信息安全問題如果無法解決，真正的智能汽車時代将永遠無法到來。

在前不久舉辦的世界智能汽車大會上，“黑客”對五款車進行了信息安全攻擊測試，攻入一輛汽車僅用了3分鐘的時間。

2016年，騰訊科恩實驗室通過 Wi-Fi聯入車内網絡，通過植入“木馬”，成功的遠程獲得了對一輛特斯拉汽車的控制權。

汽車聯網之後，黑客可以像曾經攻擊計算機一樣遠程攻擊汽車，竊取用戶數據和隐私，對汽車的儀表、雨刷、門鎖，甚至轉向、刹車等功能進行控制。

從前百分之百執行駕駛員操控指令的汽車竟然有可能會突然“失控”，這樣噩夢般的場景任何人都不想經曆。

預計到2020年，智能網聯車輛将達到3.8億輛。如此規模龐大的聯網車輛，如果信息安全得不到保障，後果将難以想象。

騰訊科恩實驗室李光輝介紹，當前，很多聯網車輛都會通過一個手機APP來體現其應用層價值，實現解鎖車門、調節空調溫度、查看油耗或電耗等功能。這就要求手機端必須和雲端進行通信，而在這一過程中将會産生一系列的安全隐患，如通訊是否經過高度加密？APP是否會有漏洞導緻權限被惡意利用？

此外，很多車企為了保證車輛産生的相關數據和用戶牢牢掌握在自己手中，通常會選擇使用私有化的雲服務，而與互聯網公司相比，這其實并不是車企最擅長的方面，在這樣的情況下，雲端服務的安全性是否能得到保證也要打一個問号。

因此，通過雲端和對外通信管道都有可能實現對車機端的攻擊。

而在車機端本身，汽車通常會通過車載信息娛樂系統和對外的通訊單元T-Box以及車輛的網關進行連接，如果娛樂系統以及T-Box在有網絡連接的情況下被惡意的提取授權，黑客将會對CAN總線進行惡意代碼執行，進而控制汽車的ECU進而控制汽車的空調、座椅、甚至刹車、轉向等功能。

以騰訊科恩實驗室對特斯拉Model S的遠程無物理接觸破解過程為例，科恩實驗室首先通過WIFI熱點聯入車内網絡，對車載信息娛樂系統植入安全研究用的特殊軟件，進而進入娛樂系統内核獲取車機Root權限，最終破解網關（Gateway）對CAN總線下發任意指令從而控制多個ECU。

由此看來，維護智能汽車的信息安全不能僅僅隻是單點突破，而是需要通盤考慮。

比亞迪信息安全團隊負責人朗文龍表示，汽車的安全防護就如同一個木桶，短闆決定了安全防護等級，因此，雲、管、端三個層面的安全防護缺一不可。

目前，不同的安全團隊也是主要從這三個層面分别入手來解決汽車信息安全問題。

朗文龍指出，在雲端方面，應做好防止DDos攻擊以及入侵檢測；在通訊管道方面，需要對通訊進行加密，使用支持TLS的傳輸協議進行傳輸，使用專用的APN等；在車機端的安全防護方面，應加強安全固件的開機驗簽，内核防root機制，運行環境的隔離機制以及接口的安全防護，在系統中建立一套完善的監控體系，做好車機端的策略管控等。

以小鵬汽車為例，車機端方面，安全團隊在車輛功能模塊上單獨設立安全芯片，使OTA數據先傳輸到安全芯片中，進行校驗、解碼，之後再刷寫相關模塊數據，一旦檢測到安全芯片中的數據存在安全風險，數據會自動銷毀；在手機APP端制定了白盒體系，相當于在APP中設置獨立的保險箱，将用戶核心的密鑰等敏感數據單獨儲存，以增加破解難度；服務器雲端基于阿裡雲這種曆經數次“雙11”檢驗的公有雲。此外，在與騰訊科恩實驗室的合作中，雙方還不斷通過攻防演練的方式來提高車輛信息安全能力。

一場前所未有的智能汽車信息安全保衛戰正在打響。

三

在這場全新的戰鬥中，帶有強烈互聯網基因的新興造車企業顯示出了一定的先天的優勢。

特斯拉成立之初就第一時間建立了Cyber Security團隊，目前已經組建了一隻40人左右的專業團隊，這些互聯網安全專家主要來自Google、蘋果、微軟。

2015年，特斯拉挖來了負責谷歌Chrome浏覽器安全團隊的克裡斯-伊凡斯(Chris Evans)，全面負責汽車的信息安全工作。

與此同時，特斯拉還歡迎來自全世界的黑客對其車輛進行攻擊，幫助其發現更多漏洞。如科恩實驗室在向特斯拉發送漏洞報告後，特斯拉在一個半小時内就給出回應，并在3天之内對90%的特斯拉車輛進行更新，并針對報告指出的問題更新了一套新的簽名驗證機制。

