日前,某進(jìn)口汽車品牌在華合資企業(yè)被爆出因官網(wǎng)后臺(tái)存在漏洞,導(dǎo)致10萬名車主的姓名、手機(jī)號(hào)碼、意向購買車型等信息或遭泄露的消息。而最近在北京舉行的HackPWN安全極客狂歡節(jié)上,參會(huì)的安全專家在沒有車鑰匙的情況下,利用發(fā)現(xiàn)的安全漏洞對(duì)汽車進(jìn)行入侵和破解,實(shí)現(xiàn)了遠(yuǎn)程開鎖、鳴笛、閃燈、開啟天窗等操控,特斯拉、奔馳等高檔品牌汽車都未能幸免。一時(shí)間,汽車領(lǐng)域網(wǎng)絡(luò)安全的話題再次處于風(fēng)口浪尖的位置。
汽車互聯(lián)程度越高是否越不安全?其網(wǎng)絡(luò)安全隱患主要來自哪些方面?現(xiàn)階段,汽車企業(yè)應(yīng)該如何保障信息安全?日前,記者就這一系列問題采訪了國內(nèi)互聯(lián)網(wǎng)漏洞報(bào)告平臺(tái)——烏云網(wǎng)安全專家、“白帽子”(也被描述為正面的黑客,可以識(shí)別計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞,但并不惡意利用而是將之對(duì)外公布。這樣系統(tǒng)將可以在被其他人,比如黑客攻擊前修補(bǔ)漏洞)王彪。
■最大的網(wǎng)絡(luò)安全隱患在云端
隨著移動(dòng)互聯(lián)技術(shù)的不斷應(yīng)用,汽車與外部的信息交換越來越頻繁,正逐步成為“云”上的超級(jí)移動(dòng)終端。這種變化一方面給人們的出行生活帶來了前所未有的便利和美好體驗(yàn),另一方面也帶來許多潛在的安全隱患。“汽車最大的網(wǎng)絡(luò)安全隱患在云端,一組服務(wù)器可以監(jiān)控成千上萬輛汽車的位置、行駛路線,甚至可以被用來操控制動(dòng)裝置和發(fā)動(dòng)機(jī),這類案例并不少見。”王彪告訴記者,“云端的控制權(quán)限非常強(qiáng)大,攻擊云端的價(jià)值比攻擊汽車本身大得多,成本也低得多。”形象地說,如果破解沒有聯(lián)網(wǎng)的車,需要的是嵌入式(軟件)人才,而這種人才因稀缺而身價(jià)極高。但對(duì)于互聯(lián)網(wǎng)汽車來說,云端都有入口、鏈接,幾乎每位IT人士都可以零成本地進(jìn)行相關(guān)測(cè)試和研究。“汽車互聯(lián)的程度越高,對(duì)攻擊者的價(jià)值就越高,其每個(gè)環(huán)節(jié)也會(huì)被更多的研究。”王彪稱。從現(xiàn)實(shí)情況看,根據(jù)烏云網(wǎng)方面的觀察,目前汽車行業(yè)網(wǎng)絡(luò)安全漏洞主要集中于對(duì)網(wǎng)站和云服務(wù)的攻擊。就網(wǎng)站而言,黑客主要竊取用戶和經(jīng)銷商信息。用戶在購車時(shí)填寫的身份證、電話號(hào)碼等信息如果沒有被保管好,往往被售賣;經(jīng)銷商信息則被篡改,以致于客戶在撥打4S店電話時(shí)發(fā)現(xiàn)查無此號(hào)。就云服務(wù)而言,更多的是物流、快遞、城市交通系統(tǒng)等相關(guān)廠商在運(yùn)用,通過車輛調(diào)度管理系統(tǒng)監(jiān)控甚至控制車輛; 一旦系統(tǒng)被入侵,黑客可以發(fā)布虛假指令,甚至斷油斷電和控制車速,后果將非常嚴(yán)重。然而,令人擔(dān)憂的是,這些廠商的后臺(tái)安全等級(jí)一般都不高。
國外的研究資料也顯示,汽車“黑客”的攻擊手法可能多種多樣。比如,通過在汽車的維護(hù)用端口設(shè)置特殊儀器,攻破車載系統(tǒng)漏洞,操控部分汽車功能;利用系統(tǒng)漏洞,控制原本用來防止輪胎破裂事故發(fā)生的輪胎壓力監(jiān)測(cè)系統(tǒng);使用廣域網(wǎng)攻擊車載LAN,造成遠(yuǎn)程打開門鎖等重大危害。
■車企普遍忽視網(wǎng)絡(luò)安全問題
