CIA意图曝光后 联网汽车安全问题更加凸显

据路透社报道，“维基解密”网站公布的文件显示，美国中央情报局（CIA）考虑实施一项针对“联网汽车”的任务，这使汽车行业的担忧进一步凸显：下一代汽车背后的技术可能会被运用来攻击它们自身。网络安全被认为是推出未来的无人驾驶和今天的联网汽车的关键，这类汽车类似于车轮上的计算机，拥有大量可以成为黑客攻击目标的通信路线。

如果希望消费者信任智能汽车，必须让消费者认为它们是安全的。信息安全专家假设了一个可怕的情况：黑客对没有方向盘或制动器的完全自动驾驶汽车发起远程攻击，而这类汽车上的乘客是无法重新手动控制车辆的。

市场研究公司Strategy Analytics的全球汽车部门副总监罗格·兰多特(Roger Lanctot)表示：“有许多汽车公司试图让其汽车更适合自动化驾驶技术，但这同时意味着它们对黑客具有更大吸引力。”

对此，汽车制造商采取的一个主要战略是减少通往关键系统的通信网关的数量，并要求第三方提供的服务通过单条安全路径来实现。

“维基解密”公布的文件显示，CIA的“嵌入式设备部门”在考虑“潜在任务领域”时，提到了“汽车系统”和来自黑莓公司旗下QNX软件部门拥有的汽车操作系统。

黑莓公司在提供给路透社的一份声明中称，该公司已被全球大多数汽车制造商使用的QNX操作系统，提供了一项“全面、多层次、政策驱动的安全模式……以减少遭到攻击的可能性”。该公司表示，但是考虑到联网汽车有软件、硬件和网络组件等构成，“安全性将由其最薄弱的环节所决定”。

虽然CIA对汽车的兴趣引起了广泛关注，但汽车行业此前已经收到了有关汽车可能遭到黑客攻击的警告。

2015年，信息安全研究人员利用无线连接关闭了一辆吉普切诺基的发动机，促使菲亚特-克莱斯勒汽车公司召回了140万辆汽车。

去年9月，中国网络安全研究人员攻击了一辆特斯拉Model S轿车，远程引发汽车制动并使其后备箱打开。随后，特斯拉利用一个无线升级软件修复了这一漏洞。特斯拉没有回应关于对其网络安全协议进行评论的请求。

咨询公司Alix Partners汽车实践部门全球联合负责人马克·韦克菲尔德(Mark Wakefield)指出，对吉普切诺基和特斯拉的两次攻击，“提醒了汽车行业，即使它（黑客攻击）未必会发生，但在技术上仍是可行的。”

韦克菲尔德称，如果一辆汽车被认为在安全上是脆弱的，“这可能是一个重大的品牌问题。”黑客攻击还可能泄露和盗取汽车和第三方之间共享的私人信息——信用卡号、帐号或密码等。

今年1月，密歇根大学交通研究所的一项调查发现，33％的受访者表示他们“非常担心”对完全自动驾驶汽车的攻击会引发车祸。

关闭进入汽车的途径

如今，进入汽车的途径数量激增，从手机信号到软件保护器等等。一个这样的网关是在方向盘下面的标准OBD-II端口，传统上用于汽车设备的诊断。今天，数百个售后设备使用这个端口，包括根据保险要求监控驾驶行为的设备，以及提供安全警报的设备等。

2016年3月，美国联邦调查局在有关机动车网络安全风险的公告中警告称，这些设备的安全性很重要，因为它可以为攻击者提供远程访问车辆系统和驾驶数据的方法。

汽车制造商还正在非关键信息娱乐系统和驾驶控制系统之间建立起隔离墙，以便在任何攻击可能危及制动等关键功能之前被阻止。

兰多特称，为了应对黑客攻击，汽车行业的第一步是实现入侵检测。他说，但是，当检测到一个攻击正在发生时，应该采取什么措施是复杂的，因为关闭汽车的部分功能可能是不安全的。

特斯拉则率先支持“无线”技术，通过无线升级的方式去完成车载软件的自动升级。虽然有些人认为这样的升级可能成为黑客进入汽车的一种方式，但特斯拉和其他人认为快速升级安全系统和修复漏洞是一项关键的保护措施。

今年1月份，美国立法者提出了一项法案，呼吁制定针对新车的网络安全标准。但到目前为止，美国监管机构发布了有关汽车制造商如何屏蔽其计算机系统免受黑客攻击的建议，但没有出台强制性规定。

兰多特表示，汽车行业距离解决网络安全问题“还需数年时间”，并指出直到2018年初，具有某种检测能力的第一代汽车才会在出现。