目前，特斯拉每年8月還會在美國拉斯維加斯舉辦一場全球頂級的“黑客”聚會，馬斯克更是會親自出席聚會和頂級的信息安全技術專家進行交流。馬斯克還鼓勵更多的信息安全研究者研究特斯拉幫助其做更多的安全提升，并表示會将這些安全技術對行業進行開源。

在國内的造車新勢力中，包括小鵬汽車、車和家在内的多家車企都已經建立了自己的信息安全團隊，并從汽車設計階段就全部參與其中。同時還和專業安全技術提供方展開深度合作。

然而，對于更多的傳統車企來講，這是一座未攀登過的險峰。

在傳統汽車時代，一代又一代的汽車人拼盡全力從結構設計、碰撞安全、安全氣囊、防抱死制動、座位安全帶預緊等方面對汽車進行全方位的武裝，力圖保證駕駛員、乘客和行人的安全。

傳統汽車人可以将汽車的功能安全做到極緻，但是現在汽車的安全不僅是硬件方面，還包括軟件安全。當面對汽車聯網後産生的新的安全問題，一種無力感已經将其深深包圍。

首先，很多車企在汽車設計之初對信息安全并沒有足夠的重視，也沒有意識到汽車會像今天這樣深度網絡化發展，例如汽車上廣泛采用的CAN總線就并沒有什麼安全機制。

小鵬汽車首席安全架構師譚蔚華指出，汽車應該在設計之初就将信息安全考慮在内，如果事後再試圖進行“補救”，無異于一棟樓蓋好後再加消防管道和消防通道，難度将會非常大。

以車載信息娛樂系統為例，如果在後期希望再對其進行安全防護，則需要在系統中植入一個新的密鑰到主芯片存儲區，這其中涉及到了包括娛樂系統固件、生産流程、内部算法在内的多方面的改動。如果這個娛樂系統是由第三方進行開發的，還涉及到項目變更、商務等問題，如果整車不支持OTA，還需要對車輛進行召回或者等車主進行保養時才能對其進行升級。譚蔚華表示，如此複雜的過程在信息安全領域還隻是算一個非常小的安全改動。

其次，傳統車企想要自己組建安全團隊異常艱難。

目前，網絡安全人員存在巨大的缺口，專業的信息安全人員的珍貴程度堪比大熊貓。美國有調查顯示，到2020年，美國網絡安全人員的就業缺口将達到200萬個。當前，互聯網公司的安全團隊想要招到專業的“黑客”都非常不容易，更不要說傳統車企的招人難度。

還有一個不可忽視的因素就是傳統車企對“黑客”們的吸引力較弱。信息安全的高手大多都是放縱不羁愛自由的性格，傳統車企很難給他們提供“放飛自我”的土壤，這也是為何互聯網企業，甚至帶有互聯網基因的造車新勢力更能吸引黑客們的重要原因。

一位第三方的信息安全專家透露，由于沒有屬于自己的專業安全團隊的支持，很多傳統車企在和他們進行合作的時候常常表現出需求不明确，并且無法提出系統化的安全需求文檔。

除此之外，信息安全防護并不是“一錘子買賣”，而是一個持續的過程。朗文龍指出，随着滲透測試技術的提升，已經推向市場的汽車還需要擁有持續更新補丁的能力，這對于車企的版本維護是一個比較大的工作量。如果沒有屬于自己的安全團隊，這部分的工作将很難順利進行。

在自己組建團隊極其困難而又不得不重視信息安全問題的時候，選擇一個靠譜的第三方安全團隊成為眼前傳統車企們一個不錯的選擇。然而，˙這又讓傳統車企面臨一個新的挑戰：一向“保守”的傳統車企是否能以開放的心态和安全技術提供方建立深度的信任。

譚蔚華特别強調了在信息安全方面車企和第三方合作時需要建立信任的重要性。他指出，要想真正做好汽車的信息安全，有很多地方需要滲透到代碼甚至汽車架構等非常細節的地方，漏洞都産生于細節，所以如果車企和安全團隊達不到極高的信任度就會産生巨大的問題。

互聯網安全已經發展了十幾年，在無數網絡安全專家的努力下，如今我們的計算機和手機已經很少發生“中毒”的情況。但對于汽車來講，信息安全還剛剛起步。

多名信息安全專家在接受采訪時指出，目前汽車安全防護方案仍比較分散，尚未形成統一标準，政府也尚未出台信息安全相應法規來規範市場需求，無法提供标準化的産品，産品目前不具備可複制性，其開發成本也比較高。

這是一場異常艱難的戰役。

無論的對傳統車企還是造車新勢力來講，這場戰役都必将取得勝利，相對而言，傳統車企面臨的挑戰更加巨大，這也讓傳統車企進軍智能汽車的道路更加艱難。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!