車聯網“駭客帝國”

吉麗亞

一輛正常行駛的豐田普瑞斯突然出現了車輛即將發生碰撞的幻覺，碰撞預警系統突然收緊安全帶，轉向被控制，剎車完全被禁用……這不是《駭客帝國》中的特技鏡頭，而是該車受到了黑客通過車聯網的入侵。此事發生于2013年，至今兩年已過去了，但這段視頻依然被保留在互聯網上。

當車聯網、智能汽車成為全球汽車產業關注的熱點、成為投資的熱土、成為消費者時尚炫酷的夢想時，車聯網給汽車帶來的危險又有多少人在關注呢？

警惕“后門”

黑客入侵車聯網系統、控制車輛已不是神話。資料顯示：黑客不斷破解各種車聯網系統，而入侵最頻繁的車輛莫過于特斯拉。隔一段時間就會有莫名的黑客冒出來破解特斯拉的系統，而對此從不解釋的特斯拉聘用美國有名的“黑客公主”作為顧問，這一舉動被當作是對黑客行為的反擊戰。

車聯網要依靠手機網絡實現智能化，實現各種應用。3G、4G甚至5G網絡使應用層出口越來越多，增加出口的同時意味著“后門”也隨之增加，而越多的后門就意味著越多的危險。據專家介紹，應用層是平時看得到的表層，在應用層下會有中間層和底層，一個好的軟件一定是一層層疊起來的。操作系統有微軟視窗、黑莓QNX、安卓、蘋果的Carplay、基于Linux的操作系統等等。有一些系統其實只用于IVI，即車載信息娛樂系統，而Linux和QNX會被使用在儀表盤，使用的層次也更深。能肯定的是一個好的系統平臺應該是安全、優化、性價比高。安卓本身不是為汽車使用打造的，而且由于自身缺陷，安全性多被質疑，而且系統過大導致啟動速度慢，運行中容易延遲或死機。另外，QNX的安全性也不盡如人意。

不能否認的是，互聯網與“黑客”是共生共存的。只要有出口就能找到“后門”，而出口本身就意味著風險。

2011年，來自加州大學和華盛頓大學的計算機專家的研究報告指出，黑客可以通過遠程操控汽車的引擎、剎車甚至汽車的其他功能。

2013年7月，Twitter公司軟件安全工程師Charlie Miller和IOActive安全公司智能安全總監Chris Valasek表示，在獲得美國政府許可的情況下，他們對網絡入侵攻擊汽車進行了幾個月的研究之后，在豐田普銳斯和福特翼虎的主要系統上，實現了以下情景：迫使普銳斯在80英里/時的速度下剎車、猛打方向盤、讓發動機加速；也能使得翼虎在超低速行駛時剎車失效。不過他們進行汽車攻擊時需要把電腦連接到車上，并不能實現遠程攻擊。當然，豐田和福特的發言人同樣拒絕對此事置評。

2014年3月28日，在新加坡舉行的黑客安全會議上，網絡安全顧問Nitesh Dhanjani宣稱特斯拉Model S豪華跑車安全系統存在多處設計缺陷。Dhanjani表示，特斯拉Model S的賬戶密碼安全度較低。如果采用類似盜竊電腦賬戶密碼或在線賬戶密碼的一些黑客手法，就可以讓Model S的賬戶密碼變得脆弱。因為6位密碼變化不多，黑客可以破解密碼，定位車輛，盜取個人信息。他還表示，一輛價格100，000美元的車將安全寄托在短短的六位數密碼上，顯然是不可忽視的問題。特斯拉發言人則對Dhanjani的發言拒絕置評。

2015年2月2日，德國汽車工業協會在一份報告中稱，包括勞斯萊斯幻影、MINI掀背車和寶馬i3電動車在內的絕大部分寶馬品牌車型存在設計缺陷，大約有220萬輛車配備的ConnectedDrive數字服務系統有安全漏洞，黑客可利用這些漏洞遠程打開車門。

可見，聯網的汽車，其安全性不僅僅體現在碰撞、操控、制動等傳統的主、被動安全防護措施上，汽車網絡信息安全已經成為汽車安全的“新領域”。汽車不是手機，被黑掉的汽車所帶來的危害遠比一部手機死機要嚴重得多。

