原標(biāo)題：小心，你的聯(lián)網(wǎng)車(chē) 副駕駛可能“坐”著黑客

　　百度公司董事長(zhǎng)兼CEO李彥宏曾經(jīng)在兩會(huì)上暢想過(guò)智能車(chē)的未來(lái)：只要把車(chē)開(kāi)上高速，你就能吃著火鍋唱著歌，被車(chē)輕輕松松地從北京載到上海。

　　360集團(tuán)董事長(zhǎng)兼CEO周鴻祎后來(lái)在公開(kāi)場(chǎng)合“皮”了一下：有一天，你吃著火鍋唱著歌，可能智能車(chē)就被黑客劫持了。

　　周鴻祎素來(lái)喜歡“放炮”，但他描述的畫(huà)面，并非聳人聽(tīng)聞。

　　前不久，以色列一家汽車(chē)聯(lián)網(wǎng)安全公司的CEO阿米·多坦說(shuō)了這么一番話(huà)：自動(dòng)駕駛汽車(chē)系統(tǒng)可能會(huì)充滿(mǎn)漏洞且易被黑客攻擊。

　　當(dāng)車(chē)輛接入網(wǎng)絡(luò)，也就給了黑客遠(yuǎn)程攻擊的機(jī)會(huì)。360智能網(wǎng)聯(lián)汽車(chē)安全實(shí)驗(yàn)室負(fù)責(zé)人劉健皓被稱(chēng)為“破解特斯拉第一人”，他曾發(fā)現(xiàn)特斯拉Autopilot(自動(dòng)駕駛系統(tǒng))存在傳感器漏洞并將漏洞提交給了特斯拉公司的安全部門(mén)。劉健皓在接受科技日?qǐng)?bào)記者采訪時(shí)表示，漏洞不可避免，也不可能被完全清除，信息安全攻防是一場(chǎng)動(dòng)態(tài)的持久戰(zhàn)。

　　存在漏洞、錯(cuò)誤是代碼的通病

　　阿米·多坦給出了這樣一組數(shù)字：“聯(lián)網(wǎng)汽車(chē)每1800行代碼就會(huì)存在一些錯(cuò)誤，其中80%是安全漏洞。”他還表示，一輛聯(lián)網(wǎng)汽車(chē)和一輛自動(dòng)駕駛汽車(chē)的潛在安全漏洞數(shù)目分別為5000和15000。

　　這是怎么算出來(lái)的?

　　北京理工大學(xué)網(wǎng)絡(luò)攻防對(duì)抗技術(shù)研究所所長(zhǎng)閆懷志告訴科技日?qǐng)?bào)記者，國(guó)際著名的CMMI(軟件能力成熟度集成模型)將軟件能力成熟度分為5級(jí)，其中1級(jí)最低，5級(jí)最高，4級(jí)和5級(jí)的千行代碼缺陷率分別為0.92‰和0.32‰。聯(lián)網(wǎng)汽車(chē)“每1800行代碼就存在一些錯(cuò)誤”，表明其軟件能力成熟度大致在CMMI 4級(jí)和5級(jí)之間。“雖然聯(lián)網(wǎng)汽車(chē)代碼成熟度達(dá)到了較高水平，但顯然還有一定的提升空間。”閆懷志說(shuō)。

　　閆懷志認(rèn)為，軟件代碼出現(xiàn)漏洞，是由軟件開(kāi)發(fā)和應(yīng)用過(guò)程中的不正確或遺漏行為所造成的，也就是在軟件設(shè)計(jì)、實(shí)現(xiàn)或應(yīng)用過(guò)程中有意或無(wú)意導(dǎo)致軟件架構(gòu)或其具體實(shí)現(xiàn)與期望不符。“漏洞的出現(xiàn)是所有軟件代碼的通病，不僅僅局限于聯(lián)網(wǎng)汽車(chē)與自動(dòng)駕駛應(yīng)用領(lǐng)域。”不過(guò)，漏洞出現(xiàn)的頻率又跟軟件研發(fā)和保障水平密切相關(guān)。比如，在級(jí)別不同的CMMI研發(fā)保障能力下開(kāi)發(fā)出來(lái)的代碼質(zhì)量和漏洞數(shù)量會(huì)有顯著差異。“自動(dòng)駕駛軟件屬于典型的工業(yè)應(yīng)用軟件之一，其安全漏洞的潛在危害性，尤其是對(duì)人和物理環(huán)境的破壞性都極大，和普通軟件的危害不能同日而語(yǔ)。”閆懷志強(qiáng)調(diào)。

　　有漏洞不是稀奇事。中國(guó)科學(xué)院微電子研究所副研究員王云表示，隨著汽車(chē)智能化水平的提高，一輛車(chē)上的代碼可能有幾千萬(wàn)甚至上億行，存在錯(cuò)誤和漏洞是肯定的。“不光自動(dòng)駕駛行業(yè)，傳統(tǒng)軟件行業(yè)都會(huì)有各種錯(cuò)誤，不管是Windows還是iOS。”

　　車(chē)載娛樂(lè)系統(tǒng)易成被侵入對(duì)象

　　漏洞是如何被發(fā)現(xiàn)和修復(fù)的?

