IT时报 -V3 新闻消费-
3新闻消费
  • ·找工作注意了!58同城上有招聘骗局
  • ·车企安全意识薄弱 联网汽车恐成黑客众矢之的

车企安全意识薄弱 联网汽车恐成黑客众矢之的

  

IT时报记者戚夜云
  就在不远的将来,路上跑的汽车,还是传统意义上人们理解的汽车吗?从另一个维度来看,每一辆车都是一台联网的移动计算机,面对车联网的新特性,传统汽车行业有时表现得像刚学会上网的老年人,他们几乎没有什么经验来处理相关问题。
  美国新思科技公司与国际自动机工程师学会(SAE International)近日联合发布的《保护现代车辆的安全:汽车工业网络安全实践研究》报告显示,73%的汽车相关从业者表示他们非常担心第三方所提供的汽车技术的网络安全状况,44%的受访者表示他们的企业对上游供应商提供的产品落实了网络安全要求。
汽车代码量超过1亿
  为了能够反映行业现状,这份报告访问了593名专业人员,他们来自全球汽车制造商、供应商及相关服务领域,并多数从事汽车技术安全工作,包括信息娱乐系统、远程信息处理、转向系统、摄像头、基于SoC系统的组件、无人驾驶及自动驾驶车辆等。
  报告结果显示,虽然大多数汽车制造商生产某些自研设备,但他们的真正优势在于研发、车辆的设计和营销、零部件供应链的管理以及最终产品的组装OEM,依靠数百家独立供应商来提供硬件和软件组件。这些零件相互融合提供功能,但这使得在软件安全方面权责不够清晰,使得汽车供应链中的软件存在重大风险。
  一架波音787梦想客机拥有1000万~ 2000万行代码,一套Microsoft office 2013软件代码为4000d万~5000万行,而现代高端汽车平均代码量远超过1亿。“汽车的代码量是非常多的,几年前我们认为一辆车里有几千万行代码是不得了的事,但现阶段一辆车里有1~2亿条代码是很平常的。”新思科技软件质量与安全部门高级安全架构师杨国梁举例,现在越来越多汽车的中控系统开始用安卓作为底层操作系统,采用了大量开源组件,“开源组件的概念就是公开的,如果把它拿来用会有网络安全的风险,你的产品也会受安全问题的影响。”
互联网汽车“链条”长
  很早之前,汽车开发商就致力于车联网方面的开发。吉普作为深受大众喜爱的品牌也不例外,为了给用户提供联网的便利,其在娱乐系统中保留通信接口,提供WiFi热点功能,而这恰恰为黑客攻击留下了暗门。两名黑客则远程入侵了一辆正在路上行驶的吉普切诺基,并对其做出减速、关闭引擎、突然制动或者制动失灵等操控。吉普所在的克莱斯勒公司为了防止汽车被黑客攻击,全球召回了140万辆车。
  此外,腾讯网络安全实验室的研究人员还成功远程入侵了一辆特斯拉Model X,实现对多个ECU电子控制单元的操控。2018年的报告显示,联网车辆遭黑客攻击数量比3年前增加了6倍。特斯拉创始人马斯克表示,阻止全面的黑客攻击是特斯拉的首要汽车安全任务,他认为:“无人驾驶汽车最大的担忧之一是有人对所有无人驾驶汽车发动黑客攻击。”
  遗憾的是,前述《报告》显示目前大概只有31%的受访者能够主动和有把握地提出公司内部所面临的网络安全问题,该比例相对较低。“将近70%的网络安全专家觉得并没有底气向管理层反映安全性问题,没有底气可能是觉得说了也没有用或缺乏相应的数据支撑、缺乏解决方案等。”杨国梁说道。
  车联网之后,车企面临多个挑战,如行业动态和挑战、纯技术角度的行业动态和挑战、产品开发和安全测试实践、供应链和第三方组件的挑战等多个挑战。“尤其是最后一点,汽车行业比较特殊,它的供应链体系非常复杂,可能OEM最终会面临几百上千个不同的供应商,供应商之间又有一层一层的关系,这也是为什么会有Tier 1、Tier 2(一级或二级供应商)这种说法。”杨国梁具体谈到产品安全上,大量的供应商就面临责任不清晰的问题,出现安全漏洞可能对应多个零部件与供应商,那么谁来承担相应的责任呢?管控的难点在于此。
  与金融、互联网、电信等行业相比,车企在安全方面的投入很小。“互联网公司会投入10%以上的营收用于安全方面的建设,但是汽车领域不足5%。”杨国梁认为,背后原因还是安全意识不够到位,因为同时受访车企也指出他们仅对不到50%的硬件、软件和其他技术进行了测试,来确定它们是否存在漏洞。
  相比较而言,蔚来、威马、小鹏等造车新势力安全意识相对较高。“这些公司很大的不同点在于,他们的研发供应链链条短很多,自己掌握的车辆代码更多,安全意识也就更强。”杨国梁表示。