車聯網的未知之境

“互聯網+”時代來臨，到底誰準備好了？沖鋒在前的應用軟件準備好了嗎？高端大氣的內嵌互聯準備好了嗎？靠海量分析數據取勝的線上準備好了嗎？重資產依然無敵的線下準備好了嗎？當一切準備妥當，能否就此衍生出一場新的革命？

面對日益龐大的“互聯網+”概念，汽車企業紛紛試水，或在造車領域，或在賣車領域，或在用車領域，攜手互聯網巨擎制造汽車已不再是新鮮話題，甚至有互聯網企業認為下一步取代傳統制造業研發自主智能汽車。傳統汽車制造企業也有自己的擔憂，雖然擁有核心造車技術，仍不能保證互聯網的潮流之下，誰是能留下來的那個？而用戶在享受了車聯網的便捷之后，車聯網安全誰來保證。似乎所有的車企都沒有正面回答這個問題。

面對存在的未知領域，面對海量“互聯網+”的新聞，由李克強總理引發的議題已成2015年的重要綱領。然而“互聯網+”的背后，“安全”誰來保障？帶著種種疑問，《汽車觀察》記者采訪了凌動無限科技有限公司CEO Pasi Nieminen，由他來解答未知之境。

《汽車觀察》：We are seeing a lot of car manufacturers and after market IVI solutions using Android. What do you think about Android's future in cars？

《汽車觀察》：許多整車廠和后裝的車載娛樂系統都在使用安卓系統。如何看待安卓作為車載系統的前景？

Pasi Nieminen：The systems we are seeing in China are based on the open source versions of Android and are only partly compatible with Android. Why do manufacturers use these modified versions of Android？ Because it is quick and cheap to create something visual for customers， but the trade off is in performance and security. Android is not optimized for the car environment. It is a very power hungry system which means in order to run well you need a more powerful and more expensive processor. So you save money on the software but you pay for it on the hardware. Android security architecture is not fit for secure car computing， and can only be used in non-critical systems such as infotainment.

Pasi Nieminen：我們在中國所用的系統只是基于安卓的開源版本，和安卓只是部分兼容。為什么大家使用這種開源的安卓呢？簡單的說就是圖方便，用便宜的方式盡快做出來一個看得到的東西，以期賣給消費者。它的代價是性能和安全。安卓并沒有針對車裝環境做優化，它是個非常耗電的系統，意味著需要一個非常強大和昂貴的處理器。如果你要在軟件上省錢的話，就得在硬件上花大錢。安卓的安全架構并沒有考慮到車載電腦對安全的要求，所以只能用于對安全要求不高的信息娛樂系統。

《汽車觀察》：People are worried about leaking personal information in connected cars， will APPs do that？

《汽車觀察》：大家擔心互聯網汽車會泄露個人信息，車載應用是否會導致用戶隱私外泄？

Pasi Nieminen：In mobile the security threat is to your personal information， but in a car its a threat to your life. If someone can take control of your car， you could die. A car is a complex multi-system environment and with the new demands and the new opportunities offered by software， security in cars is becoming ever more complex. All parties concerned have to work together to implement a secure platform for connected cars.

Pasi Nieminen：如果說手機的安全風險更多是個人信息的話，汽車互聯危險則是生命。如果在行駛時，汽車被遠程控制，可能會因此送命。現代汽車本身就是個復雜的多系統環境，加上新要求及軟件帶來的新機會，汽車的安全問題也會越來越復雜。所有相關方必須緊密合作，創造安全的車聯網系統平臺。

《汽車觀察》：What can users expect from cars that have Internet+ connectivity？

《汽車觀察》：消費者能夠從互聯網+的汽車上得到什么？

Pasi Nieminen：Infotainment features are important and easy for users to understand， but the Internet+ car is the foundation for a new generation of cars and transport. It is the key technology that will enable smart traffic. In smart traffic enabled cities， connected cars communicate with the city's infrastructure， leading to a safer and less stressful driving experience. The networks for entertainment and for infrastructure communication should be separate.

Today we are moving into a period of rapid software driven technological development and car manufacturers have to implement these changes very quickly. The key to that is an integrated， robust， flexible and secure high performance computing platform at the heart of their cars.