　　王云介紹，成熟的軟件開(kāi)發(fā)都會(huì)有標(biāo)準(zhǔn)流程，會(huì)對(duì)需求、架構(gòu)設(shè)計(jì)方案、代碼模塊設(shè)計(jì)接口、代碼機(jī)制等環(huán)節(jié)進(jìn)行代碼測(cè)試與評(píng)審。通過(guò)規(guī)范的流程，大部分代碼漏洞可以被發(fā)現(xiàn)，但是依然有少部分漏洞不會(huì)被測(cè)試用例覆蓋。

　　“聯(lián)網(wǎng)汽車(chē)涉及各種協(xié)議或操作系統(tǒng)、應(yīng)用軟件，存在漏洞的地方更多。目前被發(fā)現(xiàn)的漏洞涉及TSP(內(nèi)容服務(wù)提供商)平臺(tái)、APP應(yīng)用、Telematics Box(T-BOX)上網(wǎng)系統(tǒng)、車(chē)機(jī)IVI系統(tǒng)CAN-BUS車(chē)內(nèi)總線(xiàn)等各個(gè)領(lǐng)域和環(huán)節(jié)。”王云表示，協(xié)議、操作系統(tǒng)存在的漏洞都可能被利用，造成的危害也不一樣：有的能讓黑客竊取用戶(hù)信息，更嚴(yán)重的能讓黑客控制汽車(chē)。

　　劉健皓把漏洞比喻為銀行的后門(mén)。大門(mén)處有重兵把手，但后門(mén)可能就是防護(hù)真空。有心人士能通過(guò)后門(mén)大搖大擺進(jìn)來(lái)“搞事情”。而且，很可能銀行自己都不知道有這個(gè)后門(mén)。

　　車(chē)聯(lián)網(wǎng)及自動(dòng)駕駛軟件，實(shí)現(xiàn)了車(chē)—車(chē)之間、車(chē)—人之間、車(chē)—路之間的高效互聯(lián)互通與信息共享，并為車(chē)聯(lián)網(wǎng)智能決策和優(yōu)化提供了基礎(chǔ)支撐，但它也讓聯(lián)網(wǎng)車(chē)在信息安全、功能安全及隱私保護(hù)等方面，面臨著前所未有的嚴(yán)峻挑戰(zhàn)。閆懷志說(shuō)，黑客可以利用車(chē)載終端系統(tǒng)、車(chē)聯(lián)網(wǎng)云平臺(tái)、移動(dòng)APP、OBD(車(chē)載診斷系統(tǒng))等系統(tǒng)的漏洞對(duì)車(chē)輛實(shí)施攻擊，實(shí)現(xiàn)對(duì)智能車(chē)輛的操作控制。不安全的代碼也可能在無(wú)攻擊的情況下“自行”失效，導(dǎo)致車(chē)輛行為失控。

　　“有通信、接口的地方就容易遭到攻擊。”劉健晧說(shuō)，黑客攻擊車(chē)輛可以分為物理接觸、近場(chǎng)控制、遠(yuǎn)程控制3種。在智能網(wǎng)聯(lián)時(shí)代，黑客能“順著網(wǎng)線(xiàn)”悄無(wú)聲息地進(jìn)入你的車(chē)。

　　在測(cè)試聯(lián)網(wǎng)汽車(chē)時(shí)，劉健皓團(tuán)隊(duì)也發(fā)現(xiàn)，車(chē)載娛樂(lè)系統(tǒng)易成為被侵入的對(duì)象。如今，汽車(chē)的中控系統(tǒng)做得越發(fā)酷炫，為了給用戶(hù)更為高科技的人機(jī)交互體驗(yàn)，一些實(shí)體控制按鈕被集成到了車(chē)載娛樂(lè)系統(tǒng)當(dāng)中，該系統(tǒng)通常也要為用戶(hù)提供互聯(lián)網(wǎng)內(nèi)容。于是，黑客就能通過(guò)車(chē)載娛樂(lè)系統(tǒng)的漏洞一舉控制車(chē)輛的儀表盤(pán)甚至制動(dòng)系統(tǒng)。

　　從已有的案例來(lái)看，最夸張的情況是，黑客能控制車(chē)輛動(dòng)力和轉(zhuǎn)向系統(tǒng)。比如遠(yuǎn)程啟動(dòng)一下發(fā)動(dòng)機(jī)，比如讓你的方向盤(pán)有“自己的想法”。而且，如果黑客破解了某車(chē)廠的后臺(tái)，他就能用同樣的方法橫向批量影響到所有該品牌的汽車(chē)。

