隨著汽車互聯(lián)化及自動(dòng)化的普及與提升，車企對(duì)車輛的網(wǎng)絡(luò)安全憂心不已，擔(dān)心被黑客、恐怖分子、勒索犯及竊賊入侵其車輛，更不用提那些喜歡惡作劇的熊孩子了。

互聯(lián)車輛的網(wǎng)絡(luò)安全惹人憂

當(dāng)2015年兩名白帽黑客（white-hat hacker）成功入侵Jeep切諾基（Jeep Cherokee）后，人們更加擔(dān)憂車輛的網(wǎng)絡(luò)安全。該黑客事件迫使FCA召回140萬輛Jeep切諾基，以便修復(fù)Uconnect車載信息娛樂系統(tǒng)的軟件漏洞。

黑客們通常會(huì)入侵用戶的平板電腦、服務(wù)器或手機(jī)，以便占用或竊取所需的數(shù)據(jù)信息。當(dāng)入侵對(duì)象變?yōu)榛ヂ?lián)車輛后，黑客入侵的動(dòng)機(jī)及所造成的后果就會(huì)發(fā)生根本性的改變，車企及用戶面臨的網(wǎng)絡(luò)安全壓力就更大了。例如，若黑客成功入侵行駛中的車輛，有可能會(huì)引發(fā)交通致死事故，而常見的防入侵軟件，其應(yīng)對(duì)速度過慢，或?qū)o法避免車輛事故的發(fā)生。

汽車行業(yè)對(duì)黑客入侵車輛的應(yīng)對(duì)

Security公司的董事長兼聯(lián)合創(chuàng)始人David Barzilai表示：“為消除用戶對(duì)車輛網(wǎng)絡(luò)安全方面的顧慮，僅確保數(shù)據(jù)安全性是不夠的，還需要采用各種安全措施，防止車輛被黑客入侵，但這又不同于普通的服務(wù)器安全防護(hù)及企業(yè)網(wǎng)絡(luò)安全防護(hù)?！?/span>

他表示：“當(dāng)黑客成功入侵車輛系統(tǒng)后，再采用機(jī)器學(xué)習(xí)及人工智能來識(shí)別惡意軟件（malware），該方法也不可取，因?yàn)槟菚r(shí)一切都太遲了。解決途徑只有一種：在黑客嘗試入侵車輛系統(tǒng)時(shí)，務(wù)必加以阻止，為車輛系統(tǒng)提供保護(hù)。”

目前，汽車網(wǎng)絡(luò)安全領(lǐng)域的市場(chǎng)雖然很小，但隨著車間無線通信等新興技術(shù)的出現(xiàn)，該市場(chǎng)將迅速成長。作為被黑車型Jeep切諾基車載信息娛樂系統(tǒng)——Uconnect的制造商，哈曼國際采取了應(yīng)對(duì)。該公司于2016年初并購了一家以色列的網(wǎng)絡(luò)安全公司——TowerSec，旨在提升其網(wǎng)絡(luò)安全技術(shù)。

而另一家以色列的競(jìng)爭對(duì)手Argus Cyber Security最近發(fā)現(xiàn)，若采用加密狗（dongle），可入侵車輛電子系統(tǒng)并進(jìn)行技術(shù)演示。電子狗是一款看似平淡無奇的小型閃存驅(qū)動(dòng)器，在插入車輛的USB借口或其他端口后，可執(zhí)行軟件的運(yùn)行操作。特斯拉與FCA均提供“漏洞獎(jiǎng)勵(lì)（bug bounty）”金錢獎(jiǎng)勵(lì)，借此鼓勵(lì)黑客技術(shù)愛好者們與業(yè)余黑客們尋找其發(fā)現(xiàn)的軟件漏洞并上報(bào)給車企。

　　黑客入侵的途徑——電控單元與無線網(wǎng)絡(luò)

鑒于黑客的技能水平、動(dòng)機(jī)及創(chuàng)新作案手法差別迥異，目前還未研發(fā)出綜合全面的網(wǎng)絡(luò)安全防護(hù)方式，借此斷絕黑客們對(duì)車輛電子架構(gòu)的入侵。

一款高檔車可能會(huì)配置上百種電控單元（ECU）（實(shí)際上是小型計(jì)算機(jī)），通過相互間的互聯(lián)構(gòu)建了車輛的電子架構(gòu)，但其中只有車載信息娛樂系統(tǒng)及遙控?zé)o匙門禁系統(tǒng)（remote keyless entry）等電控單元采用了無線方式，借此與外部實(shí)現(xiàn)網(wǎng)絡(luò)連通，這恰恰為黑客們?nèi)肭周囕v提供了機(jī)會(huì)。

Karamba公司推出的軟件防護(hù)方案及局限性

Karamba公司致力于車輛系統(tǒng)的入侵防護(hù)，定位大型網(wǎng)絡(luò)安全設(shè)計(jì)的關(guān)鍵層（critical layer）。Karamba的防黑客軟件在電控單元制造時(shí)已嵌入該器件，因此該功能已并入電控單元的出廠設(shè)置中，無法被隨意改動(dòng)。該軟件旨在阻斷入侵時(shí)產(chǎn)生的可疑代碼，阻止黑客們竊取電控單元的數(shù)據(jù)。凡是與出廠設(shè)定值不相符的代碼，均不得訪問電控單元。

Barzilai表示，若采用軟件監(jiān)控程序查找并破壞惡意軟件，其應(yīng)對(duì)速度過慢，且要求開發(fā)商持續(xù)推進(jìn)軟件的升級(jí)，進(jìn)而才能與黑客們扳扳腕子。黑客們也會(huì)試圖欺騙這類安全程序，何況他們的黑客技術(shù)也趨于成熟化。他表示，這類程序有時(shí)會(huì)發(fā)生誤報(bào)（false positives），對(duì)車內(nèi)駕駛員及乘客而言，誤報(bào)是相當(dāng)危險(xiǎn)的行為，或許會(huì)對(duì)安全駕駛行為造成阻礙。

德爾福汽車系統(tǒng)公司（Delphi Automotive）的首席技術(shù)官Glen De Vos表示，隨著自動(dòng)駕駛等車輛互聯(lián)特性的不斷發(fā)展，未來還將采用無線網(wǎng)絡(luò)方式向云端或其他車輛傳輸數(shù)據(jù)，Karamba將無法完全掌控所有的安全層。

他說道：“你可以將互聯(lián)車輛想象成Xbox或PlayStation（兩款電子游戲機(jī)）亦或是手機(jī)，你的軟件及數(shù)據(jù)不僅存在于設(shè)備中，同時(shí)還會(huì)上傳云端備份。而Karamba提供的防黑客入侵軟件僅僅只是其中一個(gè)重要部件，并非全部?！?/span>