2015年FCA在北美有一起黑客研究的項(xiàng)目，白帽黑客查理·米勒成功“越獄”，證明Jeep是可以被遠(yuǎn)程操控，F(xiàn)CA為此在北美召回了140萬輛的自由光。代價(jià)是數(shù)月的時(shí)間和上億美元。

2016、2017年，騰訊旗下科恩實(shí)驗(yàn)室連續(xù)兩年做了特斯拉網(wǎng)聯(lián)汽車的安全研究，發(fā)現(xiàn)了很多可以通過遠(yuǎn)程方式控制特斯拉，并且做到遠(yuǎn)程控制汽車。

不但在駐車情況下可以控制車身的功能，車窗、車門、方向盤位置調(diào)整等等，而且在行駛過程中可以控制剎車，可以控制一些高危動(dòng)作，會(huì)造成一些嚴(yán)重的行車問題。

2018年2月底，科恩實(shí)驗(yàn)室向?qū)汃R集團(tuán)報(bào)告了寶馬3系、5系、7系、X系和I系列車型的安全問題。

以上，是騰訊科恩實(shí)驗(yàn)室高級總監(jiān)呂一平在剛剛結(jié)束的騰訊“云+未來”峰會(huì)汽車專場論壇中演講提到的。

呂一平的現(xiàn)身說法，告訴了我們一個(gè)諱莫如深的事實(shí)：不用等到自動(dòng)駕駛，也不用看“速度與激情8”，僅僅是存量市場中占有率不足20%的網(wǎng)聯(lián)車，就都存在被“一雙看不見的手”黑掉的可能。

汽車網(wǎng)絡(luò)安全隱患常在

汽車被黑客黑掉，并不是危言損聽，以引領(lǐng)行業(yè)潮流的特斯拉為例。在2014年7月舉行的特斯拉破解比賽中，劉健皓因?yàn)槁氊?zé)所在，預(yù)破解特斯拉作為測試，也成為全球首個(gè)破解特斯拉的人。

他通過給車主發(fā)一個(gè)鏈接，車主只要點(diǎn)擊鏈接，他就可以獲得車主的APP登陸身份，實(shí)現(xiàn)不用鑰匙打開車門。而特斯拉在行駛過程，需要鑰匙不斷發(fā)出“心跳信號(hào)”，以確認(rèn)車主的鑰匙在車上。利用電腦模擬這些信號(hào)，就可以正常駕駛特斯拉了。

圖：劉健皓和美國汽車黑客查理·米勒（這位就是開頭提到破解FCA的）和瓦拉塞克

2014年10月25日，特斯拉面對有駭客聲稱“破解”Model S一事，做出聲明：如果對任何車輛——不僅僅是Model S——進(jìn)行物理接觸，都會(huì)大大增加其被破解的可能性。我們從目前得到的信息判斷，這輛被“破解”的Model S很有可能之前遭到物理干預(yù)。

近日，一個(gè)網(wǎng)名為Ingineerix的特斯拉愛好者社區(qū)成員就破解了Model 3， 進(jìn)入了車輛的工廠模式，爆出了特斯拉電池組容量的數(shù)據(jù)。

特斯拉的Model S， Model X 和Model 3屢遭破解，首席執(zhí)行官埃隆·馬斯克對此表示特斯拉正在做出努力，以確保汽車不受互聯(lián)網(wǎng)“入侵”問題的影響，防止汽車被破解將成為公司的首要安全任務(wù)之一。

作為新概念“聯(lián)網(wǎng)智能車”的扛把子，特斯拉理所當(dāng)然的被黑客視作證明實(shí)力的小白鼠，而從以往經(jīng)驗(yàn)上來看，只要有“計(jì)算機(jī)”的影子，被破解接管只是時(shí)間和黑客意愿的問題，并沒有所謂的不可逾越的障礙。

那么，隨著智能網(wǎng)聯(lián)車成為國家戰(zhàn)略，OEM、Tier1、供應(yīng)商都在努力推進(jìn)剩下不止80%的車上網(wǎng)，而汽車的網(wǎng)絡(luò)安全問題似乎一直處在“事實(shí)上的被忽視”。

