■

汽车的信息系统安全直接影响到使用者的人身财产安全和公共安全，已经成为制约移动互联网汽车产业发展的关键问题。

近年来，随着电子控制技术的发展和物联网的兴起，现代汽车中使用了大量电子控制设备，并通过无线通信网络连接到互联网，成为互联网上的终端设备。智能网联汽车中大量应用智能硬件、人工智能、无线网络、云计算等互联网领域的技术，提升了汽车的舒适性和自动化水平。然而，移动互联网汽车在为外部网络访问提供更多应用软件和远程信息处理接口时，信息安全风险迅速升高，数据传输被截获、加密数据遭破解、远程控制失灵等都可能会让汽车联网变得不安全。从2010年至今，已经发生了多起汽车信息安全漏洞事件，受到人们越来越多的关注。汽车的信息系统安全直接影响到使用者的人身财产安全和公共安全，已经成为制约移动互联网汽车产业发展的关键问题。

互联网汽车的攻击方式多种多样，主要可分为车内攻击和远程攻击。车内攻击主要通过直接接触汽车内部硬件设备，从硬件上进行攻击。远程攻击则无须接触汽车设备，通过无线网络进入车辆控制系统或者破坏无线通信系统。

●车内攻击

车内攻击主要通过对汽车总线的攻击来进行。现代车辆中使用了大量嵌入式设备和电子控制单元（ECU），不同的电子设备之间使用总线协议进行通信，以此控制车辆的行为并监测车辆的状态。由于汽车总线设计之初是在封闭网络环境中使用，并没有考虑安全问题，所以很容易被破解。只要将特制的硬件工具接到总线接口，就可以窃听总线数据、伪造协议，实施重放攻击和拒绝服务攻击。

车载诊断接口（OBD）原本是汽车机修师用来连接汽车诊断仪的接口，许多厂商为了给用户创造更好的体验，给予OBD过多权限，例如可以接收Wi-Fi信号等，目前是最容易受到攻击的位置。奇虎360公司的安全团队曾经开发了一个汽车安全总线测试平台“CAN-Pick”，能够向总线中写入数据，能够模拟控制车门、车灯、引擎等设备。除此之外，一旦直接接触到汽车控制系统的硬件，就完全可以通过逆向工程提取固件重新编程或者获取存储器中的数据。对于目前推广的新能源汽车，由于电池管理系统与充电桩存在交互，也存在被攻击的风险。

●远程攻击

随着汽车与外部设备的连接越来越多，暴露的攻击面也越来越大，不论是Wi-Fi网络还是短距离无线通信系统都特别容易受到攻击。人们可以利用智能手机、智能可穿戴设备等，通过物联网与汽车进行连接，这时经由外部网络，攻击者就可以对汽车发起攻击，对汽车进行控制。2015年，美国安全专家克里斯·瓦拉塞克（Chris Valasek）和查利·米勒（Charlie Miller）就通过车载联网娱乐系统侵入汽车电子系统，远程控制了数十千米外一辆正在行驶的克莱斯勒公司的Jeep自由光汽车，漏洞曝光后克莱斯勒公司紧急召回了140万辆可能受影响的汽车。

汽车上各电子设备之间为了通信的便捷，较多地使用了短距离无线通信系统。由于汽车电子设备大多是功能单一的小型设备，硬件性能有限，无法通过高级加密来保护通信的安全和数据的有效性，因此成为易于攻击的目标。汽车无线钥匙系统、胎压监测系统都可能面临通信信息被窃听、恶意中断等威胁。

1982年，雷诺公司首次将射频识别（RFID）技术应用到汽车无线钥匙系统中，此后该技术被广泛应用。遥控钥匙向车辆发送RFID信号，汽车防盗器接收到正确解锁码后开启车门，发动车辆。在使用者用遥控钥匙开锁时，如果使用HackRF、USBP等软件无线电（SDR）设备将遥控钥匙发出的请求信号录制下来，使用频谱分析软件进行解析，就可以对信号进行破解或者简单地进行重放，实现对车辆的控制。2017年，荷兰电子设计专家汤姆·温曼霍夫（Tom Wimmenhove）使用这种方法破解了多款斯巴鲁汽车的钥匙系统，引发了人们的关注。

汽车轮胎压力对于行车安全有至关重要的作用，胎压过高或过低都会对行车安全造成危害。为了对胎压进行监测，许多汽车安装了胎压监测系统。胎压监测系统需要在车胎内安装一个能够发射信号的传感器，它可以将胎压读数、车轮转速和温度等数据发送到汽车的接收机上，以便司机能够及时掌握胎压的状态。传感器和接收机大多采用射频的方式进行通信，由于缺乏保护措施，信号很容易被捕获并解码。传感器发送的数据包中含有一个系统唯一的ID，通过它就可以对车辆进行跟踪或者触发事件。例如，在停车场出入口布设接收器确定进出停车场的车辆；恐怖分子在路边放置爆炸物，当接收到某个传感器ID时将爆炸物引爆。

随着技术的发展，未来汽车的智能化控制程度会越来越高。然而，越是现代、先进的事物越容易走向反面，智能化让汽车足够强大的同时也让它变得愈发脆弱。中国智能网联汽车产业创新联盟发布的《智能网联汽车信息安全白皮书2016》指出，当前智能网联汽车主要面临来自4个层面的12大安全威胁，向行业强调了智能网联汽车信息安全的重要性。汽车信息安全问题近两年来才逐渐受到关注，目前行业内对此问题缺乏系统的认知，安全防护能力不足，形势严峻。汽车信息安全涉及的层面非常多，传统汽车厂商对互联网病毒、恶意软件和黑客攻击手段缺乏了解，而互联网信息安全研究机构对汽车行业则一无所知。面对智能网联汽车面临的新问题，必须加强互联网行业和传统汽车厂商的交流合作，通盘考虑汽车信息安全问题，研究关键安全防护技术，才能保证行业健康发展。