现在的「汽车安全」这个话题,不仅包括汽车本身的结构安全,更重要的还有网络安全(Cyber Security)。在今天的腾讯互联网安全领袖峰会上,主办方专门开设了一个「智能汽车安全分会场」,GeekCar 也是这个分会场的协办方。
参加这个分会场的嘉宾和观众,主要来自车企、互联网公司、高校和咨询公司,基本涵盖了未来汽车网络安全领域的所有参与者。
越智能,也意味着越多的 bug
如今的汽车行业有点像当年的手机行业,正在由「功能机」向「智能机」转变,功能越来越多,bug 也越来越多。不过汽车和手机还不一样,手机有 bug 顶多炸了,但汽车一旦被黑,就有可能出人命。
一套完整的汽车系统非常复杂,代码有一亿行。在这一亿行代码中,可能会有上万个 bug。目前已经被白帽子远程入侵成功的车型,包括 Jeep 自由光、特斯拉。
腾讯科恩实验室薛伟透露,最近也有黑客在研究荣威 RX5,通过挟持手机 App 来让车打开车门车窗。
关于针对汽车的攻击,就连 TPMS 胎压监测也可能成为入口,比如黑客可以侵入 TPMS 系统,让胎压显示值过低。在一些高档车上,胎压过低就会自动刹车,从而对用户造成危险。 同样,黑客也可以入侵自动紧急刹车系统,通过向汽车发送错误的雷达信号,来让车辆做出错误的判断。
至于我们常提到的 V2X 技术,其实也有被黑的风险。举例来说,V2V 技术普及后,黑客可以伪装成普通交通参与者,向路面其他车辆发送错误的车型、位置和速度信息,造成交通混乱。
面对种种漏洞,其实车企已经有所行动。在自动驾驶方面最为激进的特斯拉,建立了一套完善的反馈机制,并设立了专门的基金来奖励发现 bug 的团队,从一千到一万美元不等,这也是很多互联网公司鼓励白帽子发现 bug 的做法。
除了特斯拉,北汽集团在智能驾驶方面也非常积极,而且非常注重汽车的网络安全。北汽集团新技术研究院荣辉说,北汽要打造的是「闭环的安全性」,研发团队一半人员都不是传统车企从业者。
举例来说,北汽的无人驾驶系统使用了龙芯,虽然性能和可靠性还未达到车规级要求,但「用得放心」,未来双方也会有深度合作。所谓「用得放心」,指的是信息安全,因为也曾有美国芯片厂商向它推销芯片产品,但无法 100%保证没有后门程序。
在未来,北汽的无人驾驶系统的顶层是开放的,中间有「中间件」,把顶层和底层系统隔离开来。
在我们看来,选择和龙芯合作,也意味着选择了一条比较艰难的路,毕竟现在车载芯片领域壁垒还是较高的。很多国际一线厂商包括英特尔、英伟达、高通等公司,在消费级芯片上取得了成功的基础上,也在向汽车芯片领域进发。
另外,「顶层」开放就意味着更多的攻击机会,所谓的「中间件」足够安全吗?这对北汽的汽车网络安全系统提出了很高的要求,并且已经给出了成熟的解决方案。
汽车网络安全,别只依靠车企
虽然提起中国车企大家都是一声叹息,但智能汽车时代的来临,也给中国带了机会,也就是所谓的「弯道超车」。 罗兰贝格汽车行业中心专家时帅为我们列举了智能汽车时代,车企应该辩证思考的 5 个问题:
1. 是否应该或可以从哪个领域切入智能网联汽车安全的市场,是汽车网络安全的硬件、软件解决方案还是服务?
2. 如何切入该市场,是自主开发系统性解决方案,还是寻求借力于日益开放的生态圈中的合作伙伴的能力?或是以收购的方式获得能力?
3. 应当与谁合作共赢实现安全问题的解决并创造价值?是整车生产企业,TSP 供应商,还是互联网公司?
4. 何时是最佳的市场机遇?能够快速地覆盖多数消费者并建立竞争优势?
5. 应该以何种方式对相关的安全产品、解决方案与服务进行定价?相关收费产品应当找谁买单?
目前来看,大多数车企依然在忙着解决智能汽车的技术问题。面对网络安全,精通机械制造的车企,是缺乏网络安全基因的。面对这样的状况,车企如何认识和理解汽车的信息网络安全,愿意不愿意成立专门的安全部门或联合第三方安全团队来搞定这件事,是个问题。
其实在智能汽车来临之前,无论是汽车网络安全还是新技术的推动,政府扮演着很重要的角色。在这一点上中国很有优势, 因为中国有强有力的政府领导力。具体包括两方面,一是智能汽车安全标准、通讯协议的统一;二是智能汽车所需的 V2I 技术所需的基建设施,需要由政府来推动,其实中国已经拥有了很强的基建设施建设能力。
总之,如何让智能汽车的网络变得更安全,不仅是车企的事,还涉及到政府相关部门、汽车零部件供应商、车联网服务运营商等等。
原创声明: 本文为 GeekCar 原创作品,欢迎转载。转载时请在文章开头注明作者和「来源自 GeekCar」,并附上原文链接,不得修改原文内容,谢谢合作!
欢迎关注 GeekCar 微信公众号: GeekCar 极客汽车 (微信号:GeekCar)&极市 (微信号:geeket)。