黑客能不能控制汽车_智能汽车防止黑客入侵 ***

文字日记:

• 1、智能车时代，黑客是否能通过 *** 入侵并控制智能化的汽车？
• 2、一个漏洞就能让数百万辆车被黑客操控，智能汽车的安全谁来保障？
• 3、无人汽车要是被坏人入侵系统，那行人和车主怎么保障安全？
• 4、360年度汽车安全报告：两种新型攻击模式引关注
• 5、为防止黑客入侵 特斯拉将推“双重认证”功能

智能车时代，黑客是否能通过 *** 入侵并控制智能化的汽车？

相信很多车主都有一个这样的疑问：如果有一天，恶意的黑客恶意的入侵了汽车系统，让汽车失去控制怎么办？车联网的智能车是否足够安全呢?

很多人不知道车联网带来的便利，与之形成鲜明对比的是，更多的人对车联网所遭遇的安全问题一无所知。

6月21日，工信部发布《关于车联网 *** 安全标准体系建设的指导意见》，向社会公开征求意见。该文件包括了车联网 *** 安全标准体系的框架、重点标准化领域和方向。

工信部为何继续关注车联网？车联网的未来是怎样的？车联网的概念可以追溯到20年前。早在1996年，通用汽车公司(General Motors)就率先推出了搭载OnStar系统的联网汽车。车联网顾名思义，就是将智能汽车、行人、智能道路、指标连接在一起，实现智能出行的目的。

《证券日报》做过相关统计，在2019年，黑客通过入侵共享汽车的APP、改写程序和数据的方式，成功盗走的车辆多达100多辆，其中包括奔驰CLA、CLA小型SUV、Smartfortwo微型车等。在过去的5年里，针对智能汽车的攻击次数呈指数级增长，高达20倍，其中27.6%的攻击与车辆控制有关，这是一个重大的安全问题。

Upstream Security发布了2021年《汽车 *** 安全报告》，该报告衡量了2016年至2021年9月期间汽车 *** 安全事故的数量。报告发现，事故数量增加了6倍多。黑客给无数汽车 *** 行业带来损失，但在智能化的大趋势下，汽车不会因为黑客的存在和 *** 发展的停滞，本质、启明星、深信、绿色unita、arnhem、天信信息互联 *** 安全公司也参与了汽车产业链、产业安全防御体系的布局。

总的来说，黑客是可以通过 *** 入侵车联网的，但受于国家政策法规的限制，即使智能车存在漏洞黑客也不敢随意加以利用，目前智能车的安全性需要智能车相关领域的大多数汽车企业和供应商的关注和共同探索，使得智能车给我们生活带来的便利的同时不会受到黑客攻击的影响。

一个漏洞就能让数百万辆车被黑客操控，智能汽车的安全谁来保障？

文/Hanmeimei

在全民抗“疫”的这段特殊时期，相信许多人和我一样，每天都在关注着和疫情有关的一切信息。值得注意的是，奋战在抗“疫”前线的除了那些“逆行者”，还有一支由无人驾驶技术所赋能的重要力量，就是那些承担配送、消毒等任务的无人送餐车、无人配送车、无人消毒车。

无人车在抗“疫情”前线大显身手，预示着智能网联汽车产业的发展前景无限。而就在2月24日，发改委、工信部等11部委联合印发的《智能汽车创新发展战略》正式发布，明确指出“智能汽车已成为汽车强国战略选择”。作为汽车产业的新风口，智能汽车再次引发了关注热潮。

权威分析机构IHS Research预测，全球无人驾驶量产汽车将在2025年上市，销量将达到23万辆。而根据麦肯锡的预测，到2025年无人驾驶汽车将产生2000亿到1.9万亿美元的产值。面对一个万亿级规模的市场，大家都在摩拳擦掌，希望能抢占先机，但是要想在这片充满潜力的蓝海中徜徉，我们还必须跨过汽车信息安全这道门槛。

黑客入侵汽车，后果堪比911

技术的发展永远是把双刃剑， *** 让汽车变得更加智慧、高效，也同时让我们的生活暴露在更多风险之下。美国前国家安全局局长、首任 *** 司令部司令基思·亚历山大曾说过，“世界上只有两种 *** ，一种是已经被攻破的 *** ，一种是还不知道自己被攻破的 *** 。”

