汽车网络安全你了解多少？

在“互联网+”的政策引导下，现在新出的车如果不配备一套网联系统简直不好意思和别人打招呼，消费者们似乎也都很买账，我自己就不止一次碰到快车司机向我展示他们的爱车网联系统用起来多么方便。如果你关注最近上市的新车，你会发现基本上每款都配备了一套智能网联系统。更加智能化的汽车给我们的用车生活带来了很多方便，但是你有没有想过，这背后隐藏着巨大的危机？

正如开头所讲，汽车联网在给你带来方便的同时也带来了不少风险。在汽车联网浪潮之前，我们的汽车是一个个独立存在的个体，这意味着别人很难用非暴力的方式去入侵你的车辆。但现在不一样了，如今的汽车大规模装备网联系统，这让黑客有机会通过互联网来入侵你的车辆。

2015年7月，查理·米勒和克里斯·瓦拉塞克两位网络安全员向公众展示了黑客是如何利用车载网联系统入侵并远程操控一辆正在行驶中的Jeep Cherokee（国内自由光车型）。

原本正常行驶的Jeep Cherokee被黑客入侵之后，车辆油门、刹车、雨刷、电台等不再受驾驶者控制，导致车辆失控冲进路旁的沟里。为此，菲亚特克莱斯勒集团被迫召回了140多万辆汽车，通过更新完善软件系统来解决问题。

其实类似的问题不只出现在Jeep车型上，在2015年黑客防御大会上，科技网络安全服务公司CloudFlare工作人员演示了入侵特斯拉Model S车型，导致其在行驶过程中突然熄火。

在今年刚刚过去的BlackHat黑帽技术大会上，来自360公司和腾讯公司的安全技术人员也分别展示了远程破解汽车“无钥匙”进入系统以及远程入侵特斯拉电网系统。

这些层出不穷的黑客演示也实实在在证实了现阶段的互联网汽车存在很大的安全隐患，但让人感到恐慌的是目前大部分消费者以及汽车厂商似乎并没有意识到汽车网络安全的重要性。目前，在推动汽车网络安全发展的主力还是那些网络科技公司，而主力军位置本应该是汽车厂商自身。

目前少数汽车厂商已经意识到网络安全问题是未来汽车不容忽视的点，大众集团便是其中之一。

在今年9月初，大众汽车与以色列国家安全局前局长狄思金（Yuval Diskin）共同组建了一家名为CyMotive Technologies的网络安全公司，

虽然没有更多详细内容报道出来，但是我们不难揣测出大众想要在未来确保旗下车型网络安全的用意，深受“排放门”影响的大众集团应该比谁都清楚未雨绸缪比亡羊补牢要划算得多。

在国内市场，新兴造车势力威马汽车对网络安全也格外重视，虽然其还未推出自己的量产车，但是威马汽车已经早早为汽车网络安全做准备。

在前不久召开的2017中国互联网安全大会上，威马汽车与360公司合作研发的网络安全概念车首次公开亮相。

该车包含360整车一体化安全解决方案及360汽车卫士、安全运营平台等软件系统，通过动态防御体系保障人、车、环境安全。

从第一辆汽车诞生到现如今，汽车也走过了一百多年的历史，这一百多年里汽车从外形设计到动力系统发生了翻天覆地的变化，当然，我们一直所关注的汽车安全也在不断地演变。

各位都非常熟悉，世界上第一辆车是这样子的，1886年卡尔·本茨先生造出了这辆车，这辆车搭载了一台单缸二冲程汽油发动机，每小时大概可以行驶15km。

1888年奔驰夫人贝尔塔带着两个孩子驾驶着这辆车历经千辛回了一趟娘家，这个时代的汽车，人们根本不会考虑什么安全性，能顺顺利利得跑起来就不错了。

汽车再往后发展，随着汽车数量越来越多，交通致死致伤事故越来越频繁，人们开始意识到安全的重要性，于是安全带、安全气囊等被动安全装置开始应用起来，这时候人们的关注点更多是在被动安全方面，在交通事故发生后如何确保乘员安全是当时人们致力解决的。

1968年，丰田应用了溃缩式发动机舱设计，发生碰撞时以溃缩来吸收能量，减轻对驾驶员的冲击。在这个阶段，人们想尽各种办法来提高车辆被动安全。

到了二十世纪八九十年代，人们的思想更进一步，开始关注主动安全。这时候人们意识到避免交通事故发生才是真正的安全，于是主动刹车、车道偏离预警等主动安全配置开始出现在车辆上。

如今，部分高端汽车都已经进化出了L3级自动驾驶功能。

你是不是也想象过未来汽车全部具备了无人驾驶功能后，道路上会出现一片互相礼让、没有交通事故的和谐景象，那你真的太天真了。从网络安全层面来看，这个阶段的汽车反而是最为危险的。一辆具备自动驾驶功能的汽车网联化与电气化程度往往会很高，这就意味着黑客入侵到该车的机会和突破口会更多，而一旦得手那这辆车基本就可以变成黑客手中的遥控车，这时候前面讲到的安全装置很有可能颠倒过来变成杀人的武器。