呂一平表示，無論特斯來還是寶馬，從其實(shí)際打交道的過程中，可以感受到他們對汽車安全的重視程度，在響應(yīng)速度和人員配合度上，都值得褒獎(jiǎng)。而回看國內(nèi)OEM，有幾家能在汽車安全領(lǐng)域做到如前兩者？呂一平的心里沒底，相信全國的OEM也沒底。

OEM流量免費(fèi)下的安全空白

2016年斑馬推出全球第一輛互聯(lián)網(wǎng)汽車，到2017年杭州·云棲大會(huì)，斑馬網(wǎng)絡(luò)前CEO施雪松表示已經(jīng)做了五次空中升級，每一次升級都給用戶帶來不同的驚喜，而且這些驚喜都是在無感當(dāng)中悄悄的發(fā)生。

云棲大會(huì)進(jìn)行的時(shí)候，斑馬智行2.0也正式開始推送升級，此次升級，被稱為全球最大OTA空中升級。

德國寶沃BX7推出了終身質(zhì)保+車聯(lián)網(wǎng)終身免費(fèi)使用+車聯(lián)網(wǎng)首年流量免費(fèi)的政策。

長安逸動(dòng)提供終身免費(fèi)的基礎(chǔ)流量服務(wù)，包含導(dǎo)航實(shí)時(shí)路況、在線語音、遠(yuǎn)程車況查詢、車載系統(tǒng)及新功能升級等服務(wù)；而且在線音樂、在線電臺(tái)（酷我音樂、喜馬拉雅FM）在2年內(nèi)，可以不限流量免費(fèi)使用。

領(lǐng)克作為沃爾沃和吉利聯(lián)合研發(fā)的高端合資品牌，該車提供了三大終身免費(fèi)服務(wù)，即為車主提供終身免費(fèi)質(zhì)保、終身免費(fèi)道路救援和終身免費(fèi)流量。

上汽名爵ZS以“潮流互聯(lián)網(wǎng)SUV”作為口號(hào)，全球第一臺(tái)自帶支付寶功能的互聯(lián)網(wǎng)SUV，提供了互聯(lián)網(wǎng)基礎(chǔ)服務(wù)、基礎(chǔ)流量終身免費(fèi)的優(yōu)惠政策。榮威RX5是首款推出終身流量年費(fèi)的車。

越來越多的OEM在推出汽車流量免費(fèi)的政策，汽車的OTA升級未來也將會(huì)成為常態(tài)。那么作為互聯(lián)網(wǎng)中的一個(gè)“超大移動(dòng)端”，汽車的網(wǎng)絡(luò)安全是否被OEM考慮過？

答案可能是“力不存心”。幾乎所有的OEM，在保證汽車安全的措施方面，唯一能做的就是不開放CAN協(xié)議，至于網(wǎng)絡(luò)信息安全，并不在其能力范圍內(nèi)，要做相關(guān)的防范，往往需要單獨(dú)配置安全研究人員。

此前，東風(fēng)汽車有限公司副總裁馬智欣曾表示，東風(fēng)引入了全球頂級的車聯(lián)網(wǎng)安全團(tuán)隊(duì)對部分即將上市的具有“智能”功能的汽車進(jìn)行全方位的診斷。

東風(fēng)除了傳統(tǒng)的防護(hù)手段，如安裝殺毒軟件、配置防火墻和入侵檢測系統(tǒng)外，還導(dǎo)入了安全行業(yè)內(nèi)領(lǐng)先的郵件沙箱技術(shù)，所有進(jìn)入內(nèi)網(wǎng)的郵件附件將送入沙箱模擬運(yùn)行，確認(rèn)安全后才會(huì)發(fā)送給用戶，這在很大程度上杜絕了勒索病毒進(jìn)入內(nèi)網(wǎng)的可能，極大提高了東風(fēng)有限內(nèi)網(wǎng)的安全等級。

除了建立信息接入黑名單，企業(yè)還建立了白名單，是允許進(jìn)入的網(wǎng)址，主動(dòng)接納，雙層保護(hù)。

中國汽車智能服務(wù)聯(lián)會(huì)秘書長張砼曾表示，在汽車安全方面，目前國內(nèi)做得最好的應(yīng)該是沃爾沃，它在安全方面領(lǐng)先其他車企7個(gè)月的時(shí)間。其在國內(nèi)不同省市的將近100款車做了測試，大部分的汽車安全測試都停留在理論和實(shí)驗(yàn)室階段。

