科技已渗透至生活的方方面面,而我们的汽车也不例外。它们已成为车轮上的电脑,配备传感器、软件和连接功能,提供安全与舒适,然而,与所有技术创新一样,这一进步也带来了风险,使汽车容易受到网络攻击。
单凭有人能够黑进一辆汽车并控制它这一事实,就足以令人感到恐慌,将电影中的场景变成了现实。再加上汽车中的软件会处理和存储我们的个人信息这一事实,这种恐惧就愈发令人担忧。
一旦发生安全漏洞事件,我们的驾驶数据、联系人、通话记录、信息和甚至位置信息等都有可能落入不法分子之手。制造商的责任日益重大,不仅在物理安全方面,而且在网络安全方面也是如此,因为这两个方面相辅相成。
所以如果有人认为黑进汽车并不现实,那他们可得三思了。2024年,由山姆·柯里领导的一组研究人员发现了起亚网站门户中的一个漏洞,使他们能够重新分配对2013年以后生产的任何起亚汽车的互联网连接功能的控制权。同样的研究人员还成功远程劫持并追踪了某些斯巴鲁车型。
根据VicOne的报告,汽车行业因网络攻击损失了225亿美元。其中包括200亿美元的数据泄露损失、19亿美元的系统停机损失和5.38亿美元的勒索软件损失。
汽车系统的网络安全风险
汽车系统面临着各种网络安全威胁,包括远程黑客攻击、物理攻击、软件漏洞和恶意软件。
远程攻击:如今的汽车为了方便和功能而配备了蓝牙、Wi-Fi和蜂窝连接,但如果这些系统没有得到妥善保护,黑客就能远程访问汽车的网络。
物理访问攻击:汽车设有诊断端口(如OBD-II),用于维护和故障排除,但如果攻击者能够物理接触车辆,这些端口就会被利用。此外,如CAN总线(连接制动和发动机控制等关键系统)等内部车辆网络容易受到篡改,这可能会使黑客操控车辆功能,如速度、制动,甚至禁用安全功能。
软件漏洞:与任何软件一样,漏洞和弱点可能被利用,使攻击者获得未经授权的控制权或窃取车辆中的敏感数据。
恶意软件和勒索软件:黑客可以通过远程方式或受感染的USB驱动器将恶意软件注入车辆系统。勒索软件可以锁定关键系统,使车辆无法操作,直到支付赎金。
汽车内部网络,如CAN和LIN,控制着从发动机到座椅调节等关键功能,但它们在设计时并未考虑安全性,因此容易受到黑客攻击。
为保护这些系统,正在实施加密(确保数据安全)、身份验证(验证设备身份)和入侵检测系统(IDS)(检测可疑活动)等措施,以防止未经授权的访问和篡改。
未来的安全隐忧
自动驾驶汽车正在为交通行业带来革命性变革,但仅仅因为我们无法控制车辆这一事实,听起来虽然先进,却也令人担忧。
未来,我们可能会拥有具备L5级自动驾驶能力的无人出租车,车辆将能够完全在没有人类干预的情况下运行,这给所有人带来了处理随之而来的所有可能问题的巨大挑战。在这些汽车上路之前,制造商和监管机构必须将网络安全措施放在首要位置,以确保技术和乘客的安全。
这些措施必须应对外部威胁(如远程黑客攻击)和内部威胁(如车辆自身软件或传感器系统中的漏洞)。
自动驾驶车辆的安全需要确保人工智能算法、传感器(激光雷达、雷达、摄像头)和基于云的服务之间的通信安全。这些连接对于自动驾驶汽车的操作和与环境的交互至关重要。
车与万物互联(V2X)通信和空中下载(OTA)更新可能是制造商应解决的主要薄弱环节。V2X涵盖了车辆与其周围环境之间的各种类型通信。其目标是提高道路安全、交通效率和自动驾驶能力,使汽车能够与其他实体“对话”。
另一方面,OTA更新是制造商或服务提供商直接通过互联网发送到车辆的无线软件更新。无需将汽车开到经销商处进行软件升级或错误修复,更新将通过互联网发送,类似于智能手机接收更新的方式。
拦截V2X通信或OTA更新可能会导致比窃取数据更严重的后果,因为这些功能控制着车辆的关键功能。
美国政府还对自动驾驶汽车中使用中国和俄罗斯技术表示担忧,提议禁止此类软件和硬件,以减轻间谍活动和国家安全风险。这为汽车网络安全增添了地缘政治层面。
监管环境
问题可能在于各国采取的监管方法各不相同,因此在为自动驾驶汽车建立网络安全标准方面,全球合作至关重要。
在欧盟,2019/2144号《通用安全法规》规定了对新车辆的严格网络安全要求,包括安全的软件更新和基于风险的安全措施。
相比之下,美国依靠美国国家公路交通安全管理局(NHTSA)提出的自愿指导方针,该方针鼓励采取主动安全措施,但不具有可执行性。
全球标准组织,如国际标准化组织(ISO)和美国汽车工程师学会(SAE),在塑造行业实践方面发挥着关键作用,尤其是通过ISO/SAE 21434标准,该标准概述了整个车辆系统生命周期内的安全框架。
驾驶时的网络安全意识
并非所有危险都来自针对复杂系统的漏洞利用,有时危险就来自驾驶者本身。
例如,在社会工程学和网络钓鱼攻击中,一个人可能会收到一封看似来自汽车制造商的电子邮件,警告其有一个关键的软件更新。信任这则消息后,他们可能会点击链接、按照指示操作,从而在不知不觉中为入侵打开了大门。
如今,汽车还配备了让生活更便利的应用程序,无论是用于导航还是流媒体音乐。但其中也存在潜在风险:许多应用程序都连接到公共Wi-Fi网络。如果应用程序缺乏安全连接,可能会使您的数据,甚至您的汽车系统暴露于网络攻击之下。
汽车制造商和网络安全专家必须优先开展提高认识的工作,帮助消费者了解如何使用他们的数据以及如何进行自我保护。这包括解释为何定期更新软件、使用安全的Wi-Fi网络以及确保车辆具备内置安全功能至关重要。
驾驶员还应了解潜在风险,如未受保护的蓝牙连接、存储车辆数据的云服务中的漏洞,以及为连接系统提供密码保护的重要性。
在未来,随着联网车辆、自动驾驶系统和物联网集成的兴起,汽车行业必须继续实施主动网络安全策略,以应对潜在威胁。
