本文目录一览：

• 1、一个漏洞就能让数百万辆车被黑客操控，智能汽车的安全谁来保障？
• 2、智能网联汽车新兴攻击方式有哪些？分别有哪些特点？
• 3、特斯拉推出双重验证功能以防止黑客攻击 汽车网络安全成重点
• 4、智能车时代，黑客是否能通过网络入侵并控制智能化的汽车？
• 5、网联汽车的信息交互系统面临着哪些安全威胁？

一个漏洞就能让数百万辆车被黑客操控，智能汽车的安全谁来保障？

文/Hanmeimei

在全民抗“疫”的这段特殊时期，相信许多人和我一样，每天都在关注着和疫情有关的一切信息。值得注意的是，奋战在抗“疫”前线的除了那些“逆行者”，还有一支由无人驾驶技术所赋能的重要力量，就是那些承担配送、消毒等任务的无人送餐车、无人配送车、无人消毒车。

无人车在抗“疫情”前线大显身手，预示着智能网联汽车产业的发展前景无限。而就在2月24日，发改委、工信部等11部委联合印发的《智能汽车创新发展战略》正式发布，明确指出“智能汽车已成为汽车强国战略选择”。作为汽车产业的新风口，智能汽车再次引发了关注热潮。

权威分析机构IHS Research预测，全球无人驾驶量产汽车将在2025年上市，销量将达到23万辆。而根据麦肯锡的预测，到2025年无人驾驶汽车将产生2000亿到1.9万亿美元的产值。面对一个万亿级规模的市场，大家都在摩拳擦掌，希望能抢占先机，但是要想在这片充满潜力的蓝海中徜徉，我们还必须跨过汽车信息安全这道门槛。

黑客入侵汽车，后果堪比911

技术的发展永远是把双刃剑，网络让汽车变得更加智慧、高效，也同时让我们的生活暴露在更多风险之下。美国前国家安全局局长、首任网络司令部司令基思·亚历山大曾说过，“世界上只有两种网络，一种是已经被攻破的网络，一种是还不知道自己被攻破的网络。”

美国非营利组织Consumer Watchdog在2019年发布了一份名为《杀戮开关KILL SWITCH》的研究报告，报告显示2020年几乎所有车辆都具备了联网功能，意味着它们更容易受到黑客攻击，当数百万辆汽车用着同一个应用，黑客攻击一个漏洞就能同时影响数百万辆汽车。

报告还给出了一个让人毛骨悚然的推论，未来在高峰时间一旦黑客发起大规模攻击将导致911级别的灾难，造成三千人死亡，换句话说《速度与激情8》中遥控汽车跳楼的场面离我们并不遥远。

在现实生活中，黑客入侵汽车的事件也频频发生。2014年黑客利用宝马ConnectedDrive数字服务系统漏洞可远程打开车门，约220万辆车型受到影响；2015年黑客远程入侵一辆正在行驶的切诺基并做出减速、制动等操控，最终造成全球140万辆车被召回；2016年黑客通过日产聆风APP的漏洞轻易获取到了司机驾驶记录并将汽车电量耗尽，日产随即禁用该APP。

Upstream Security发布的《2020年汽车网络安全报告》显示，自2016年以来汽车网络安全事件数量增加了605％，仅在2019年就增加了一倍以上。在正义与邪恶的较量之间，我们不能寄希望于黑客的良知，而是必须主动出击。

汽车安全漏洞不仅关乎汽车企业的品牌形象，也关系到用户的人身和财产安全，更会给整个社会公共安全管理带来挑战。这也是为什么在《战略》中明确指出了要“构建全面高效的智能汽车网络安全体系。”网络安全是所有0前面的1，有了它智能汽车产业才能蓬勃发展。

车企携手安全专家共筑“防火墙”

令人欣慰的是，近年来面对日益加剧的汽车网络安全风险，汽车制造商的安全意识明显提升，同时他们也意识到要构筑坚实的安全“防火墙”，仅靠自己的力量还不够，必须与安全领域的专业人士合作。

