科技已滲透至生活的方方面面，而我們的汽車也不例外。它們已成為車輪上的電腦，配備傳感器、軟件和連接功能，提供安全與舒適，然而，與所有技術(shù)創(chuàng)新一樣，這一進步也帶來了風險，使汽車容易受到網(wǎng)絡(luò)攻擊。

　　單憑有人能夠黑進一輛汽車并控制它這一事實，就足以令人感到恐慌，將電影中的場景變成了現(xiàn)實。再加上汽車中的軟件會處理和存儲我們的個人信息這一事實，這種恐懼就愈發(fā)令人擔憂。

　　一旦發(fā)生安全漏洞事件，我們的駕駛數(shù)據(jù)、聯(lián)系人、通話記錄、信息和甚至位置信息等都有可能落入不法分子之手。制造商的責任日益重大，不僅在物理安全方面，而且在網(wǎng)絡(luò)安全方面也是如此，因為這兩個方面相輔相成。

　　所以如果有人認為黑進汽車并不現(xiàn)實，那他們可得三思了。2024年，由山姆·柯里領(lǐng)導(dǎo)的一組研究人員發(fā)現(xiàn)了起亞網(wǎng)站門戶中的一個漏洞，使他們能夠重新分配對2013年以后生產(chǎn)的任何起亞汽車的互聯(lián)網(wǎng)連接功能的控制權(quán)。同樣的研究人員還成功遠程劫持并追蹤了某些斯巴魯車型。

　　根據(jù)VicOne的報告，汽車行業(yè)因網(wǎng)絡(luò)攻擊損失了225億美元。其中包括200億美元的數(shù)據(jù)泄露損失、19億美元的系統(tǒng)停機損失和5.38億美元的勒索軟件損失。

　　汽車系統(tǒng)的網(wǎng)絡(luò)安全風險

　　汽車系統(tǒng)面臨著各種網(wǎng)絡(luò)安全威脅，包括遠程黑客攻擊、物理攻擊、軟件漏洞和惡意軟件。

　　遠程攻擊：如今的汽車為了方便和功能而配備了藍牙、Wi-Fi和蜂窩連接，但如果這些系統(tǒng)沒有得到妥善保護，黑客就能遠程訪問汽車的網(wǎng)絡(luò)。

　　物理訪問攻擊：汽車設(shè)有診斷端口(如OBD-II)，用于維護和故障排除，但如果攻擊者能夠物理接觸車輛，這些端口就會被利用。此外，如CAN總線(連接制動和發(fā)動機控制等關(guān)鍵系統(tǒng))等內(nèi)部車輛網(wǎng)絡(luò)容易受到篡改，這可能會使黑客操控車輛功能，如速度、制動，甚至禁用安全功能。

　　軟件漏洞：與任何軟件一樣，漏洞和弱點可能被利用，使攻擊者獲得未經(jīng)授權(quán)的控制權(quán)或竊取車輛中的敏感數(shù)據(jù)。

　　惡意軟件和勒索軟件：黑客可以通過遠程方式或受感染的USB驅(qū)動器將惡意軟件注入車輛系統(tǒng)。勒索軟件可以鎖定關(guān)鍵系統(tǒng)，使車輛無法操作，直到支付贖金。

　　汽車內(nèi)部網(wǎng)絡(luò)，如CAN和LIN，控制著從發(fā)動機到座椅調(diào)節(jié)等關(guān)鍵功能，但它們在設(shè)計時并未考慮安全性，因此容易受到黑客攻擊。

　　為保護這些系統(tǒng)，正在實施加密(確保數(shù)據(jù)安全)、身份驗證(驗證設(shè)備身份)和入侵檢測系統(tǒng)(IDS)(檢測可疑活動)等措施，以防止未經(jīng)授權(quán)的訪問和篡改。

　　未來的安全隱憂

　　自動駕駛汽車正在為交通行業(yè)帶來革命性變革，但僅僅因為我們無法控制車輛這一事實，聽起來雖然先進，卻也令人擔憂。

　　未來，我們可能會擁有具備L5級自動駕駛能力的無人出租車，車輛將能夠完全在沒有人類干預(yù)的情況下運行，這給所有人帶來了處理隨之而來的所有可能問題的巨大挑戰(zhàn)。在這些汽車上路之前，制造商和監(jiān)管機構(gòu)必須將網(wǎng)絡(luò)安全措施放在首要位置，以確保技術(shù)和乘客的安全。