美国非营利组织Consumer Watchdog在2019年发布了一份名为《杀戮开关KILL SWITCH》的研究报告，报告显示2020年几乎所有车辆都具备了联网功能，意味着它们更容易受到黑客攻击，当数百万辆汽车用着同一个应用，黑客攻击一个漏洞就能同时影响数百万辆汽车。

报告还给出了一个让人毛骨悚然的推论，未来在高峰时间一旦黑客发起大规模攻击将导致911级别的灾难，造成三千人死亡，换句话说《速度与 *** 8》中遥控汽车跳楼的场面离我们并不遥远。

在现实生活中，黑客入侵汽车的事件也频频发生。2014年黑客利用宝马ConnectedDrive数字服务系统漏洞可远程打开车门，约220万辆车型受到影响；2015年黑客远程入侵一辆正在行驶的切诺基并做出减速、制动等操控，最终造成全球140万辆车被召回；2016年黑客通过日产聆风APP的漏洞轻易获取到了司机驾驶记录并将汽车电量耗尽，日产随即禁用该APP。

Upstream Security发布的《2020年汽车 *** 安全报告》显示，自2016年以来汽车 *** 安全事件数量增加了605％，仅在2019年就增加了一倍以上。在正义与邪恶的较量之间，我们不能寄希望于黑客的良知，而是必须主动出击。

汽车安全漏洞不仅关乎汽车企业的品牌形象，也关系到用户的人身和财产安全，更会给整个社会公共安全管理带来挑战。这也是为什么在《战略》中明确指出了要“构建全面高效的智能汽车 *** 安全体系。” *** 安全是所有0前面的1，有了它智能汽车产业才能蓬勃发展。

车企携手安全专家共筑“防火墙”

令人欣慰的是，近年来面对日益加剧的汽车 *** 安全风险，汽车制造商的安全意识明显提升，同时他们也意识到要构筑坚实的安全“防火墙”，仅靠自己的力量还不够，必须与安全领域的专业人士合作。

奔驰研究团队与360Sky-Go团队达成合作

特斯拉早在2013年就设立了“安全研究员名人堂”，鼓励白帽黑客们一起来“查漏补缺”；2016年通用汽车与著名的白帽黑客平台HackerOne合作推出了“漏洞悬赏计划”；2019年12月，奔驰宣布与国内 *** 安全领军企业360达成合作，双方携手修复了19个奔驰智能网联汽车有关的潜在漏洞，并向漏洞发现团队360Sky-Go颁发卓越奖。

在刚刚落幕的全球顶级 *** 安全盛会RSAC 2020上，通用与奔驰两家传统车企的代表也参加了会议，这也是RSAC历史上首次有两家顶级车企现身，足以看出车企对 *** 安全的重视程度。

在通用汽车公司董事长兼CEO玛丽·巴拉发表的题为《运输的未来取决于强大的 *** 安全》的演讲中，着重强调了 *** 安全的重要性，“企业必须确保每辆车都能安全可靠的运行，否则任何一家企业的一次事故，都将严重打击消费者对智能汽车的信心，甚至让整个行业发展滞后。”所以合作至关重要，玛丽也呼吁在整个行业范围内进行 *** 安全协作与解决方案共享。

而奔驰则与合作伙伴360共同进行了一场主题演讲，发布了此前针对奔驰车辆安全的研究成果，同时就智能汽车所带来的安全风险与隐患进行探讨。奔驰研发中心产品安全负责人盖·哈帕克指出，通过他们的研究剖析发现，如今黑客对攻击技术手段的钻研程度越发深入，智能网联汽车越来越多的引入新的软硬件模块做支撑，而这些模块的集成应用暴露出潜在的攻击面，引入了新的安全风险。

所谓“道高一尺、魔高一丈”，要应对这些新风险，就需要更全面的信息安全专业知识和解决方案，360 Sky-Go安全研究员陈元恺在会上提出的解决方案，就是360汽车安全大脑。