奔驰研究团队与360Sky-Go团队达成合作

特斯拉早在2013年就设立了“安全研究员名人堂”，鼓励白帽黑客们一起来“查漏补缺”；2016年通用汽车与著名的白帽黑客平台HackerOne合作推出了“漏洞悬赏计划”；2019年12月，奔驰宣布与国内网络安全领军企业360达成合作，双方携手修复了19个奔驰智能网联汽车有关的潜在漏洞，并向漏洞发现团队360Sky-Go颁发卓越奖。

在刚刚落幕的全球顶级网络安全盛会RSAC 2020上，通用与奔驰两家传统车企的代表也参加了会议，这也是RSAC历史上首次有两家顶级车企现身，足以看出车企对网络安全的重视程度。

在通用汽车公司董事长兼CEO玛丽·巴拉发表的题为《运输的未来取决于强大的网络安全》的演讲中，着重强调了网络安全的重要性，“企业必须确保每辆车都能安全可靠的运行，否则任何一家企业的一次事故，都将严重打击消费者对智能汽车的信心，甚至让整个行业发展滞后。”所以合作至关重要，玛丽也呼吁在整个行业范围内进行网络安全协作与解决方案共享。

而奔驰则与合作伙伴360共同进行了一场主题演讲，发布了此前针对奔驰车辆安全的研究成果，同时就智能汽车所带来的安全风险与隐患进行探讨。奔驰研发中心产品安全负责人盖·哈帕克指出，通过他们的研究剖析发现，如今黑客对攻击技术手段的钻研程度越发深入，智能网联汽车越来越多的引入新的软硬件模块做支撑，而这些模块的集成应用暴露出潜在的攻击面，引入了新的安全风险。

所谓“道高一尺、魔高一丈”，要应对这些新风险，就需要更全面的信息安全专业知识和解决方案，360 Sky-Go安全研究员陈元恺在会上提出的解决方案，就是360汽车安全大脑。

汽车安全大脑由车载端和云端构成端到端防御体系，通过部署在车端的软硬件安全产品，将安全相关的数据收集到云端平台，感知汽车网络安全风险。云端通过安全大脑提供的分析引擎、知识库和专业的分析人员，对车端的数据进行自动化分析、溯源，发现并处理攻击事件，从而消除攻击带来的影响，免疫同类攻击再次发生。

对360来说，合作的车企越多，获得的案例和数据就越丰富，汽车安全大脑也就能够被训练得更加智能高效。截至目前，360已与国内70%的主流汽车厂商合作，有超过30万辆路面上行驶的汽车接入了360汽车安全大脑，获得实时防护。

迈过安全这道门槛，智能汽车才能真正起飞

5G的商用推进给全球智能化产业发展按下了加速键，尤其是对于智能汽车行业来说更是如此，汽车企业、零部件巨头和科技公司们都在摩拳擦掌积极布局，希望搭上这趟快车道，抢占万亿级市场的先机。

而在智能汽车行业真正腾飞之前，必须系上这根“安全带”，因为安全永远应该跑在速度前面。从RSAC 2020上释放的信息来看，如今车企与互联网安全企业的合作已经成为主流趋势，有360这样专业的安全企业保驾护航，风口上的智能汽车行业才能飞得更高、更远也更稳。

本文来源于汽车之家车家号作者，不代表汽车之家的观点立场。

智能网联汽车新兴攻击方式有哪些？分别有哪些特点？

一、基于车辆通信模块信息泄露的远程控制劫持攻击

安全研究人员发现，国内自主品牌汽车大多使用专用apn，通过车内通信模块中的T-box连接与车辆控制相关的TSP后端服务器。通过ISP拉出一条专线，可以在一定程度上保护后端服务器的安全，但也会给后端服务器带来更多的安全隐患。由于专网apn的存在，Tsp不会暴露在公网，导致Tsp安全人员忽略了专网和Tsp本身的安全问题。专网内部没有严格的安全访问控制，T-box过于可信，允许T-box随意访问专网内部资产。同时，许多不必要的基础设施服务也暴露在APN专网中，这将导致更多的安全风险。

二、基于生成对抗网络的自动驾驶算法攻击

这种攻击是由于在深度学习模型的训练过程中缺乏特殊的训练数据，如对策样本。因此，一种常用的防御方法是增强神经网络本身的鲁棒性，将对抗样本放入训练数据中，重新训练网络，同时在使用过程中标记未识别的样本，并使用这些数据不断训练网络，以不断提高输入数据的识别精度。但是，无论在训练过程中加入多少对抗性样本，仍然有新的对抗性攻击样本可以再次欺骗网络。