在《速度与激情8》中，停在停车场中的车辆以及街道上的车辆被黑客入侵，失去控制造成一片混乱。 网联汽车变杀人武器？

针对应用不同网联系统的车型，黑客入侵汽车的方式也不太一样，总结起来大致可以分为4类：物理接触、近场控制、远场控制、近场+远场协同入侵。虽然入侵方式分为很多种，但是其最终目的都是一个，通过入侵控制车辆CAN总线，CAN总线是控制器局域网络(Controller Area Network, CAN)的简称，其连接着车辆各种传感器与控制器，用于数据传输，你可以简单地把它理解为人的神经系统。理论上，黑客控制了CAN总线也就掌控了车辆本身，通过命令传输就可以控制车辆的动作。

1、物理接触入侵

在前面讲到两位黑客曾通过远程入侵的方式控制了Jeep Cherokee，一年之后两位黑客又通过物理接触的方式对其进行了控制。

第二次入侵，查理·米勒（Charlie Miller）和克里斯·瓦拉塞克（Chris Valasek）两位黑客通过电脑连接车辆的OBD接头，通过物理连接方式访问车辆的CAN总线，从而对车辆实现控制。

2、近场入侵

近场入侵一般是通过蓝牙或者车辆配备的Wifi功能来实现对车辆的控制。Jeep车型所采用的Uconnect车载系统除了能实现常见的娱乐功能外，其还具备远程启动车辆的功能，

Jeep车型所采用的Uconnect车载系统除了能实现常见的娱乐功能外，其还具备远程启动车辆的功能。

这就意味着车辆的娱乐系统与车辆发动机等动力系统存在网络联系，这为黑客通过娱乐系统入侵车辆提供了路径。黑客可以通过车辆的Wifi和蓝牙与车辆建立联系，破解之后便可对车辆进行控制。

3、远场入侵

远场入侵我们可以简单理解为近场入侵的扩展版，近场入侵主要通过蓝牙和Wifi这些短距离连接方式入侵车辆，远场入侵则是依靠通信运营商服务来实现。目前大多数网联汽车都是通过内置SIM卡来实现上网功能，黑客便可以利用通信运营商服务来实现远程控制。

4、近场+远场协同入侵

这种方式其实是一种比较讨巧的入侵方式，我们在《钥匙在手车被开走 360破解无钥匙系统》有过介绍，您可以点击查看详情。

近场与远场协同入侵的方式更多是破解车辆的无钥匙系统，主要针对车主不在车内场景实施入侵。

俗话说得好“解铃还需系铃人”，汽车网络安全问题进入人们的视野因黑客攻击车辆而起，要想解决车辆网络安全问题还需要这类人的帮助。黑客一般指利用网络来从事犯罪或者违法行为的人群，如果他们能利用自身技术来构建网络安全，那他们则被称为“白帽黑客”或者网络安全人员。

同样的人员，如果站在不同的立场上就能发挥完全相反的作用。白帽黑客团队或者说网络安全团队就是解决网络安全问题最合适的选择。

在2016年CES大会上，通用汽车发布了一则公告。通用汽车公开宣布了其网络安全漏洞及披露计划：将漏洞提交给通用汽车公司的黑客将不会受到法律指控，甚至可以拿到一笔奖励金。这样的做法在互联网领域非常常见，如今随着汽车进入智能化与网联化时代，类似的做法将会被越来越多的车企采用，特斯拉便是其中之一。

2016年9月，腾讯科恩实验室宣布通过以“远程无物理接触”的方式侵入了特斯拉汽车，随后腾讯科恩实验室遵循“漏洞披露”计划，把这次发现的所有漏洞细节提交给了特斯拉官方。

我们来看看特斯拉是怎么做的。特斯拉在一个半小时之内确认了该漏洞，给予腾讯科恩实验室40000美元奖励。随后的10天之内，特斯拉CEO Elon Musk写亲笔信向腾讯科恩实验室致谢。特斯拉修复了漏洞，并在漏洞被媒体曝光前向全球特斯拉车队推送了带有加密密钥的紧急安全补丁更新。

三个月后，特斯拉官网再次致谢腾讯科恩实验室，并宣布腾讯科恩实验室入选特斯拉安全研究员名人堂。

当然，作为一家汽车企业，面对网联化发展浪潮仅仅靠“漏洞披露”计划很难确保自身产品的网络安全，招揽人才组建属于自己的网络安全团队必不可少，特斯拉早在多年前就从谷歌等互联网公司挖掘网络安全人员组建专业的汽车网络安全团队。

在国内，360公司一直对汽车网络安全非常感兴趣，由著名网络安全专家杨卿组建的独角兽团队一直致力于研究车企车载系统漏洞，协助车企改进。

编辑点评：随着汽车网联化和智能化程度越来越高，汽车网络安全会越来越受到重视。在之前，人们将更多的精力放在汽车的主被动安全上，但现在我们不得不对汽车网络安全提起注意。当然，作为消费者也不必对此感到恐慌，毕竟“黑”汽车这件事儿需要非常高的技术水平与成本。