科技已滲透至生活的方方面面，而我們的汽車也不例外。它們已成為車輪上的電腦，配備傳感器、軟件和連接功能，提供安全與舒適，然而，與所有技術創新一樣，這一進步也帶來了風險，使汽車容易受到網絡攻擊。

　　單憑有人能夠黑進一輛汽車并控制它這一事實，就足以令人感到恐慌，將電影中的場景變成了現實。再加上汽車中的軟件會處理和存儲我們的個人信息這一事實，這種恐懼就愈發令人擔憂。

　　一旦發生安全漏洞事件，我們的駕駛數據、聯系人、通話記錄、信息和甚至位置信息等都有可能落入不法分子之手。制造商的責任日益重大，不僅在物理安全方面，而且在網絡安全方面也是如此，因為這兩個方面相輔相成。

　　所以如果有人認為黑進汽車并不現實，那他們可得三思了。2024年，由山姆·柯里領導的一組研究人員發現了起亞網站門戶中的一個漏洞，使他們能夠重新分配對2013年以后生產的任何起亞汽車的互聯網連接功能的控制權。同樣的研究人員還成功遠程劫持并追蹤了某些斯巴魯車型。

　　根據VicOne的報告，汽車行業因網絡攻擊損失了225億美元。其中包括200億美元的數據泄露損失、19億美元的系統停機損失和5.38億美元的勒索軟件損失。

　　汽車系統的網絡安全風險

　　汽車系統面臨著各種網絡安全威脅，包括遠程黑客攻擊、物理攻擊、軟件漏洞和惡意軟件。

　　遠程攻擊：如今的汽車為了方便和功能而配備了藍牙、Wi-Fi和蜂窩連接，但如果這些系統沒有得到妥善保護，黑客就能遠程訪問汽車的網絡。

　　物理訪問攻擊：汽車設有診斷端口(如OBD-II)，用于維護和故障排除，但如果攻擊者能夠物理接觸車輛，這些端口就會被利用。此外，如CAN總線(連接制動和發動機控制等關鍵系統)等內部車輛網絡容易受到篡改，這可能會使黑客操控車輛功能，如速度、制動，甚至禁用安全功能。

　　軟件漏洞：與任何軟件一樣，漏洞和弱點可能被利用，使攻擊者獲得未經授權的控制權或竊取車輛中的敏感數據。

　　惡意軟件和勒索軟件：黑客可以通過遠程方式或受感染的USB驅動器將惡意軟件注入車輛系統。勒索軟件可以鎖定關鍵系統，使車輛無法操作，直到支付贖金。

　　汽車內部網絡，如CAN和LIN，控制著從發動機到座椅調節等關鍵功能，但它們在設計時并未考慮安全性，因此容易受到黑客攻擊。

　　為保護這些系統，正在實施加密(確保數據安全)、身份驗證(驗證設備身份)和入侵檢測系統(IDS)(檢測可疑活動)等措施，以防止未經授權的訪問和篡改。

　　未來的安全隱憂

　　自動駕駛汽車正在為交通行業帶來革命性變革，但僅僅因為我們無法控制車輛這一事實，聽起來雖然先進，卻也令人擔憂。

　　未來，我們可能會擁有具備L5級自動駕駛能力的無人出租車，車輛將能夠完全在沒有人類干預的情況下運行，這給所有人帶來了處理隨之而來的所有可能問題的巨大挑戰。在這些汽車上路之前，制造商和監管機構必須將網絡安全措施放在首要位置，以確保技術和乘客的安全。

　　這些措施必須應對外部威脅(如遠程黑客攻擊)和內部威脅(如車輛自身軟件或傳感器系統中的漏洞)。

　　自動駕駛車輛的安全需要確保人工智能算法、傳感器(激光雷達、雷達、攝像頭)和基于云的服務之間的通信安全。這些連接對于自動駕駛汽車的操作和與環境的交互至關重要。

　　車與萬物互聯(V2X)通信和空中下載(OTA)更新可能是制造商應解決的主要薄弱環節。V2X涵蓋了車輛與其周圍環境之間的各種類型通信。其目標是提高道路安全、交通效率和自動駕駛能力，使汽車能夠與其他實體“對話”。

　　另一方面，OTA更新是制造商或服務提供商直接通過互聯網發送到車輛的無線軟件更新。無需將汽車開到經銷商處進行軟件升級或錯誤修復，更新將通過互聯網發送，類似于智能手機接收更新的方式。

　　攔截V2X通信或OTA更新可能會導致比竊取數據更嚴重的后果，因為這些功能控制著車輛的關鍵功能。

　　美國政府還對自動駕駛汽車中使用中國和俄羅斯技術表示擔憂，提議禁止此類軟件和硬件，以減輕間諜活動和國家安全風險。這為汽車網絡安全增添了地緣政治層面。

　　監管環境

　　問題可能在于各國采取的監管方法各不相同，因此在為自動駕駛汽車建立網絡安全標準方面，全球合作至關重要。

　　在歐盟，2019/2144號《通用安全法規》規定了對新車輛的嚴格網絡安全要求，包括安全的軟件更新和基于風險的安全措施。

　　相比之下，美國依靠美國國家公路交通安全管理局(NHTSA)提出的自愿指導方針，該方針鼓勵采取主動安全措施，但不具有可執行性。

　　全球標準組織，如國際標準化組織(ISO)和美國汽車工程師學會(SAE)，在塑造行業實踐方面發揮著關鍵作用，尤其是通過ISO/SAE 21434標準，該標準概述了整個車輛系統生命周期內的安全框架。

　　駕駛時的網絡安全意識

　　并非所有危險都來自針對復雜系統的漏洞利用，有時危險就來自駕駛者本身。

　　例如，在社會工程學和網絡釣魚攻擊中，一個人可能會收到一封看似來自汽車制造商的電子郵件，警告其有一個關鍵的軟件更新。信任這則消息后，他們可能會點擊鏈接、按照指示操作，從而在不知不覺中為入侵打開了大門。

　　如今，汽車還配備了讓生活更便利的應用程序，無論是用于導航還是流媒體音樂。但其中也存在潛在風險：許多應用程序都連接到公共Wi-Fi網絡。如果應用程序缺乏安全連接，可能會使您的數據，甚至您的汽車系統暴露于網絡攻擊之下。

　　汽車制造商和網絡安全專家必須優先開展提高認識的工作，幫助消費者了解如何使用他們的數據以及如何進行自我保護。這包括解釋為何定期更新軟件、使用安全的Wi-Fi網絡以及確保車輛具備內置安全功能至關重要。

　　駕駛員還應了解潛在風險，如未受保護的藍牙連接、存儲車輛數據的云服務中的漏洞，以及為連接系統提供密碼保護的重要性。

　　在未來，隨著聯網車輛、自動駕駛系統和物聯網集成的興起，汽車行業必須繼續實施主動網絡安全策略，以應對潛在威脅。