三、基于V2V通信协议的伪造数字签名攻击

车对车(V2V)通信，即车辆之间的直接对话，以协调其运动并防止碰撞，有望在不久的将来成为智能互联交通基础设施的重要组成部分。V2V通信不需要视线，这使得V2V成为激光雷达或摄像头等传感器技术的补充。然而，在重大安全问题得到解决之前，V2V技术不能被视为足够安全。例如，如果从另一辆车接收的信息预测即将发生的碰撞，驾驶员需要迅速做出反应。因此，对传入消息进行身份验证非常重要；否则，可能会根据伪造的信息采取果断行动(如转弯)，导致碰撞、车道偏离或其他不安全的结果。对于这种攻击，区块链技术可以更有效地保证车辆身份认证的安全性。

特斯拉推出双重验证功能以防止黑客攻击 汽车网络安全成重点

车家号的网友，大家好！今天选车网为您带来特斯拉双重验证功能的最新消息，请点击关注选车网，第一时间了解最新的汽车资讯。

日前，选车君从相关渠道获悉，特斯拉推出了基于令牌功能的两重验证功能，该功能能够有效地降低用户车辆被黑客攻击的可能性，并且在很大程度上提升了车辆的安全性能。

目前网联汽车已经成为汽车市场中的主流，但是随着汽车网联应用率的逐渐提升，车辆遭受黑客攻击的概率也逐渐增大。此前就曾有Jeep自由光等车型受到黑客攻击的案例，对用户的用车体验造成了巨大的影响。而特斯拉作为一个对车辆智能网联倚重程度较高的车企，同样难逃黑客攻击的噩梦。

为了尽量避免此类情况的发生，并且提高用车的网络安全，特斯拉的用户可以通过 Tesla 账户使用第三方身份验证来激活该功能。该功能激活之后，将有效降低遭受黑客攻击的可能性，也能让用户在日常的用车过程中更加安心。

选车君观点：以往汽车在行驶中的主动和被动安全是大家关注的重点，但是随着智能网联的不断普及，汽车的网络安全也逐渐成为消费者在日常用车过程中有所顾虑的主要因素。特斯拉此举将有效提升车辆的使用安全，不过汽车的网络安全将成为未来汽车行业发展的一大难题。

本文来源于汽车之家车家号作者，不代表汽车之家的观点立场。

智能车时代，黑客是否能通过网络入侵并控制智能化的汽车？

相信很多车主都有一个这样的疑问：如果有一天，恶意的黑客恶意的入侵了汽车系统，让汽车失去控制怎么办？车联网的智能车是否足够安全呢?

很多人不知道车联网带来的便利，与之形成鲜明对比的是，更多的人对车联网所遭遇的安全问题一无所知。

6月21日，工信部发布《关于车联网网络安全标准体系建设的指导意见》，向社会公开征求意见。该文件包括了车联网网络安全标准体系的框架、重点标准化领域和方向。

工信部为何继续关注车联网？车联网的未来是怎样的？车联网的概念可以追溯到20年前。早在1996年，通用汽车公司(General Motors)就率先推出了搭载OnStar系统的联网汽车。车联网顾名思义，就是将智能汽车、行人、智能道路、指标连接在一起，实现智能出行的目的。

《证券日报》做过相关统计，在2019年，黑客通过入侵共享汽车的APP、改写程序和数据的方式，成功盗走的车辆多达100多辆，其中包括奔驰CLA、CLA小型SUV、Smartfortwo微型车等。在过去的5年里，针对智能汽车的攻击次数呈指数级增长，高达20倍，其中27.6%的攻击与车辆控制有关，这是一个重大的安全问题。

Upstream Security发布了2021年《汽车网络安全报告》，该报告衡量了2016年至2021年9月期间汽车网络安全事故的数量。报告发现，事故数量增加了6倍多。黑客给无数汽车网络行业带来损失，但在智能化的大趋势下，汽车不会因为黑客的存在和网络发展的停滞，本质、启明星、深信、绿色unita、arnhem、天信信息互联网络安全公司也参与了汽车产业链、产业安全防御体系的布局。