　　所以，如果有汽車(chē)在道路上集體“抽風(fēng)”，也不是不可能。

　　打一場(chǎng)動(dòng)態(tài)信息安全攻防戰(zhàn)

　　當(dāng)然，如果真“集體抽風(fēng)”就成了公共安全事件，一切都要防患于未然。聯(lián)網(wǎng)車(chē)并不只是黑客的獵物，實(shí)際上，車(chē)廠也會(huì)采取種種措施升級(jí)自己的防護(hù)機(jī)制。與入侵者斗智斗勇，本身就是一個(gè)你來(lái)我往、你攻我擋的動(dòng)態(tài)平衡過(guò)程。

　　“安全防護(hù)不只是防護(hù)某個(gè)‘點(diǎn)’，一定要做到全面。”劉健皓說(shuō)。所謂的全面，指的是在云(云服務(wù))、管(通信)、端(車(chē)載終端)、控(控制系統(tǒng))上全面保駕護(hù)航。

　　閆懷志表示，代碼錯(cuò)誤的避免和糾正，需要標(biāo)本兼治，且應(yīng)以治本為主，治標(biāo)為輔。“標(biāo)”是采用各種漏洞挖掘、分析、測(cè)試及修復(fù)手段來(lái)避免或減緩其安全威脅;“本”上還是應(yīng)該嚴(yán)格遵循軟件安全工程規(guī)范，從源頭上解決問(wèn)題。尤其是對(duì)于車(chē)聯(lián)網(wǎng)和自動(dòng)駕駛這種工業(yè)軟件來(lái)說(shuō)，要特別重視功能安全與信息安全二者的結(jié)合，從其全生命周期統(tǒng)一考慮各種安全因素。“具體來(lái)說(shuō)，是識(shí)別工業(yè)應(yīng)用軟件的危險(xiǎn)，定義其安全需求，然后進(jìn)行安全設(shè)計(jì)、安全編碼及安全測(cè)試，進(jìn)行有效的缺陷管理，即實(shí)施基于功能安全與信息安全融合的工業(yè)應(yīng)用軟件安全工程方法。”

　　閆懷志介紹，在進(jìn)行具體安全設(shè)計(jì)和代碼編寫(xiě)時(shí)，可參考多種安全編碼標(biāo)準(zhǔn)和指南。比如，汽車(chē)行業(yè)可以參考汽車(chē)電子功能安全標(biāo)準(zhǔn)(ISO 26262)，還可以參考國(guó)際著名的MISRA(汽車(chē)工業(yè)軟件可靠性聯(lián)合會(huì))的工業(yè)C編程規(guī)范。“該規(guī)范為汽車(chē)嵌入式系統(tǒng)編碼提供了有關(guān)安全可靠性的最佳實(shí)踐。”閆懷志說(shuō)。

　　王云透露，國(guó)際組織(ISO/SAE)正進(jìn)行21434(道路車(chē)輛—信息安全工程)標(biāo)準(zhǔn)的制定。該標(biāo)準(zhǔn)主要從風(fēng)險(xiǎn)評(píng)估管理、產(chǎn)品開(kāi)發(fā)、運(yùn)行/維護(hù)、流程審核等4個(gè)方面來(lái)保障汽車(chē)信息安全工程工作的開(kāi)展。

　　在具體實(shí)踐上，360智能網(wǎng)聯(lián)車(chē)安全實(shí)驗(yàn)室給車(chē)企的建議是——“逆向思維”。在車(chē)輛正式推出之前，他們會(huì)對(duì)合作車(chē)企車(chē)輛進(jìn)行測(cè)試，模擬黑客對(duì)車(chē)輛進(jìn)行攻擊;發(fā)現(xiàn)漏洞后，讓車(chē)企對(duì)薄弱環(huán)節(jié)進(jìn)行修正。車(chē)輛上市后，團(tuán)隊(duì)會(huì)為車(chē)輛做全生命周期的安全管理，監(jiān)控和防護(hù)其可能遭到的攻擊。

　　“沒(méi)有一個(gè)安全公司能夠保證車(chē)輛百分之百安全，跟黑客對(duì)抗的過(guò)程是動(dòng)態(tài)防護(hù)的過(guò)程：發(fā)現(xiàn)攻擊、阻斷攻擊、下發(fā)更新策略……”劉健皓強(qiáng)調(diào)，“我們希望為每個(gè)車(chē)廠建立一套安全的運(yùn)營(yíng)體系，實(shí)現(xiàn)自主品牌車(chē)輛的安全運(yùn)營(yíng)。”