原標題：小心，你的聯網車 副駕駛可能“坐”著黑客

　　百度公司董事長兼CEO李彥宏曾經在兩會上暢想過智能車的未來：只要把車開上高速，你就能吃著火鍋唱著歌，被車輕輕松松地從北京載到上海。

　　360集團董事長兼CEO周鴻祎后來在公開場合“皮”了一下：有一天，你吃著火鍋唱著歌，可能智能車就被黑客劫持了。

　　周鴻祎素來喜歡“放炮”，但他描述的畫面，并非聳人聽聞。

　　前不久，以色列一家汽車聯網安全公司的CEO阿米·多坦說了這么一番話：自動駕駛汽車系統可能會充滿漏洞且易被黑客攻擊。

　　當車輛接入網絡，也就給了黑客遠程攻擊的機會。360智能網聯汽車安全實驗室負責人劉健皓被稱為“破解特斯拉第一人”，他曾發現特斯拉Autopilot(自動駕駛系統)存在傳感器漏洞并將漏洞提交給了特斯拉公司的安全部門。劉健皓在接受科技日報記者采訪時表示，漏洞不可避免，也不可能被完全清除，信息安全攻防是一場動態的持久戰。

　　存在漏洞、錯誤是代碼的通病

　　阿米·多坦給出了這樣一組數字：“聯網汽車每1800行代碼就會存在一些錯誤，其中80%是安全漏洞。”他還表示，一輛聯網汽車和一輛自動駕駛汽車的潛在安全漏洞數目分別為5000和15000。

　　這是怎么算出來的?

　　北京理工大學網絡攻防對抗技術研究所所長閆懷志告訴科技日報記者，國際著名的CMMI(軟件能力成熟度集成模型)將軟件能力成熟度分為5級，其中1級最低，5級最高，4級和5級的千行代碼缺陷率分別為0.92‰和0.32‰。聯網汽車“每1800行代碼就存在一些錯誤”，表明其軟件能力成熟度大致在CMMI 4級和5級之間。“雖然聯網汽車代碼成熟度達到了較高水平，但顯然還有一定的提升空間。”閆懷志說。

　　閆懷志認為，軟件代碼出現漏洞，是由軟件開發和應用過程中的不正確或遺漏行為所造成的，也就是在軟件設計、實現或應用過程中有意或無意導致軟件架構或其具體實現與期望不符。“漏洞的出現是所有軟件代碼的通病，不僅僅局限于聯網汽車與自動駕駛應用領域。”不過，漏洞出現的頻率又跟軟件研發和保障水平密切相關。比如，在級別不同的CMMI研發保障能力下開發出來的代碼質量和漏洞數量會有顯著差異。“自動駕駛軟件屬于典型的工業應用軟件之一，其安全漏洞的潛在危害性，尤其是對人和物理環境的破壞性都極大，和普通軟件的危害不能同日而語。”閆懷志強調。

　　有漏洞不是稀奇事。中國科學院微電子研究所副研究員王云表示，隨著汽車智能化水平的提高，一輛車上的代碼可能有幾千萬甚至上億行，存在錯誤和漏洞是肯定的。“不光自動駕駛行業，傳統軟件行業都會有各種錯誤，不管是Windows還是iOS。”

　　車載娛樂系統易成被侵入對象

　　漏洞是如何被發現和修復的?

　　王云介紹，成熟的軟件開發都會有標準流程，會對需求、架構設計方案、代碼模塊設計接口、代碼機制等環節進行代碼測試與評審。通過規范的流程，大部分代碼漏洞可以被發現，但是依然有少部分漏洞不會被測試用例覆蓋。

　　“聯網汽車涉及各種協議或操作系統、應用軟件，存在漏洞的地方更多。目前被發現的漏洞涉及TSP(內容服務提供商)平臺、APP應用、Telematics Box(T-BOX)上網系統、車機IVI系統CAN-BUS車內總線等各個領域和環節。”王云表示，協議、操作系統存在的漏洞都可能被利用，造成的危害也不一樣：有的能讓黑客竊取用戶信息，更嚴重的能讓黑客控制汽車。

