科技已滲透至生活的方方面面，而我們的汽車也不例外。它們已成為車輪上的電腦，配備傳感器、軟件和連接功能，提供安全與舒適，然而，與所有技術(shù)創(chuàng)新一樣，這一進(jìn)步也帶來了風(fēng)險，使汽車容易受到網(wǎng)絡(luò)攻擊。

單憑有人能夠黑進(jìn)一輛汽車并控制它這一事實(shí)，就足以令人感到恐慌，將電影中的場景變成了現(xiàn)實(shí)。再加上汽車中的軟件會處理和存儲我們的個人信息這一事實(shí)，這種恐懼就愈發(fā)令人擔(dān)憂。

一旦發(fā)生安全漏洞事件，我們的駕駛數(shù)據(jù)、聯(lián)系人、通話記錄、信息和甚至位置信息等都有可能落入不法分子之手。制造商的責(zé)任日益重大，不僅在物理安全方面，而且在網(wǎng)絡(luò)安全方面也是如此，因?yàn)檫@兩個方面相輔相成。

所以如果有人認(rèn)為黑進(jìn)汽車并不現(xiàn)實(shí)，那他們可得三思了。2024年，由山姆·柯里領(lǐng)導(dǎo)的一組研究人員發(fā)現(xiàn)了起亞網(wǎng)站門戶中的一個漏洞，使他們能夠重新分配對2013年以后生產(chǎn)的任何起亞汽車的互聯(lián)網(wǎng)連接功能的控制權(quán)。同樣的研究人員還成功遠(yuǎn)程劫持并追蹤了某些斯巴魯車型。

根據(jù)VicOne的報告，汽車行業(yè)因網(wǎng)絡(luò)攻擊損失了225億美元。其中包括200億美元的數(shù)據(jù)泄露損失、19億美元的系統(tǒng)停機(jī)損失和5.38億美元的勒索軟件損失。

汽車系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險

汽車系統(tǒng)面臨著各種網(wǎng)絡(luò)安全威脅，包括遠(yuǎn)程黑客攻擊、物理攻擊、軟件漏洞和惡意軟件。

遠(yuǎn)程攻擊：如今的汽車為了方便和功能而配備了藍(lán)牙、Wi-Fi和蜂窩連接，但如果這些系統(tǒng)沒有得到妥善保護(hù)，黑客就能遠(yuǎn)程訪問汽車的網(wǎng)絡(luò)。

物理訪問攻擊：汽車設(shè)有診斷端口(如OBD-II)，用于維護(hù)和故障排除，但如果攻擊者能夠物理接觸車輛，這些端口就會被利用。此外，如CAN總線(連接制動和發(fā)動機(jī)控制等關(guān)鍵系統(tǒng))等內(nèi)部車輛網(wǎng)絡(luò)容易受到篡改，這可能會使黑客操控車輛功能，如速度、制動，甚至禁用安全功能。

軟件漏洞：與任何軟件一樣，漏洞和弱點(diǎn)可能被利用，使攻擊者獲得未經(jīng)授權(quán)的控制權(quán)或竊取車輛中的敏感數(shù)據(jù)。

惡意軟件和勒索軟件：黑客可以通過遠(yuǎn)程方式或受感染的USB驅(qū)動器將惡意軟件注入車輛系統(tǒng)。勒索軟件可以鎖定關(guān)鍵系統(tǒng)，使車輛無法操作，直到支付贖金。

汽車內(nèi)部網(wǎng)絡(luò)，如CAN和LIN，控制著從發(fā)動機(jī)到座椅調(diào)節(jié)等關(guān)鍵功能，但它們在設(shè)計時并未考慮安全性，因此容易受到黑客攻擊。

為保護(hù)這些系統(tǒng)，正在實(shí)施加密(確保數(shù)據(jù)安全)、身份驗(yàn)證(驗(yàn)證設(shè)備身份)和入侵檢測系統(tǒng)(IDS)(檢測可疑活動)等措施，以防止未經(jīng)授權(quán)的訪問和篡改。

未來的安全隱憂

自動駕駛汽車正在為交通行業(yè)帶來革命性變革，但僅僅因?yàn)槲覀儫o法控制車輛這一事實(shí)，聽起來雖然先進(jìn)，卻也令人擔(dān)憂。

未來，我們可能會擁有具備L5級自動駕駛能力的無人出租車，車輛將能夠完全在沒有人類干預(yù)的情況下運(yùn)行，這給所有人帶來了處理隨之而來的所有可能問題的巨大挑戰(zhàn)。在這些汽車上路之前，制造商和監(jiān)管機(jī)構(gòu)必須將網(wǎng)絡(luò)安全措施放在首要位置，以確保技術(shù)和乘客的安全。