　　這些措施必須應(yīng)對外部威脅(如遠程黑客攻擊)和內(nèi)部威脅(如車輛自身軟件或傳感器系統(tǒng)中的漏洞)。

　　自動駕駛車輛的安全需要確保人工智能算法、傳感器(激光雷達、雷達、攝像頭)和基于云的服務(wù)之間的通信安全。這些連接對于自動駕駛汽車的操作和與環(huán)境的交互至關(guān)重要。

　　車與萬物互聯(lián)(V2X)通信和空中下載(OTA)更新可能是制造商應(yīng)解決的主要薄弱環(huán)節(jié)。V2X涵蓋了車輛與其周圍環(huán)境之間的各種類型通信。其目標是提高道路安全、交通效率和自動駕駛能力，使汽車能夠與其他實體“對話”。

　　另一方面，OTA更新是制造商或服務(wù)提供商直接通過互聯(lián)網(wǎng)發(fā)送到車輛的無線軟件更新。無需將汽車開到經(jīng)銷商處進行軟件升級或錯誤修復(fù)，更新將通過互聯(lián)網(wǎng)發(fā)送，類似于智能手機接收更新的方式。

　　攔截V2X通信或OTA更新可能會導(dǎo)致比竊取數(shù)據(jù)更嚴重的后果，因為這些功能控制著車輛的關(guān)鍵功能。

　　美國政府還對自動駕駛汽車中使用中國和俄羅斯技術(shù)表示擔憂，提議禁止此類軟件和硬件，以減輕間諜活動和國家安全風險。這為汽車網(wǎng)絡(luò)安全增添了地緣政治層面。

　　監(jiān)管環(huán)境

　　問題可能在于各國采取的監(jiān)管方法各不相同，因此在為自動駕駛汽車建立網(wǎng)絡(luò)安全標準方面，全球合作至關(guān)重要。

　　在歐盟，2019/2144號《通用安全法規(guī)》規(guī)定了對新車輛的嚴格網(wǎng)絡(luò)安全要求，包括安全的軟件更新和基于風險的安全措施。

　　相比之下，美國依靠美國國家公路交通安全管理局(NHTSA)提出的自愿指導(dǎo)方針，該方針鼓勵采取主動安全措施，但不具有可執(zhí)行性。

　　全球標準組織，如國際標準化組織(ISO)和美國汽車工程師學會(SAE)，在塑造行業(yè)實踐方面發(fā)揮著關(guān)鍵作用，尤其是通過ISO/SAE 21434標準，該標準概述了整個車輛系統(tǒng)生命周期內(nèi)的安全框架。

　　駕駛時的網(wǎng)絡(luò)安全意識

　　并非所有危險都來自針對復(fù)雜系統(tǒng)的漏洞利用，有時危險就來自駕駛者本身。

　　例如，在社會工程學和網(wǎng)絡(luò)釣魚攻擊中，一個人可能會收到一封看似來自汽車制造商的電子郵件，警告其有一個關(guān)鍵的軟件更新。信任這則消息后，他們可能會點擊鏈接、按照指示操作，從而在不知不覺中為入侵打開了大門。

　　如今，汽車還配備了讓生活更便利的應(yīng)用程序，無論是用于導(dǎo)航還是流媒體音樂。但其中也存在潛在風險：許多應(yīng)用程序都連接到公共Wi-Fi網(wǎng)絡(luò)。如果應(yīng)用程序缺乏安全連接，可能會使您的數(shù)據(jù)，甚至您的汽車系統(tǒng)暴露于網(wǎng)絡(luò)攻擊之下。

　　汽車制造商和網(wǎng)絡(luò)安全專家必須優(yōu)先開展提高認識的工作，幫助消費者了解如何使用他們的數(shù)據(jù)以及如何進行自我保護。這包括解釋為何定期更新軟件、使用安全的Wi-Fi網(wǎng)絡(luò)以及確保車輛具備內(nèi)置安全功能至關(guān)重要。

　　駕駛員還應(yīng)了解潛在風險，如未受保護的藍牙連接、存儲車輛數(shù)據(jù)的云服務(wù)中的漏洞，以及為連接系統(tǒng)提供密碼保護的重要性。

　　在未來，隨著聯(lián)網(wǎng)車輛、自動駕駛系統(tǒng)和物聯(lián)網(wǎng)集成的興起，汽車行業(yè)必須繼續(xù)實施主動網(wǎng)絡(luò)安全策略，以應(yīng)對潛在威脅。