誰來為安全做主？

補(bǔ)天漏洞響應(yīng)平臺(tái)總經(jīng)理白健表示，目前補(bǔ)天漏洞響應(yīng)平臺(tái)主要是匯聚民間的力量，所以需要產(chǎn)業(yè)實(shí)現(xiàn)規(guī)?；?，才可以有更多的分工與協(xié)作。

艾拉比智能科技有限公司總裁芮亞楠表示，現(xiàn)在需要通過車聯(lián)網(wǎng)安全聯(lián)盟平臺(tái)匯集安全產(chǎn)業(yè)里的一些龍頭企業(yè)，利用合作共同推進(jìn)汽車安全市場發(fā)展。

涉及到OTA的遠(yuǎn)程升級，由于事關(guān)功能和信息安全，整個(gè)OTA流程中的信息安全防護(hù)尤為重要，僅有基礎(chǔ)設(shè)施保護(hù)是不夠的，因?yàn)镺TA的漏洞可能出現(xiàn)在任何一個(gè)環(huán)節(jié)，還要在系統(tǒng)實(shí)施過程中進(jìn)行滲透測試，并根據(jù)滲透測試過程中出現(xiàn)的問題進(jìn)行防護(hù)。

占據(jù)了極大的車載信息娛樂系統(tǒng)以及車聯(lián)網(wǎng)系統(tǒng)份額的QNX系統(tǒng)，是黑莓旗下的產(chǎn)品，通用Onstar、寶馬ConnectedDrive、奧迪MMI均采用了QNX技術(shù)。

在北美展上黑莓推出了一款軟件網(wǎng)絡(luò)安全產(chǎn)品——BlackBerry Jarvis。它是基于云端的靜態(tài)二進(jìn)制代碼掃描解決方案，能夠有效識(shí)別車載軟件中存在的安全漏洞。以往需要眾多專家花費(fèi)大量時(shí)間進(jìn)行人工掃描，而Jarvis則可在數(shù)分鐘內(nèi)完成掃描并提供具有深度的實(shí)際性操作建議。

目前黑莓已經(jīng)開始與捷豹路虎等汽車制造商合作，捷豹路虎首席執(zhí)行官拉爾夫·施韋德表示：“BlackBerry Jarvis能夠幫助解決汽車行業(yè)的軟件網(wǎng)絡(luò)安全需求。在我們的獨(dú)立研究中，Jarvis能夠有效提升產(chǎn)品上市效率，安全代碼評估時(shí)間從三十天下降到七分鐘。 Jarvis帶來的效率提升與BlackBerry可靠的安全傳統(tǒng)相結(jié)合，可以改變車輛的安全性。

除了與OEM廠商直接相關(guān)的系統(tǒng)、升級等軟件方案商，在為汽車網(wǎng)絡(luò)信息安全、功能安全做努力，還有傳統(tǒng)的互聯(lián)網(wǎng)公司也在涉足。

比如由劉健皓領(lǐng)銜的360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室，由吳石領(lǐng)導(dǎo)的騰訊安全科恩實(shí)驗(yàn)室等等，都在進(jìn)行汽車網(wǎng)絡(luò)安全領(lǐng)域的研究。

呂一平表示，要保證汽車信息安全，需要具備三個(gè)能力：專業(yè)團(tuán)隊(duì)、引入好的安全技術(shù)和工程方法到汽車的研發(fā)和測試過程中、OEM快速響應(yīng)?？贫鲗?shí)驗(yàn)室目前已經(jīng)有多家OEM和我們一起共同開展了研究類的項(xiàng)目，比如OTA。

但安全，永遠(yuǎn)沒有辦法量化，也難走出皆大歡喜的商業(yè)化道路。這一點(diǎn)在傳統(tǒng)pc、移動(dòng)端已有應(yīng)驗(yàn)。

無論科恩還是360，其安全實(shí)驗(yàn)室的人員都捉襟見肘，互聯(lián)網(wǎng)安全更多時(shí)候還是處在一種“為人民服務(wù)”的“尷尬生存”狀態(tài)。當(dāng)汽車網(wǎng)絡(luò)安全迎面襲來，直接關(guān)系駕乘人員生命安全，不知道人們還愿不愿意為安全買單？