速8被黑客劫持的汽车原来不是黑科技 汽车信息安全问题已刻不容

看过《速度与激情8》的人，应该都对纽约第五大道汽车失控的那一幕记忆深刻。在电影中，反派大Boss通过黑客控制了全城汽车围追堵截核弹发射器，在黑客破解了网络后，几乎全城的汽车都失去了控制，成为了她手中致命的攻击武器。

这当然是编剧的“脑洞大开”，但它距离现实也并不那么遥远。随着汽车电动化、智能化和联网化的不断发展，马路上行驶的联网车辆的数量也在逐年增加，大量潜在的安全威胁如车辆被恶意操纵、隐私被泄漏也正不断的出现。

正如360智能网联汽车安全实验室负责人刘健皓所言：“汽车不仅关乎财产安全，更和人身安全和公共安全密不可分。电脑被攻击造成的后果是散财，但联网汽车被攻击造成的后果可能是‘丧命’。从这个角度来说，智能网联汽车面临着比传统互联网领域更加严峻的安全形势。”

那么，目前智能网联汽车领域的安全形势到底处在何种状态？在这背后究竟有哪些具体的安全威胁方式和种类？而整个业界又该如何直面由此带来的巨大挑战和威胁呢？

严峻与挑战

毫无疑问，今天对安全的认识需要站在一个更高的维度来看待，这是因为安全本身是动态发展的，是随时代和技术进步的，它体现在来自安全领域的挑战越来越没有边界，威胁也越来越多，对汽车行业而言亦是如此。

360智能网联汽车安全实验室负责人刘健皓

特别是随着汽车智能化和联网化程度的不断普及，汽车已经不再只是简单的代步工具，而是“进化”成为一台大型的物联网终端，甚至被形象的比喻为“4个轮子的电脑”。就像PC和手机终端面临着被黑客攻击的风险，汽车安全问题也早已经不仅只涉及物理层面，同样被越发严峻的安全形势“阴影”所笼罩。

从360集团发布的《2017智能网联汽车信息安全年度报告》中可以看到，目前已经被发现的漏洞涉及TSP（内容服务提供商）平台、APP应用、Telematics Box（T-BOX）上网系统、车机IVI系统CAN-BUS车内总线等各个领域和环节。可以说，这些漏洞有的可以远程控制汽车，有的甚至可以直接对驾驶员和车内乘客造成人身伤害。

此外，在该《报告》中，360还详细梳理并分析了四个影响较大的汽车安全破解案例。其中包括斯巴鲁汽车的遥控钥匙系统漏洞和车载娱乐系统漏洞，马自达车技娱乐系统破解，特斯拉汽车车联网系统攻击，以及利用“海豚音”（超声波信号）攻击破解语音控制系统开启天窗等案例。

客观的说，过去汽车是相对孤立和处在物理隔离中的，因此黑客很难远程入侵汽车内部控制器，除非进行物理入侵，但这需要很高的犯罪成本。不过，随着互联网的进化，当TSP这样的车联网产品通过T-BOX与汽车内部网络联网之后，汽车受到的远程网络攻击就由一种猜想逐渐变成现实。可以预见，一旦车联网产品普及，关于汽车被攻击的现实案例就会出现并越来越多。

对此，刘健皓认为，随着技术的不断演进和进化，如今汽车信息安全和传统的信息安全面临着很多诸多不同的挑战，可以从三个维度来做观察：

第一，随着车联网的普及，其实汽车也在变为一个互联网终端，它不再像过去是一个单独的、被隔离的的物理终端。所以，汽车每天会往云端的服务器中回传很多的实时数据，这些数据不仅涉及大量个人隐私，同时还拥有高并发的特点，因此在这个过程中对安全的要求也就越来越高。

第二，汽车是一个高实时性的交通承载工具，但是要做好安全防护又需要丧失实时性来提高安全性，那么这就需要在实时性和安全性之间要取得一个平衡点，而这个平衡点往往又是很寻找到的。

第三，汽车也是一个高速移动的互联网终端，因此针对汽车这类的终端，如何制定适合汽车特点的安全策略也是需要不断探索的。此外，未来汽车还会往智能化演进，所以针对智能交通、或者说特定的车路协同的场景，过去很多的安全策略的继承和其他协议的耦合度也是非常难解决的。

由此可见，车联网是高速移动的信息系统，这种大型信息系统的安全也就成了智能时代的“生命线”，而守护这条“生命线”已刻不容缓。

探索与创新

360智能网联汽车信息安全实验室（SKYGO TEAM），就是在这个大背景下于2015年成立的，它也是国内首支专注于汽车信息安全研究领域的顶级安全团队。

在刘健皓看来，实验室是随着汽车进入智能化、联网化的时代成长起来的，在这个过程中经过一系列的探索与创新，实验室自身也完成了成长蜕变。同时，通过大量的一线测试、研究和实践，实验室的核心技术能力也由此得以建立，具体来说：

首先，是汽车总线安全研究能力。实验室在总线协议破解领域逆向拥有多年经验，并开发出一套快速逆向总线控制协议的工具。该工具通过碰撞破解方式分析汽车总线安全性，并可对总线信号变化量进行可视化分析，清晰查看分析目标的变化趋势，轻松判断分析目标代表的控制行为。同时，还能提供总线加密强度验证的功能，通过工程化的测试用例验证总线加密强度是否满足抵御重放攻击等要求。