Pasi Nieminen：信息娛樂是很重要的功能，也容易理解。但是互聯網+汽車是新一代汽車和交通的基礎。它代表了智能交通的關鍵技術。在一個智能交通使動的城市里，互聯汽車和城市有更多通信，目的在于創造一個更加安全的更少壓力的駕駛體驗。娛樂系統及通信系統必須要分開。今天，在快速地軟件驅動的技術環境下，車廠必須要以非常的快的速度引入新的變化，這就需要一個集成度高的，健康的，靈活安全的，高性能的電腦系統平臺。

未來講的更多是關于交通，而不僅僅的汽車。汽車行業會被外部力量改變，軟件公司將在汽車設計制造中有一席之地。未來的汽車不再是獨立的，它們將通過各種系統被連接起來，成為真正的車聯網。

鏈接：專家談車聯網安全

中國汽車工業協會秘書長董揚：

汽車是一個非常危險的產品，它是一個在極端狀況下工作的產品，它高速移動，對于這個安全性，各方面要求非常非常高。車聯網系統在不能有效解決病毒問題、防止被人惡意操控之前，是不能夠用到汽車上的。

360攻防實驗室車聯網安全專家劉健皓：

通過反向控制去黑掉一輛車是很有可能的。今年的上海車展是以互聯網汽車或者是智能汽車為宣傳口號的，有些儀表盤都是液晶的電子儀表盤，黑客可以黑掉整個屏幕，比如：駕車行駛中，看不到轉速。有一些車輛，有車聯網的云端，會把所有車輛數據傳到云端。但如果云端的安全防護做的不夠，會泄漏很多數據，其中包括個人數據、行車數據。寶馬的車聯網系統就曾報過漏洞，黑客用一個偽基站在車的附近就可以把車門打開。

奇虎360公司董事長周鴻祎：

智能汽車，就是騎在一個有四個輪子的大手機上，通過3G、4G、未來5G的網絡，或通過wifi、藍牙，通過各種各樣的通信協議，接入點越多可以被攻破的入口就會越多，同時防守的難度會越來越大。

特斯拉亞太區工程總監王文佳：

特斯拉從硬件、軟件兩個方面給車設置了很多道安全屏障，聘用了美國很有名的“黑客公主”負責特斯拉的信息安全工作。

安全是汽車系統的核心

SECURITY IS A KEY FEATURE IN CARS

In the past， access to the CAN bus was restricted by physical access to the car – if you couldn't get to the car then you couldn't get access to the CAN bus - but with connected cars we are seeing examples where the CAN bus can be attacked remotely. The security threat for cars has moved to a new level， and it is just going to get worse.

過去的汽車中，CAN bus（總線系統）是被物理隔離的，如果你不在車內，就無法碰觸到CANbus。但是在互聯汽車的語境下，汽車卻可以被黑客遠程攻擊。汽車的安全風險已經上升到新的高度，如果沒有解決方案，會越變越糟。

Car manufacturers are adding more software to cars， mechanical meters and gauges are being replaced by LCD panels and software， information is being integrated across the information cluster and the infotainment units. All this software being placed between the car and the driver is creating new vulnerabilities whereby a breach in the security could be used to deceive and trick drivers. External parties， such as governments， service providers and insurance companies， want to create applications for cars and this will create new security concerns. Adding more functionality makes systems more complex and more vulnerable.

車廠開始添加越來越多的軟件在汽車環境中，機械表盤被LCD屏幕和軟件替代，信息由信息群和信息娛樂系統整合起來。所有介于汽車和駕駛者之間的軟件都帶來了更多的風險，任何安全問題都可能會讓駕駛者陷入麻煩的境地。所有的第三方們，政府，服務提供商和保險公司等都試圖給汽車加上新的應用，而這都將帶來更多的安全問題。隨著功能的增加，系統會變得更復雜，也更危險。

On the desktop we are already very familiar with malware and attacks on our information， privacy and infrastructure. As cars are getting more connected and software driven， the same can be expected to happen in the automotive world. Malicious attacks are inevitable and must be anticipated and taken into account as part of the system design.

我們已經很熟悉電腦中的惡意軟件對信息，隱私和環境的攻擊。當汽車變得更加互聯和軟件化后，同樣的風險也可能發生在汽車環境中。惡意的攻擊不可避免，所以要在系統設計中充分考慮汽車的安全性。

How to design reliable and secure computing for connected cars

如何設計安全可靠的互聯汽車電腦

Software security is not a feature. It cannot be added or plugged into a system after it is designed. Security has to be built in right at the core of a system. The key concepts in software security are the architecture and the design process. One approach to security is to physically isolate separate systems， but as the demand for computing in the car increases it becomes very expensive to keep adding separate devices and maintaining the different systems. On the other hand when implemented as part of the core security architecture virtualization is a cost efficient solution to isolating separate systems. An example of this is ARM platform's TrustZone which provides hardware-level security with software flexibility. TrustZone is a small operating system that is built onto the processor and is completely isolated from attack. By running virtualization on top of TrustZone you can isolate the different software systems from one another.

