7月28日，2017年世界黑客大會(huì)的最后一天，騰訊科恩實(shí)驗(yàn)室宣布，再次實(shí)現(xiàn)了以“遠(yuǎn)程無(wú)物理接觸”的方式侵入特斯拉Model X，獲得了最高權(quán)限(full access)。

　　2016年，首次攻陷特斯拉汽車讓騰訊科恩實(shí)驗(yàn)室在汽車業(yè)界一戰(zhàn)成名。這一次，科恩實(shí)驗(yàn)室再次發(fā)現(xiàn)多個(gè)高危安全漏洞并實(shí)現(xiàn)了對(duì)特斯拉的無(wú)物理接觸遠(yuǎn)程攻擊，從最基本的使用手機(jī)遠(yuǎn)程解鎖任意車門(mén)，到遠(yuǎn)程介入并控制剎車系統(tǒng)，再到通過(guò)控制車輛的多個(gè)ECU(電子控制單元)模塊，進(jìn)而控制整車的車電網(wǎng)絡(luò)，能夠在駐車模式和行駛模式下對(duì)特斯拉進(jìn)行任意遠(yuǎn)程操控。此外，2016年9月，特斯拉為了提升車輛安全性增加了“代碼簽名”安全機(jī)制，對(duì)所有FOTA升級(jí)固件進(jìn)行強(qiáng)制完整性校驗(yàn)，本次研究突破了該“代碼簽名”機(jī)制。

　　科恩實(shí)驗(yàn)室表示，2017年6月底，科恩實(shí)驗(yàn)室已經(jīng)按照“負(fù)責(zé)任的漏洞披露”流程，將本輪研究中發(fā)現(xiàn)的所有安全漏洞技術(shù)細(xì)節(jié)報(bào)告給特斯拉美國(guó)產(chǎn)品安全團(tuán)隊(duì)。特斯拉產(chǎn)品安全團(tuán)隊(duì)快速確認(rèn)了漏洞有效性和危害，并于7月初進(jìn)行了快速修復(fù)并通過(guò)FOTA推送了升級(jí)系統(tǒng)固件。特斯拉車主可以檢查一下系統(tǒng)版本，如果系統(tǒng)低于8.1 (17.26.0)版本須盡快升級(jí)，避免行車安全問(wèn)題。

　　未來(lái)汽車網(wǎng)聯(lián)化程度越來(lái)越高，對(duì)應(yīng)的信息安全挑戰(zhàn)隨之而來(lái)。全球汽車產(chǎn)業(yè)需要為新挑戰(zhàn)做好哪些準(zhǔn)備?產(chǎn)業(yè)生態(tài)將發(fā)生哪些變化?2017年世界黑客大會(huì)期間，騰訊汽車聯(lián)合科恩實(shí)驗(yàn)室發(fā)起了汽車信息安全沙龍，邀請(qǐng)信息安全專業(yè)人士就汽車信息安全問(wèn)題進(jìn)行了專門(mén)討論。騰訊汽車頻道總編輯王秋鳳表示，作為媒體，騰訊汽車希望在這個(gè)關(guān)鍵的時(shí)間節(jié)點(diǎn)上，利用科恩實(shí)驗(yàn)室的破解事件引發(fā)整個(gè)行業(yè)對(duì)汽車信息安全問(wèn)題的關(guān)注。

　　科恩實(shí)驗(yàn)室為什么總是盯上特斯拉？

　　一些車企的規(guī)劃表明，具備較豐富網(wǎng)聯(lián)功能的車型最快在未來(lái)一兩年內(nèi)就會(huì)面世，未來(lái)三到五年內(nèi)，智能網(wǎng)聯(lián)汽車就將陸續(xù)走進(jìn)人們的生活。因此，汽車信息安全問(wèn)題已十分緊迫，王秋鳳預(yù)測(cè)，2020年左右智能網(wǎng)聯(lián)汽車的信息安全問(wèn)題將會(huì)集中爆發(fā)。

　　這樣的背景下，科恩與特斯拉的“恩怨”就不難理解了。科恩實(shí)驗(yàn)室總監(jiān)呂一平說(shuō)，我們之所以關(guān)注特斯拉，是因?yàn)樘厮估悄壳白罹邩?biāo)志性的智能網(wǎng)聯(lián)汽車。“我們希望對(duì)特斯拉的研究，能夠讓其他車企在汽車信息安全認(rèn)識(shí)、安全能力儲(chǔ)備方面有一個(gè)很好的參考。”

　　“我們必須給特斯拉一個(gè)比較客觀的評(píng)價(jià)。”根據(jù)科恩實(shí)驗(yàn)室的研究，特斯拉在信息安全技術(shù)上的投入可能是目前全球汽車企業(yè)中最多的，其已經(jīng)實(shí)現(xiàn)的汽車安全防護(hù)技術(shù)也是全球領(lǐng)先的。