汽车安全大脑由车载端和云端构成端到端防御体系，通过部署在车端的软硬件安全产品，将安全相关的数据收集到云端平台，感知汽车 *** 安全风险。云端通过安全大脑提供的分析引擎、知识库和专业的分析人员，对车端的数据进行自动化分析、溯源，发现并处理攻击事件，从而消除攻击带来的影响，免疫同类攻击再次发生。

对360来说，合作的车企越多，获得的案例和数据就越丰富，汽车安全大脑也就能够被训练得更加智能高效。截至目前，360已与国内70%的主流汽车厂商合作，有超过30万辆路面上行驶的汽车接入了360汽车安全大脑，获得实时防护。

迈过安全这道门槛，智能汽车才能真正起飞

5G的商用推进给全球智能化产业发展按下了加速键，尤其是对于智能汽车行业来说更是如此，汽车企业、零部件巨头和科技公司们都在摩拳擦掌积极布局，希望搭上这趟快车道，抢占万亿级市场的先机。

而在智能汽车行业真正腾飞之前，必须系上这根“安全带”，因为安全永远应该跑在速度前面。从RSAC 2020上释放的信息来看，如今车企与互联网安全企业的合作已经成为主流趋势，有360这样专业的安全企业保驾护航，风口上的智能汽车行业才能飞得更高、更远也更稳。

本文来源于汽车之家车家号作者，不代表汽车之家的观点立场。

无人汽车要是被坏人入侵系统，那行人和车主怎么保障安全？

作为首家引入车载人机交互系统的汽车制造商，在CES上展示了最新的iDrive人机交互命令输入系统。它可以通过iDrive控制器，语音输入命令与车辆通信，还可以通过触摸屏和手势识别系统进行控制。车辆的各种功能。但是，基于最近对坏人入侵系统的一些怀疑，各行各业中的五位大人物对智能汽车的安全性发表了评论。

1.考虑到不断变化的电子系统，智能驾驶 *** 是防范黑客入侵的最薄弱环节。将来，我们还必须不断提高对打击海盗行为的认识和实践。基于格林威治基金会，其 *** 安全专家实力雄厚，我们相信他们可以处理相关问题。

2.实际上，如何确保软件的生命周期安全是更大的挑战（智能驾驶）。尽管我们已经编写了数百万行代码来预测各种意外情况，但驾驶员始终是老板，毕竟，他是控制汽车的人。为了实现缺乏动力，我们做得还不够。当前，道路上的车辆现在可以执行用于移动宽带通信的车载娱乐服务，但是汽车在控制制动和驾驶方面仍然不是很好。

3.为了符合条件，我认为智能汽车将非常重视安全性能。这并不意味着不会对汽车进行黑客攻击，而是对汽车故障的保护将更加充分。我希望看到专家委员会可以更多地关注汽车安全。毕竟，互联网将不可避免地将非法活动带入我们的生活。车载系统可以通过G *** ，3G，4G手机进行远程控制，我们不知道如何保证安全性。实际上，断开 *** 与汽车之间的连接非常简单。该软件只是一小部分。

360年度汽车安全报告：两种新型攻击模式引关注

汽车 *** 信息安全问题越来越成为备受关注的话题。

近日，360公司正式发布了《2019智能网联汽车信息安全年度报告》，该报告从智能网联汽车 *** 安全发展趋势、新型攻击手段、汽车安全攻击事件、汽车安全风险总结和安全建设建议等方面对2019年智能网联汽车信息安全的发展做了梳理。

值得注意的是，该报告指出，在2019年车联网出现了两种新型攻击方式，一种是基于车载通信模组信息泄露的远程控制劫持，另一种则是基于生成式对抗网联（GSN）的自动驾驶算法攻击。其中，通信模组则是导致批量控车发生的根源。

“新四化”带来的新挑战

自2018年以来，汽车市场销量就一直呈现负增长。数据显示，2019年，我国汽车产销分别是2572.1万辆和2576.9万辆，同比下降7.5%和8.2%，但产业下滑幅度有所收窄。

也正是基于此背景，以“电动化、共享化、智能化、网联化”为核心的“新四化”成为行业发展共识。随着新四化不断推进，汽车原本几千上万数量的机械零部件，逐渐被电机电控、动力电池、整车控制器等在内的“三电”系统所取代。