其次，是车联网系统安全研究能力。实验室基于多年汽车信息安全研究的经验，利用先进的汽车攻击技术形成了完整的车联网安全评估方案，目前实验室的研究范围包括T-BOX，IVI，APP，TSP以及传输协议等。通过对车联网中的零部件和系统的安全研究，分别从物理层面和远程层面分析车联网的攻击面，并形成有效的攻击方法和思路，从安全角度为汽车厂商提供有效的安全建议，保护车辆不受远程攻击。

最后，是自动驾驶安全研究能力。实验室曾在全球首个发现特斯拉汽车安全漏洞。2016年，实验室对特斯拉辅助驾驶系统进行研究后发现，特斯拉Autopilot存在传感器漏洞，可以通过干扰、欺骗或致盲等手段，对特斯拉高级辅助驾驶系统（ADAS）传感器进行攻击，导致传感器接收到错误数据，从而影响高级辅助驾驶系统决策失败，从而导致交通事故。

随后，实验室将漏洞提交给特斯拉安全部门，特斯拉以书面形式对团队表示感谢，并将成绩录入特斯拉名人堂，并随后在Autopilot系统中升级了传感器方案。

在此基础上，实验室利用这些核心技术能力自主研发了针对车联网安全整体解决方案，将信息安全融入到未来智能汽车电子电器架构中，帮助汽车制造商和供应商监控、分析和响应针对智能汽车的网络攻击。

目前，360车联网安全解决方案贯穿汽车制造的设计、开发、测试、运营各个阶段，通过安全咨询、安全产品、安全服务和安全运营保护车联网全生命周期安全。

不难看出，360智能网联汽车信息安全实验室最大的特点就是专注和专业。从专注角度看，传统的汽车供应商尽管也有做信息安全的团队，但偏重硬件层面，同时也相对保守，而360的团队专注于通过软硬件产品构建的端到端分层防御体系，大大提高了联网汽车的安全防护能力。

从专业来看，作为国内最大的互联网安全公司，实验室“安身立命”靠的就是对汽车信息安全的前沿研究和探索，同时更经历了一线的实践和验证。更关键的是，实验室的团队技术人员占比高达87%，也可见360对汽车信息安全市场的高度重视。

使命与担当

众所周知，2017年4月，中国发布了《汽车产业中长期发展规划》，再次将智能汽车作为重点内容，明确了不同等级智能驾驶系统，并提出2020年和2025年的新车装配率的要求。

与此同时，据发改委预测，到2020年中国智能网联汽车新车占比将达到50%，每年大概有100万辆左右量级的新增联网汽车，届时中国也将进而成为智能网联汽车第一大国。此外，今年举办的北京车展上，一线调研的结果也显示，目前自主品牌超过80%的车企都具备了联网能力。

从这个角度来说，未来中国的智能网联汽车遭遇的安全挑战也将会越来越多。在此背景下，360智能网联汽车信息安全实验室也提出了面向未来的新定位和新使命：

一是，构建国家级汽车信息安全运营平台，实现国家智能汽车产业发展战略。刘健皓认为，到2020年会有大量的联网汽车上路，而这些联网汽车必须构建信息安全运营平台来做监管和支撑，为此实验室也将配合国家相关部门积极推动平台的建立。

目前，实验室参与了国家众多重点专项课题的研究，如中汽研牵头的《智能电动汽车电子电气架构研发》、国家重点研发计划“新能源汽车”专项“智能电动汽车电子电气架构研发”项目、“智能电动汽车总线信息安全检测理论及检测方法”项目等等。

此外，实验室也积极参加国际安全会议，如在国际ISO标准组织与SAE标准组织的联合工作组中，实验室团队也代表中国代表团，共同讨论汽车信息安全标准ISO21434,进行投标，发言，提议。

二是，成为中国汽车信息安全顶级供应商，通过产品开发、方案集成、安全服务保障国内自主品牌联网汽车的信息安全。刘健皓表示，汽车联网智能化之后，信息安全成为汽车制造商无法回避的问题，也是需要高度重视的问题，毕竟安全是汽车制造商共同追求的目标，汽车制造商为了解决安全问题也会采取一切代价来实现，在这方面应该说360的合作机会和发展空间都很巨大。

数据显示，截至2017年底，实验室与中国70%自主品牌主机厂建立合作关系，为主机厂提供安全咨询、安全评估及应急响应等汽车信息安全服务，保护主机厂汽车上市后的信息安全。

此外，实验室还和国内外零部件、密码、芯片、升级、V2X等知名厂商建立合作关系，并与知名高校、产业联盟积极协同，共同构建中国车联网安全生态圈，更好的服务于汽车制造商及供应商，为中国车联网安全保驾护航。

三是，通过联合运营数据方案，让最终用户在汽车终端上感受到360汽车安全解决方案带来的安全感与信任感。应该说，当前汽车领域的信息安全手段相对滞后，很多汽车智能化产品在开发设计之初就没有考虑到信息安全问题。

未来，刘健皓希望通过和产业链各界的通力合作，持续提高用户对汽车信息安全的重视，同时通过一系列的汽车信息安全解决方案的应用和普及，为全面防护打下良好的基础。

综上所述，汽车信息安全正随着技术的发展而不断发生演变，这给车联网未来的发展带来更大的威胁和和挑战。在这个过程中，360智能网联汽车信息安全实验室通过围绕汽车信息安全领域的不断创新，和主动的技术赋能，并以开放共赢的新理念积极为车联网时代的到来做好了准备，这不仅是大势所趋，更是这个团队在这个时代的新使命和新担当的价值所在。

汽车科技观察，由跨界科技媒体人申耀（微信号：shenyao）创办、拥有中美两地10万公里公路自驾游经验老司机，在各大自媒体平台拥有专栏，致力于汽车科技行业的观察和思考，在这里读懂汽车，看懂科技。