　　他提醒說(shuō)，汽車安全能力不僅是信息技術(shù)的，還包括車企在管理、流程各方面的準(zhǔn)備。“對(duì)我們發(fā)現(xiàn)的安全漏洞，特斯拉每次都能做出快速反應(yīng)，快速修復(fù)，并通過(guò)OTA把安全補(bǔ)丁推送到每一輛在使用中的汽車，這一整套機(jī)制都是值得傳統(tǒng)車企借鑒和學(xué)習(xí)的。”

　　汽車網(wǎng)聯(lián)化會(huì)不會(huì)帶來(lái)一場(chǎng)噩夢(mèng)？

　　《速度與激情8》中黑客遠(yuǎn)程操控車輛的場(chǎng)景讓不少人記憶猶新，這個(gè)目前僅存在于電影當(dāng)中的場(chǎng)景，離真實(shí)的生活有多遠(yuǎn)?作為汽車信息安全專家，與會(huì)者并不覺(jué)得這一切是天方夜譚。

　　“從技術(shù)層面上講，智能汽車的信息安全保障難度相比傳統(tǒng)汽車大得多，它的車載電腦系統(tǒng)的數(shù)量更多，更多的數(shù)據(jù)輸入意味著會(huì)有更多安全問(wèn)題，也給了黑客更多的攻擊機(jī)會(huì)。”被譽(yù)為“地球上技術(shù)最熟練的黑客之一”的查理·米勒博士是全球黑客界傳奇般的人物，2015年，他和同伴成功入侵了一輛2014款Jeep，使菲亞特克萊斯勒汽車公司(FCA)在全球召回了140萬(wàn)輛車進(jìn)行返廠升級(jí)。他說(shuō)，相對(duì)于入侵僅具有部分網(wǎng)聯(lián)功能的Jeep，攻擊無(wú)人駕駛汽車更加容易，“如果車輛的自動(dòng)駕駛系統(tǒng)被黑了，攻擊傳統(tǒng)汽車所使用的‘欺騙’手段都沒(méi)必要做。”

　　理論上講，黑客選擇從云端和CAN端攻入智能汽車都是可能的。騰訊云安全專家史博指出，“如果云端被攻擊，影響的車輛會(huì)更多。”這意味著，帶有安全漏洞的智能汽車將是整個(gè)社會(huì)的一大隱患。

　　但更大的風(fēng)險(xiǎn)，可能還不在未來(lái)，而存在于現(xiàn)實(shí)當(dāng)中。“目前國(guó)內(nèi)汽車企業(yè)普遍在信息安全知識(shí)、能力和經(jīng)驗(yàn)方面的積累還比較少。我們做了很多的用戶教育和行業(yè)教育工作，但在去年我們破解特斯拉之前，這個(gè)教育工作很難做，大家都覺(jué)得問(wèn)題真的會(huì)發(fā)生嗎?你們說(shuō)的威脅能實(shí)現(xiàn)嗎?去年特斯拉的破解視頻公開(kāi)以后，大家才意識(shí)到問(wèn)題的嚴(yán)重性。”呂一平認(rèn)為，國(guó)內(nèi)車企首先要在戰(zhàn)略意識(shí)上認(rèn)識(shí)到網(wǎng)聯(lián)化為汽車信息安全帶來(lái)的重大挑戰(zhàn)，開(kāi)始重視信息安全能力建設(shè)。車企在車輛的被動(dòng)安全、主動(dòng)安全(ADAS)方面的技術(shù)積淀相當(dāng)深厚，不過(guò)在網(wǎng)絡(luò)安全方面，車企還要向互聯(lián)網(wǎng)公司學(xué)習(xí)經(jīng)驗(yàn)。

　　距離可能的危機(jī)還有三至五年，汽車界該做好哪些準(zhǔn)備？

　　安恒信息副總裁袁明坤判斷，三到五年內(nèi)應(yīng)該還不會(huì)有黑客大規(guī)模攻擊網(wǎng)聯(lián)汽車的事件出現(xiàn)，這為車企向智能網(wǎng)聯(lián)化的過(guò)渡提供了必要的時(shí)間。他認(rèn)為，未來(lái)數(shù)年，網(wǎng)聯(lián)汽車的總體規(guī)模尚小，還不具備發(fā)生大規(guī)模安全事件的條件;同時(shí)，因?yàn)椴煌囆退捎玫牟僮飨到y(tǒng)和技術(shù)架構(gòu)各異，產(chǎn)生通用漏洞的可能性還不大;再有，針對(duì)網(wǎng)聯(lián)汽車產(chǎn)業(yè)的黑產(chǎn)生意模式還沒(méi)有確定，對(duì)于惡意攻擊來(lái)說(shuō)，操作這樣的事件收益太小。

