽车连接第三方设备时应先确定其安全性（如连接公共WIFI的手机）·当其余人用外部物理设备链接汽车时应小心警惕·离开车时切勿忘记锁车

最后愿大家都能小心驾驶，出入平安。