據(jù)介紹,2011年至今,“白帽子”們?cè)跒踉凭W(wǎng)平臺(tái)上提交的汽車企業(yè)、經(jīng)銷商網(wǎng)絡(luò)安全漏洞達(dá)58個(gè),其中近一半可能導(dǎo)致數(shù)據(jù)泄露,涉及數(shù)百萬名車主的信息安全。其中,許多漏洞都是打上補(bǔ)丁、改個(gè)復(fù)雜密碼就能修復(fù)的低級(jí)漏洞,卻一直沒有得到相關(guān)方面的重視。汽車企業(yè)在保護(hù)網(wǎng)絡(luò)信息安全上為何存在如此大的疏漏?烏云網(wǎng)合伙人鄔迪認(rèn)為,根源在于很多車企不夠重視自身的信息安全建設(shè)。“從烏云‘白帽子’提交的漏洞來看,很少有車企會(huì)在聯(lián)系之后進(jìn)行認(rèn)領(lǐng),個(gè)別企業(yè)甚至主動(dòng)忽略。”鄔迪表示。
記者了解到,跨國車企的安全反應(yīng)中心大多在國外,在國內(nèi)往往并不涉及信息安全服務(wù)業(yè)務(wù),所以即使出現(xiàn)問題,也沒有專人推動(dòng)解決。而自主品牌汽車企業(yè)目前大多還未建立安全反應(yīng)中心,也尚未設(shè)置相關(guān)的職能和人員。“信息安全是傳統(tǒng)車企向網(wǎng)絡(luò)云服務(wù)提供者轉(zhuǎn)型過程中必然要面對(duì)的問題。”王彪指出,“比亞迪在車企中做得比較好,烏云‘白帽子’提交的漏洞報(bào)告,該公司大多予以認(rèn)真積極對(duì)待,這種態(tài)度值得肯定。”
■應(yīng)減少非必要的信息收集
行業(yè)專家曾指出,網(wǎng)絡(luò)信息安全是汽車行業(yè)需要最優(yōu)先考慮的事情之一,安全感非常重要,能讓廣大消費(fèi)者對(duì)產(chǎn)品充滿信心。據(jù)報(bào)道,日本信息處理推進(jìn)機(jī)構(gòu)按照汽車生命周期(策劃、開發(fā)、使用、廢棄),整理出相應(yīng)各階段的信息安全對(duì)策,并指出生產(chǎn)制造階段是最重要環(huán)節(jié)。在這一階段汽車及零部件廠商開始設(shè)計(jì)硬件和軟件并安裝到汽車上,汽車制造商必須按規(guī)定做到“按照需求定義進(jìn)行準(zhǔn)確安裝”、“安裝時(shí)杜絕漏洞”、“萬一存在漏洞,也要能在出貨之前發(fā)現(xiàn)”。王彪則認(rèn)為,在汽車全生命周期中,選車到買車、發(fā)生交通事故到維修車輛這幾個(gè)階段最容易遭遇信息安全問題,因?yàn)闀?huì)發(fā)生大量的信息錄入和存留。他指出,要降低信息安全風(fēng)險(xiǎn),汽車銷售方應(yīng)盡可能減少非必要的信息收集,比如身份證、家庭住址等;同時(shí),組建專業(yè)的運(yùn)營和安全團(tuán)隊(duì),并給予必要權(quán)限。“處理好這些事情,基本就能保障80%以上的網(wǎng)絡(luò)信息安全了。先解決基礎(chǔ)問題,再考慮其他的。”王彪說。
■自動(dòng)駕駛需要更強(qiáng)大的保障
如今,自動(dòng)駕駛已成為大勢(shì)所趨,許多車企都在積極投身相關(guān)的技術(shù)和產(chǎn)品研發(fā)中。對(duì)此,王彪表示,自動(dòng)駕駛汽車更可能通過云端互聯(lián)被操控,因此,“如何建設(shè)更安全的云平臺(tái)并保障信息傳輸過程的安全”也將成為迫在眉睫的挑戰(zhàn)。而這無疑是個(gè)龐大的課題,目前已經(jīng)有許多公司在為之努力,“我們現(xiàn)階段能做的是做好網(wǎng)絡(luò)安全開發(fā)和運(yùn)營。”王彪認(rèn)為,對(duì)于企業(yè)因網(wǎng)絡(luò)安全管理不當(dāng)致使用戶信息泄露的行為,政府可以考慮制訂法規(guī)給予處罰。對(duì)于記者提出的界定泄露者存在困難的疑慮,他表示通過技術(shù)手段可以實(shí)現(xiàn)。“只有認(rèn)識(shí)到網(wǎng)絡(luò)信息泄露是違法的,企業(yè)才有壓力和動(dòng)力改進(jìn)存在的問題。”