一系列备受瞩目的黑客活动已经致使许多人对现有汽车同网络对接的作法感到怀疑。风险真实存在，但目前业界的反应却是空谈多于行动。

对于大多数网络攻击而言，由其带来的风险往往体现为数据丢失。这当然不是什么令人开心的事，但相较于智能联网车辆遭受入侵所引发的严重伤害甚至死亡，之前的那些损失似乎很是微不足道。

互联网接入功能在如今的车辆上愈发普遍，同时亦引发了关于其潜在安全风险的激烈讨论。2015年夏季，黑客们成功致使一辆时速达70英里的JEEP吉普车熄火，舆论可谓是一片沸腾——在此之后，人们又发现某款设备能够破解通用汽车的OnStar服务。而最近，日产Leaf车型亦曝出安全漏洞，其中的API安全水平极为低下。

诚然，所有联网设备都面临着受到攻击的风险，但汽车与用户之间的交互作用以及影响程度远远高于所谓联网灯泡。

那么智能联网车辆带来的风险已经毋庸置疑。不过这种风险究竟有多大？我们又该如何加以应对？

威胁所在

智能联网车辆这一词汇指的是任何能够访问互联网的汽车；这类车辆通常包含有一套无线LAN连接。某些车型还为乘客提供车内Wi-Fi，但其连接通常用于强化车辆自身的信息与娱乐系统——汽车行业将二者合并为“infotainment”一词。

很多车辆还会收集与自身相关的特定数据——GPS坐标、速度以及其它关键信息。这些数据可用于帮助检测冲撞前的行驶速度等指标，但却很快在汽车行业当中引发了广泛争议——因为收集到的数据实在太过庞大。事实上，汽车供应链中的几乎全部成员都能够通过访问获取收益。

VDC研究公司物联网与嵌入式技术主管Steve Hoffenberg表示，针对联网车辆的威胁主要可划分为两大类：安全与数据隐私。正如吉普车辆被黑案例让你示，目前的安全重点在于黑客能够远程访问车辆并导致意外事故。不过从数据的角度看，隐私与财务风险亦值得我们关注。

SANS新兴安全趋势主管John Pescatore表示：“对于联网车辆，攻击者能够侵入任何车辆或者制造商系统，从而获取个人身份信息以实现身份伪造或者直接获取与车辆订阅服务相关的财务信息。”

目前联网汽车面临的最大问题在于，道路上的汽车数量多到令人震惊。当然，其中只有一小部分具备智能联网的特性，但这一比例会随着时间推移而逐步提升。正如Hoffenberg所指出，大部分会给人身安全造成威胁的产品都属于工业或者商用设备，但这类产品在数量上要远低于联网车辆。

另一个重要问题在于，汽车行业中的供应链可谓相当复杂。Hoffenberg解释称，这套分层系统导致负责提供电子子系统的厂商很难理解自己的产品会如何同车辆中的其它系统进行交互，汽车制造商本身也无法了解并测试这些交互机制。

接下来该怎么办？

那么有多少车辆会受到影响？就目前来看，立足于JEEP吉普入侵测试的例子，答案是几乎没有。

“其中部分原因在于对车辆的入侵难度很高，其通常要求攻击者投入大量时间（数月甚至数年）以检验特定车辆的攻击可行性，”Hoffenberg指出。“以经济利益回报为目的的黑客在此类活动中很难找到参与的理由，不过恐怖分子或者对社会不满者则有可能选择这条道路，且其中一部分终将获得成功。”

因此虽然目前还没有面向公众的联网车辆攻击活动出现，但我们可以确定这类状况早晚会发生。那么，我们该采取哪些措施加以应对？

Pescatore指出，以SWRI的嵌入式安全汽车协会、SAE车辆电气系统安全委员会、美国汽车研究委员会（简称USCAR）的网络/物理系统特遣队以及汽车行业信息共享与分析能力（简称ISAC）等组织为代表的新兴行业机构正不断出现。然而，他同时强调称，“目前的空谈仍远多于实际行动。”

福特公司的一位发言人罗列了该公司发布的关于联网车辆的注意事项，其中包括信息娱乐系统与车辆控制系统网络相隔离、采用密码机制防止对调制解调器软件的更新或者隐私数据访问，要求软件更新以“登录码”方式进行并由福特为未来的系统更新加以认证等一系列手段。

《汽车黑客手册》作者兼OpenGarages创始人Craig Smith认为，联网汽车行业必须解决的首要问题在于以便捷方式对系统进行实时更新。

“这种能够对问题加以定期修复的能力将成为维护物联网系统长久安全的必要前提，”Smith指出。

尽管如此，即使此类系统已经正式上线，我们仍然面临着其它可能影响到联网汽车安全水平的风险因素。IP Architects总裁John Pironti强调称，以安全方式构建此类系统的能力一直存在于军方车型当中，但其高昂的实现成本导致汽车制造商无法将这种能力推向民用。

“我们很清楚如何在芯片与软件层面建立安全性强大的硬件与软件组合，但这会给实际产品及开发工作带来沉重的成本负担，”Pironti表示。“这部分成本的存在导致很多制造商不愿在安全方面做出努力。因此，除非受到政策的强制要求，否则他们绝不可能自发提升安全水平。他们当然会宣称自己已经尽了最大努力，但也将因此面临可观的潜在风险。”

E安全/文 转载请注明E安全

E安全——全球网络安全新传媒