　　“但是按照墨菲定律，可能發(fā)生的事情必然會(huì)發(fā)生，針對(duì)網(wǎng)聯(lián)汽車的安全攻防將是一場(chǎng)持久戰(zhàn)。”袁明坤強(qiáng)調(diào)。在未來(lái)三到五年內(nèi)，全球汽車業(yè)應(yīng)利用這個(gè)緩沖期加緊進(jìn)行基礎(chǔ)安全建設(shè)。“需要從汽車的源頭開(kāi)發(fā)開(kāi)始，在供應(yīng)鏈、整車廠商、網(wǎng)聯(lián)運(yùn)營(yíng)方、手機(jī)APP等各方之間打通生態(tài)鏈，在每一個(gè)環(huán)節(jié)把事情做扎實(shí)，否則將來(lái)補(bǔ)救的成本會(huì)非常高，大規(guī)模的事件將無(wú)法抵擋。”

　　車企應(yīng)抱持開(kāi)放的合作態(tài)度，引入專業(yè)信息安全團(tuán)隊(duì)聯(lián)合進(jìn)行網(wǎng)聯(lián)汽車的早期研發(fā)，盡早打通網(wǎng)聯(lián)汽車安全生態(tài)——這是本場(chǎng)沙龍嘉賓的共識(shí)。查理·米勒希望車企更加開(kāi)放透明，而不是自我封閉，試圖自己去解決安全問(wèn)題。和呂一平的觀點(diǎn)一樣，他認(rèn)為特斯拉以及克萊斯勒是當(dāng)前在安全方面做得最出色的汽車企業(yè)，因?yàn)檫@兩家企業(yè)都開(kāi)展了漏洞獎(jiǎng)勵(lì)計(jì)劃，鼓勵(lì)外部安全研究人員發(fā)現(xiàn)并報(bào)告其產(chǎn)品的安全漏洞。“這使他們得以找到能幫助他們的安全專家，像我和騰訊科恩實(shí)驗(yàn)室。”

　　安全問(wèn)題會(huì)阻礙汽車網(wǎng)聯(lián)趨勢(shì)嗎？

　　和世界黑客大會(huì)的眾多參會(huì)者一樣，呂一平和查理·米勒們對(duì)網(wǎng)聯(lián)汽車的破解和攻擊并不是為了炫耀技術(shù)，這些被稱為“白帽黑客”的安全專家們所做的一切，都是為了搶在潛在的危機(jī)爆發(fā)之前堵住漏洞，讓這個(gè)世界更安全。也許正因如此，對(duì)于智能網(wǎng)聯(lián)汽車的未來(lái)，查理·米勒有自己堅(jiān)定的信仰：“我不認(rèn)為因?yàn)閾?dān)憂，就不去應(yīng)用更先進(jìn)的技術(shù)。”

　　對(duì)此，王秋鳳同樣持有樂(lè)觀的態(tài)度：“互聯(lián)網(wǎng)發(fā)展早期面臨的安全問(wèn)題非常多，但互聯(lián)網(wǎng)依然全面進(jìn)入了我們的生活，改變了我們的生活。辯證地看，智能網(wǎng)聯(lián)汽車在絕大部分程度上是使世界變得更美好的一個(gè)工具。”

　　近日，國(guó)務(wù)院印發(fā)《新一代人工智能發(fā)展規(guī)劃》，其中多次提及到重點(diǎn)發(fā)展汽車產(chǎn)業(yè)中的自動(dòng)駕駛技術(shù)，并且要在智能交通建設(shè)和自主無(wú)人駕駛技術(shù)平臺(tái)等方面實(shí)現(xiàn)突破，成為引領(lǐng)智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)發(fā)展的國(guó)家戰(zhàn)略。人工智能已成為全球競(jìng)爭(zhēng)的新焦點(diǎn)，經(jīng)濟(jì)發(fā)展的新引擎，這一整體趨勢(shì)之下，智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)也將循著發(fā)現(xiàn)問(wèn)題、解決問(wèn)題的方向持續(xù)發(fā)展。

　　“智能網(wǎng)聯(lián)汽車業(yè)的發(fā)展，有賴于汽車業(yè)智能化生態(tài)圈的建立和發(fā)展。”王秋鳳說(shuō)，從這個(gè)意義上說(shuō)，科恩實(shí)驗(yàn)室對(duì)特斯拉的遠(yuǎn)程“攻擊”具有不可估量的價(jià)值。“下一次中招的會(huì)是誰(shuí)?說(shuō)真的，我很期待。”

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。