总的来说，黑客是可以通过网络入侵车联网的，但受于国家政策法规的限制，即使智能车存在漏洞黑客也不敢随意加以利用，目前智能车的安全性需要智能车相关领域的大多数汽车企业和供应商的关注和共同探索，使得智能车给我们生活带来的便利的同时不会受到黑客攻击的影响。

网联汽车的信息交互系统面临着哪些安全威胁？

随着时代的发展，网联汽车的通信、娱乐功能越来越丰富，而背后的信息交互系统所面临的安全威胁也越来越严重。我认为网联汽车的信息交互系统面临的安全威胁主要有以下四个方面

1.硬件安全威胁

汽车零件制造商在制作T-Box和IVI时，为了调试方便，会在设备PCB上保留一些调试口，如JTAG，调试口信息并没有进行安全加密，通过这些接口，可登录到系统内部，甚至获取到root权限，这就导致系统内的用户数据信息面临着被泄漏的风险，更严重的是通过篡改系统内部文件实现对车辆动力系统的控制；且部分零部件生产厂商在系统芯片上保留了芯片型号丝印，攻击者可通过芯片型号，轻松查询到该芯片各个引脚的定义，然后通过设备直接提取芯片固件或读取芯片信息，获取芯片内的信息。

2.通信协议安全威胁

通信协议包括对外通信协议和内部通信协议，对外通信协议包括公有远程通信协议（例如HTTP、FTP等）、私有远程通信协议、蓝牙通信协议和Wi-Fi通信协议等，内部通信协议主要指CAN总线协议和以太网协议。无论是对外通信协议还是内部通信协议，均面临着被攻击的安全威胁。

对外通信协议可能受到中间人攻击威胁、洪泛攻击等。所谓中间人攻击就是在通信双方无法察觉的情况下，攻击者将一台设备放置在通讯车辆与服务平台之间，对正常通讯信息进行监听或篡改。

车内通信如CAN总线协议可能面临洪泛攻击、重放攻击等。洪泛攻击是拒绝服务攻击的一种[6]。由于车辆CAN总线采取的是基于优先级的串行通信机制，在两个节点同时发送信息时，会发生总线访问冲突，根据逐位仲裁原则，借助帧开始部分的标识符，优先级低的节点主动停止发送数据，而优先级高的节点继续发送信息。因此攻击者可通过OBD等总线接口向CAN总线发送大量的优先级较高的报文或者发送大量的ping包，导致系统忙于处理攻击者所发送的报文，而无法对正常请求报文进行处理，导致车辆正常报文信息无法被识别从而造成危害。

3.操作系统安全威胁

网联汽车操作系统以嵌入式Linux、QNX、Android操作系统为主，但是这些操作系统所使用的代码十分复杂，不可避免的会产生安全漏洞，因此操作系统具有安全脆弱性，从而导致网联汽车系统面临着被恶意入侵、控制的风险。

操作系统除了面对自身漏洞的威胁，还面临着系统提权、操作系统升级文件篡改等威胁。部分汽车操作系统保留了管理员权限，攻击者可以通过命令获取到管理员权限，从而对系统内的文件进行查看或修改。另外目前车辆几乎均采用远程无线下载方式进行升级，这种升级方式增强自身安全防护能力，但是这种升级方式也面临着各种威胁，如：升级过程中，攻击者通过篡改操作系统文件和MD5文件从而使篡改后的升级包通过系统校验；传输过程中，攻击者劫持升级包，进行中间人攻击；生成过程中，若云端的服务器受到攻击，会使恶意软件随升级包的下载而传播。

4.应用软件安全威胁

据调查表明，车载信息交互系统自带的应用软件和市场上的网联汽车远程控制App普遍缺乏软件防护机制和安全保护机制。大部分车辆并未对未知应用软件的安装进行限制，甚至保留了浏览器的隐藏入口，这就导致黑客可以通过浏览器下载恶意软件，从而发起对车载信息交互系统的攻击。

而对于那些没有保护机制的远程控制App，攻击者可以通过逆向分析软件对这些App进行分析，可以查询到TSP的接口、参数信息。而那些采取了软件防护机制的远程控制App也存在防护强度不够的问题，具备一定黑客技术的攻击者还是可以分析出App中存储的密钥、接口等信息。