這些措施必須應(yīng)對外部威脅(如遠(yuǎn)程黑客攻擊)和內(nèi)部威脅(如車輛自身軟件或傳感器系統(tǒng)中的漏洞)。

自動駕駛車輛的安全需要確保人工智能算法、傳感器(激光雷達(dá)、雷達(dá)、攝像頭)和基于云的服務(wù)之間的通信安全。這些連接對于自動駕駛汽車的操作和與環(huán)境的交互至關(guān)重要。

車與萬物互聯(lián)(V2X)通信和空中下載(OTA)更新可能是制造商應(yīng)解決的主要薄弱環(huán)節(jié)。V2X涵蓋了車輛與其周圍環(huán)境之間的各種類型通信。其目標(biāo)是提高道路安全、交通效率和自動駕駛能力，使汽車能夠與其他實(shí)體“對話”。

另一方面，OTA更新是制造商或服務(wù)提供商直接通過互聯(lián)網(wǎng)發(fā)送到車輛的無線軟件更新。無需將汽車開到經(jīng)銷商處進(jìn)行軟件升級或錯誤修復(fù)，更新將通過互聯(lián)網(wǎng)發(fā)送，類似于智能手機(jī)接收更新的方式。

攔截V2X通信或OTA更新可能會導(dǎo)致比竊取數(shù)據(jù)更嚴(yán)重的后果，因?yàn)檫@些功能控制著車輛的關(guān)鍵功能。

美國政府還對自動駕駛汽車中使用中國和俄羅斯技術(shù)表示擔(dān)憂，提議禁止此類軟件和硬件，以減輕間諜活動和國家安全風(fēng)險。這為汽車網(wǎng)絡(luò)安全增添了地緣政治層面。

監(jiān)管環(huán)境

問題可能在于各國采取的監(jiān)管方法各不相同，因此在為自動駕駛汽車建立網(wǎng)絡(luò)安全標(biāo)準(zhǔn)方面，全球合作至關(guān)重要。

在歐盟，2019/2144號《通用安全法規(guī)》規(guī)定了對新車輛的嚴(yán)格網(wǎng)絡(luò)安全要求，包括安全的軟件更新和基于風(fēng)險的安全措施。

相比之下，美國依靠美國國家公路交通安全管理局(NHTSA)提出的自愿指導(dǎo)方針，該方針鼓勵采取主動安全措施，但不具有可執(zhí)行性。

全球標(biāo)準(zhǔn)組織，如國際標(biāo)準(zhǔn)化組織(ISO)和美國汽車工程師學(xué)會(SAE)，在塑造行業(yè)實(shí)踐方面發(fā)揮著關(guān)鍵作用，尤其是通過ISO/SAE 21434標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)概述了整個車輛系統(tǒng)生命周期內(nèi)的安全框架。

駕駛時的網(wǎng)絡(luò)安全意識

并非所有危險都來自針對復(fù)雜系統(tǒng)的漏洞利用，有時危險就來自駕駛者本身。

例如，在社會工程學(xué)和網(wǎng)絡(luò)釣魚攻擊中，一個人可能會收到一封看似來自汽車制造商的電子郵件，警告其有一個關(guān)鍵的軟件更新。信任這則消息后，他們可能會點(diǎn)擊鏈接、按照指示操作，從而在不知不覺中為入侵打開了大門。

如今，汽車還配備了讓生活更便利的應(yīng)用程序，無論是用于導(dǎo)航還是流媒體音樂。但其中也存在潛在風(fēng)險：許多應(yīng)用程序都連接到公共Wi-Fi網(wǎng)絡(luò)。如果應(yīng)用程序缺乏安全連接，可能會使您的數(shù)據(jù)，甚至您的汽車系統(tǒng)暴露于網(wǎng)絡(luò)攻擊之下。

汽車制造商和網(wǎng)絡(luò)安全專家必須優(yōu)先開展提高認(rèn)識的工作，幫助消費(fèi)者了解如何使用他們的數(shù)據(jù)以及如何進(jìn)行自我保護(hù)。這包括解釋為何定期更新軟件、使用安全的Wi-Fi網(wǎng)絡(luò)以及確保車輛具備內(nèi)置安全功能至關(guān)重要。

駕駛員還應(yīng)了解潛在風(fēng)險，如未受保護(hù)的藍(lán)牙連接、存儲車輛數(shù)據(jù)的云服務(wù)中的漏洞，以及為連接系統(tǒng)提供密碼保護(hù)的重要性。

在未來，隨著聯(lián)網(wǎng)車輛、自動駕駛系統(tǒng)和物聯(lián)網(wǎng)集成的興起，汽車行業(yè)必須繼續(xù)實(shí)施主動網(wǎng)絡(luò)安全策略，以應(yīng)對潛在威脅。