以前常常在好莱坞大片中看到“黑客”入侵网络安全系统的影片。在如今智能网联时代,这样的场景,可能会出现在智能网联汽车上。
前不久,车臣领导人卡德罗夫发帖子称,自己的特斯拉电动皮卡Cybertruck被马斯克远程锁住。尽管这事的真假不好说,却引发了公众对特斯拉汽车远程控制功能和用户隐私安全的担忧。
近日,360董事长周鸿祎通过视频对卡德罗夫指责马斯克远程锁车事件进行了评论,称没有看到直接的证据证明是马斯克做了。不过从技术上来讲,对于现在智能网联车的车厂来讲,是非常容易的一件事情。并从专业的角度分析了要锁住一辆智能网联汽车只需要分三步走就可以了。
远程控制车辆真的可以实现?
周鸿祎解析称,第一步选定要禁用的车辆;第二步工程师在车辆服务器上禁用该车,并向车辆下达禁用指令;最后车辆就不能开了。
周鸿祎还表示,买了智能网联车的车主一定要注意,你买的车不是属于你的,而是属于厂家的,因为这个车连着厂家的服务器。如果有黑客攻破的话,通过车身Wi-Fi或蓝牙的连接,然后在车内网络上,对车身控制器进行改写,那就完成了车辆功能的禁用。
进入了万物互联时代,网络安全的挑战越来越大,新能源车实现了智能化、联网化,自动驾驶等等,但是有软件就有漏洞,有漏洞就一定会被不法分子利用,所以新能源车智能网联车的安全问题可能比其他设备的安全问题要大很多。
除了车身的攻击,另外一条更容易的方式,是通过控制车企的生产系统、数据系统,黑客也同样可以远程控制车辆。这种攻击方式不仅具有极高的隐蔽性,而且其范围也更为广泛,可以把一个车厂的某一类型号的所有的车都能够进行控制,很多车企的网络在真正的黑客团队面前实际上是不设防和不堪一击的,有国家级黑客力量参与其中,威胁的就不仅仅是某个车主的人身安全,甚至会上升到国家安全的重大层面。
特斯拉官方回复橙柿互动电车志记者,关于远程锁车的假设完全是个人的臆测。目前特斯拉已在中国建立数据中心,所有国内车辆的数据都存储在中国境内,数据已经通过国家相关部门的认证。
其实,近几年来,车企也频繁遭到“黑客”攻击。
今年8月20日,丰田汽车公司承认其网络遭到黑客入侵,发生数据泄露的情况。
2023年3月,在全世界著名,奖金最丰厚的黑客大赛Pwn2Own上,黑客成功获得特斯拉系统的Root访问权限。成功入侵者除了获得10万美元的奖金,还得到了被黑客攻击的特斯拉Model3。
2022年1月,一名德国十几岁的少年,通过一项漏洞成功远程劫持了特斯拉车辆。
2021年11月,Snatch勒索软件侵入沃尔沃汽车公司的服务器并窃取文件。
2021年6月,有黑客声称成功攻破了特斯拉的车载系统,能够远程控制车辆。特斯拉随后发布声明称,该黑客攻击并未对车辆的安全造成影响。
2020年6月,本田内部网络系统被攻击,公司暂停了日本国内工厂的整车发货以及停止了位于北美的7处汽车工厂的生产。
2020年2月,一辆梅赛德斯-奔驰E级轿车被发现存在19个漏洞,允许黑客远程控制车辆,包括打开车门和启动发动机。
2019年8月,两名工程师在美国政府的许可下,操控丰田普锐斯车辆突然刹车;操控福特翼虎突然刹车失灵。
2019年4月,芝加哥Car2Go汽车共享应用程序被黑客入侵,导致约100辆汽车被盗。
……
如何保护自己的车辆
周鸿祎在视频中给出了针对个人避免被黑客入侵的答案,通过事前防御和事后应对的方式,来解决汽车被远程锁住和禁用的问题。称可以找改装店或者自己禁用远程通信模组,阻止服务器下达控制指令。事后应对的方式是替换被禁用的零部件,来激活车辆的功能。
不过,周鸿祎也指出这样做会有弊端。阻止了服务器下各种控制指令,可能你这个车很多功能就会受到限制。如果私自换零部件,被车厂发现以私自改车为理由,拒绝保修,甚至有被车厂停用的风险。
小编认为个人防范黑客入侵车辆的做法有些得不偿失,还是需要国家和汽车制造商共同来防范。
首先,汽车制造商需要加强网络安全防护。他们需投入更多的研发力量,提高智能网联汽车的网络安全性能,防止黑客入侵。同时,他们还需要建立完善的应急响应机制,一旦发现黑客攻击,能够迅速采取措施,确保车辆和乘客的安全。
其次,政府部门也需要加强监管。他们需要制定严格的法律法规,规范智能网联汽车的生产、销售和使用。同时,他们还需要加强网络安全监管,对发现的安全漏洞进行及时修复,防止黑客利用这些漏洞进行攻击。
其实我国已有相关法规。2021年10月1日,《汽车数据安全管理若干规定(试行)》开始施行,这部法规由国家网信办、发改委、工信部、公安部、交通运输部联合发布,是我国首部针对汽车数据安全制定的法规。
其中规定,国家鼓励汽车数据依法合理有效利用,倡导汽车数据处理者在开展汽车数据处理活动中坚持四大原则:车内处理原则,除非确有必要不向车外提供;默认不收集原则,除非驾驶人自主设定,每次驾驶时默认设定为不收集状态;精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率;脱敏处理原则,尽可能进行匿名化、去标识化等处理。
近日,工业和信息化部组织制定的《汽车整车信息安全技术要求》、《汽车软件升级通用技术要求》和《智能网联汽车自动驾驶数据记录系统》三项强制性国家标准,由国家市场监督管理总局、国家标准化管理委员会批准发布,并将于2026年1月1日起开始实施。
《汽车整车信息安全技术要求》规定了汽车信息安全管理体系要求,以及外部连接安全、通信安全、软件升级安全、数据安全等方面的技术要求和试验方法。
《汽车软件升级通用技术要求》规定了汽车软件升级的管理体系要求,以及用户告知、版本号读取、安全保护、先决条件、电量保障、失败处理等车辆软件升级功能方面的技术要求和试验方法。
《智能网联汽车自动驾驶数据记录系统》规定了智能网联汽车自动驾驶数据记录系统的数据记录、数据存储和读取、信息安全、耐撞性能、环境评价性等方面的技术要求和试验方法。
工业和信息化部表示,这次发布的三项标准是我国智能网联汽车领域的首批强制性国家标准,对提升智能网联汽车安全水平、保障产业健康持续发展具有重要意义。
智能网联汽车的未来发展离不开安全保障,黑客远程操控的威胁不容小觑。通过在设计阶段融入网络安全理念、加强数据加密、实施多重身份验证、设立快速响应机制以及推动行业安全标准的制定,可以为智能网联汽车构建更加安全的防护体系。只有当这些安全措施落实到位,智能网联汽车才能在便利与安全之间找到最佳平衡,真正实现其在智能交通领域的巨大潜力。