其中，汽车电子电气架构也随之发生着颠覆性的变革，最突出的表现就在于从分布式架构逐步演进为域集中式架构或中央集中式架构。

具体来说，电子电器架构从分布式向集中式演变，未来软硬件也将会解耦，硬件不再被某一特定功能所独享，这也意味着，一点汽车软件被黑客破解劫持，那么共享的硬件将会面临非法调用、恶意占用等威胁。并且，未来关键ECU的功能整合程度会进一步提高，代码量的增加就会导致漏洞随之增长，一旦ECU自身遭到破解，黑客将劫持更多的控制功能。

另外，集中式架构中的中央控制网关称为车辆与外界沟通的重要通信组件，如果自身存在代码漏洞，被黑客利用就会导致车辆无法提供服务。

此外，集中式架构中的中央控制模版承担了主要功能的实现，如特斯拉Model 3的中央计算模块（CCM）直接整合了驾驶辅助系统（ADAS）和信息娱乐系统（IVI）两大域，以及外部连接和车内通信系统域功能

集中式架构中的中央控制模块承担了主要功能的实现，例如特斯拉 Model 3 的中央计算模块 (CCM) 直接整合了驾驶辅助系统 (ADAS) 和信息娱乐系统 (IVI) 两大域，以及外部连接和车内通信系统域功能。

Model 3内部的通信是由以太网总线串联，其在规避了CAN总线攻击的同时，却也带来了新的安全问题，如容易遭受跨 VLAN攻击，拒绝服务攻击等。而外部的通信包括车辆将直接与TSP服务器进行连接，如果身份认证、数据包防篡改、防重放等防护手段不够牢固，则面临批量远程控制车辆的威胁。

虽然说中央集中式的电子电气架构将算力向中央、云端集中，降低了自动化系统的成本，打破了高级别自动驾驶 方案的算力瓶颈。但与此同时，自动驾驶算法，如特斯拉自研的FSD芯片上运行的神经 *** 图像识别算法等的安全性也成为了业界关注的重点。

新型攻击方式

前文有所言，在此次报告中，360还披露了其发现的两种新型攻击方式。一种是基于车载通信模组信息泄露的远程控制劫持，另一种则是基于生成式对抗网联（GSN）的自动驾驶算法攻击。

基于车载通信模组信息泄露的远程控制劫持这一攻击方式，是通过TCU的调试接口或者存储模块获取到APN的联网信息和TSP日志信息，然后通过连接ESIM模块与车厂的TSP服务器进行通信。

据介绍，APN是运营商给厂商建立的一条专有 *** ，因为私网APN是专网，安全级别很高，直接接入到车厂的核心交换机上，绕过了 *** 侧的防火墙和入侵检测系统的防护。但是， 一旦黑客通过私有APN *** 渗透到车厂的内部 *** ，则可实施进一步的渗透攻击，实现远程批量控制汽车。

在此前一次演讲中，360Sky-Go的安全研究人员发现中国国内大部分自主品牌汽车，均使用私有APN连接车控相关的TSP后端服务器。通过ISP 拉专线可以在一定程度上保护后端服务器的安全，但与此同时也给后端服务器带来了更多的安全风险。

原因在于，由于私有APN的存在，TSP虽然不会暴露于公网，但却导致了TSP的安全人员忽视了私有 *** 和TSP本身的安全问题，同时私有 *** 内没有设置严格的安全访问控制，过度信任T-Box， 使得T-Box可以任意访问私有 *** 内部资产。

同时，很多不必要的基础设施服务也暴露于APN私网内，将引发更多安全风险。因此，一旦黑客获取到智能汽车的T-Box通讯模块，即可通过通讯模块接入车厂私有 *** ，进而攻击车厂内网，导致TSP沦陷。

基于生成式对抗网联（GSN）的自动驾驶算法攻击的发生则是源于在深度学习模型训练过程中，缺失了对抗样本这类特殊的训练数据。在目前深度学习的实际应用中，通过研究人员的实验证明，可以通过特定算法生成相应的对抗样本，直接攻击图像识别系统。因此，当前的神经 *** 算法仍存在一定的安全隐患，值得引起我们的注意。