軟件安全并不是一項功能，它不能添加或插入一個成型的系統中。安全設計存在于系統的核心。軟件安全的核心理念是架構和設計的工作。保證安全的一種辦法是從物理上分離系統，但是隨著汽車電腦的要求增多，在汽車上添加設備和維護多個系統的成本會越來越高；而另一種節省成本的方法就是通過核心安全架構虛擬化來區隔不同系統。如同ARM平臺的TrustZone提供了硬件級別的安全性同時提供了軟件的靈活性。TrustZone是在處理器上的小型操作系統，它能完全避免被攻擊。在TrustZone上運行虛擬機就可以把關鍵系統和其他系統隔離開。

Understanding connectivity in cars

理解汽車互聯

Cars will have two types of connections， internet and V2X. The internet is too unreliable and too slow for vehicle-to-vehicle and vehicle-to-Infrastructure mission critical communication. Vehicle-to-Vehicle （V2V） and Vehicle-to-Infrastructure （V2I） connectivity is being introduced to cars to enhance safety by sharing information between cars and the surrounding infrastructure. In addition to increased safety， V2X connectivity paves the way for autonomous vehicles. The U.S. Department of Transportation （DoT） and the U.S. National Highway Traffic Safety Administration （NHTSA） have set out a timeline mandating the introduction of V2X connectivity in vehicles in the US. The European Union is also woking on their plan to mandate V2I applications.

At the same time， connected consumer applications such as music and video streaming are becoming more and more coommon in car infotainment systems and cars are being designed with pre-installed Internet connectivity options. While attractive to consumers， this trend opens up new security risks， especially as embedded systems offering these functionalities are consolidated. Therefore， an important requirement for the design of any comprehensive information system for cars is to ensure isolation between Internet connected applications and V2X connectivity. A vulnerability in an Internet connected application must not compromise the security of the V2X connections.

汽車的互聯有兩種，互聯網和V2X。互聯網（對于汽車）對V2X中的關鍵任務通訊來說，是非常不可靠和緩慢的。

車車互聯和車與環境的互聯旨在通過車與車、環境的信息共享來提高安全性。在提高安全性以外，V2X互聯還促進了自動駕駛汽車的發展。美國交通部和美國國家高速公路安全管理局提出了在美國要求推廣V2X的時間表。歐盟也在制定要求應用車與環境互聯的計劃。

與此同時，互聯消費產品如流媒體音樂與視頻在汽車信息娛樂系統變得越來越常見，越來越多的汽車設計出廠時預裝了互聯網方案。當這些功能被整合到汽車信息娛樂系統后，雖然獲得了消費者的青睞，但這樣的趨勢卻引起了新的安全隱患。

所以，一個設計任何綜合型汽車信息系統都需要考慮到的重要需求是保證把互聯應用與V2X互聯隔離開來。一個互聯應用的漏洞決不能讓V2X連接的安全性受到損害。

Car Manufacturers and Software cultures clash

車廠和軟件文化的沖突

Car manufacturers business is very different form the consumer driven smart phone world. In the car manufacturers world the focus is on cost-efficiency， liability and long product cycles. Most software companies have no experience of the automotive industry. Traditionally car manufacturers sourced their IVI systems， like any other part， from their regular tier-1 suppliers. However tier-1 suppliers do not have the computer hardware and software know how to design and maintain these complex systems. Car manufacturers， tier-1 suppliers and software companies face a challenge to meet the next generation car computing requirements. Maybe now is the time to re-think the car computing value chain.

車廠與消費者驅動的智能手機市場有著巨大的差別。對車廠來說，他們的重點是成本效率，產品可靠性和產品生命周期。絕大多數軟件公司沒有汽車行業的經驗。

按照傳統，車廠向常見的tier-1供應商獲取IVI系統，就像其他部件一樣。但是一級供應商缺乏計算機硬件和軟件的專業知識來設計和維護這些復雜的系統。

車廠，一級供應商和軟件公司面臨下一代汽車計算機需求的挑戰。也許現在是時候來重新考慮汽車計算機價值鏈。

（本文由凌動無限科技有限公司CEO Pasi Nieminen提供）