除了这两种新型攻击方式之外，还有一种攻击方式值得我们注意，就是数字钥匙。

据介绍，数字车钥匙可用于远程召唤，自动泊车等新兴应用场景，这种多元化的应用场景也导致数字钥匙易受攻击。原因在于，数字车钥匙的“短板效应”显著，身份认证、加密算法、密钥存储、数据包传输等任一环节遭受黑客入侵，则会导致整个数字车钥匙安全系统瓦解。目前常见的攻击方式是通过中继攻击方式，将数字车钥匙的信号放大，从而盗窃车辆。

未来智能汽车的安全

在手机行业，从传统功能机升级换代到智能机，一直伴随着的就是 *** 信息安全问题，即使在现如今智能手机如此发达的时期，也不可避免的出现 *** 诈骗现象。

与手机行业相似的是，传统功能车升级换代到智能网联车，其势必也将会面临 *** 信息安全问题。然而，汽车不比手机，手机被 *** 黑客攻击，最多出现的就是财产损失。但汽车一旦被黑客攻击或劫持，很有可能会出现严重的交通事故。

基于此，360在报告中提出了5点建议：

之一、建立供应商关键环节的安全责任体系，可以说汽车 *** 安全的黄金分割点在于对供应商的安全管理。“新四化”将加速一级供应商开发新产品，届时也会有新一级供应商加入主机厂采购体系，原有的供应链格局将被重塑。供应链管理将成为汽车 *** 安全的新痛点，主机厂应从质量体系，技术能力和管理水平等多方面综合评估供应商。

第二、推行安全标准，夯实安全基础。2020 年，将是汽车 *** 安全标准全面铺开的一年。根据ISO21434等 *** 安全标准，在概念、开发、生产、运营、维护、销毁等阶段全面布局 *** 安全工作，将风险评估融入汽车生产制造的全生命周期，建立完善的供应链管理机制，参照电子电器零部件的 *** 安全标准，定期进行渗透测试，持续对 *** 安全数据进行监控，并结合威胁情报进行安全分析，开展态势感知，从而有效地管理安全风险。

第三、构建多维安全防护体系，增强安全监控措施。被动防御方案无法应对新兴 *** 安全攻击手段，因此需要在车端部署安全通信模组、安全汽车网关等新型安全防护产品，主动发现攻击行为，并及时进行预警和阻断，通过多节点联动，构建以点带面的层次化纵深防御体系。

第四、利用威胁情报及安全大数据提升安全运营能力。 *** 安全环境瞬息万变，高质量的威胁情报和持续积累的安全大数据可以帮助车企以较小的代价更大程度地提升安全运营能力，从而应对变化莫测的 *** 安全挑战。

第五、良好的汽车安全生态建设依赖精诚合作。术业有专攻，互联网企业和安全公司依托在传统IT领域的技术沉淀和积累，紧跟汽车 *** 安全快速发展的脚步，对相关汽车电子电气产品和解决方案有独到的钻研和见解。只有产业链条上下游企业形成合力，才能共同将汽车 *** 安全提升到“主动纵深防御”新高度，为“新四化”的成熟落地保驾护航。

未来汽车安全问题势必是多种多样的，而对此只有产业链上下游共同努力，才能防范于未然。

本文来源于汽车之家车家号作者，不代表汽车之家的观点立场。

为防止黑客入侵 特斯拉将推“双重认证”功能

易车讯 近日，特斯拉CEO马斯克表示，特斯拉即将推出“双重认证”功能保护汽车账户安全。目前上述功能正处于“最终验证”阶段，很快就会推送至各位消费者的车上。

相对于部分传统品牌，特斯拉对提升账户安全的紧迫性更高。从功能上看，特斯拉消费者只通过手机就能完成远程解锁车门、车辆定位、安排车辆服务等功能，被黑客盯上后出现的潜在危险也就更多。

马斯克表示，上述功能本该在2019年普及，但最终拖到了今天也没能上线，对此他感到十分尴尬。

双重验证的加入将有助于防止黑客使用被盗的密码劫持用户帐户。双重验证功能的发布日期未知，但是通过马斯克有关双重验证的言论来看，这项功能可能会在不久的将来被加入到特斯拉App中。