　　劉健皓把漏洞比喻為銀行的后門。大門處有重兵把手，但后門可能就是防護真空。有心人士能通過后門大搖大擺進來“搞事情”。而且，很可能銀行自己都不知道有這個后門。

　　車聯網及自動駕駛軟件，實現了車—車之間、車—人之間、車—路之間的高效互聯互通與信息共享，并為車聯網智能決策和優化提供了基礎支撐，但它也讓聯網車在信息安全、功能安全及隱私保護等方面，面臨著前所未有的嚴峻挑戰。閆懷志說，黑客可以利用車載終端系統、車聯網云平臺、移動APP、OBD(車載診斷系統)等系統的漏洞對車輛實施攻擊，實現對智能車輛的操作控制。不安全的代碼也可能在無攻擊的情況下“自行”失效，導致車輛行為失控。

　　“有通信、接口的地方就容易遭到攻擊。”劉健晧說，黑客攻擊車輛可以分為物理接觸、近場控制、遠程控制3種。在智能網聯時代，黑客能“順著網線”悄無聲息地進入你的車。

　　在測試聯網汽車時，劉健皓團隊也發現，車載娛樂系統易成為被侵入的對象。如今，汽車的中控系統做得越發酷炫，為了給用戶更為高科技的人機交互體驗，一些實體控制按鈕被集成到了車載娛樂系統當中，該系統通常也要為用戶提供互聯網內容。于是，黑客就能通過車載娛樂系統的漏洞一舉控制車輛的儀表盤甚至制動系統。

　　從已有的案例來看，最夸張的情況是，黑客能控制車輛動力和轉向系統。比如遠程啟動一下發動機，比如讓你的方向盤有“自己的想法”。而且，如果黑客破解了某車廠的后臺，他就能用同樣的方法橫向批量影響到所有該品牌的汽車。

　　所以，如果有汽車在道路上集體“抽風”，也不是不可能。

　　打一場動態信息安全攻防戰

　　當然，如果真“集體抽風”就成了公共安全事件，一切都要防患于未然。聯網車并不只是黑客的獵物，實際上，車廠也會采取種種措施升級自己的防護機制。與入侵者斗智斗勇，本身就是一個你來我往、你攻我擋的動態平衡過程。

　　“安全防護不只是防護某個‘點’，一定要做到全面。”劉健皓說。所謂的全面，指的是在云(云服務)、管(通信)、端(車載終端)、控(控制系統)上全面保駕護航。

　　閆懷志表示，代碼錯誤的避免和糾正，需要標本兼治，且應以治本為主，治標為輔。“標”是采用各種漏洞挖掘、分析、測試及修復手段來避免或減緩其安全威脅;“本”上還是應該嚴格遵循軟件安全工程規范，從源頭上解決問題。尤其是對于車聯網和自動駕駛這種工業軟件來說，要特別重視功能安全與信息安全二者的結合，從其全生命周期統一考慮各種安全因素。“具體來說，是識別工業應用軟件的危險，定義其安全需求，然后進行安全設計、安全編碼及安全測試，進行有效的缺陷管理，即實施基于功能安全與信息安全融合的工業應用軟件安全工程方法。”

　　閆懷志介紹，在進行具體安全設計和代碼編寫時，可參考多種安全編碼標準和指南。比如，汽車行業可以參考汽車電子功能安全標準(ISO 26262)，還可以參考國際著名的MISRA(汽車工業軟件可靠性聯合會)的工業C編程規范。“該規范為汽車嵌入式系統編碼提供了有關安全可靠性的最佳實踐。”閆懷志說。

　　王云透露，國際組織(ISO/SAE)正進行21434(道路車輛—信息安全工程)標準的制定。該標準主要從風險評估管理、產品開發、運行/維護、流程審核等4個方面來保障汽車信息安全工程工作的開展。

　　在具體實踐上，360智能網聯車安全實驗室給車企的建議是——“逆向思維”。在車輛正式推出之前，他們會對合作車企車輛進行測試，模擬黑客對車輛進行攻擊;發現漏洞后，讓車企對薄弱環節進行修正。車輛上市后，團隊會為車輛做全生命周期的安全管理，監控和防護其可能遭到的攻擊。

　　“沒有一個安全公司能夠保證車輛百分之百安全，跟黑客對抗的過程是動態防護的過程：發現攻擊、阻斷攻擊、下發更新策略……”劉健皓強調，“我們希望為每個車廠建立一套安全的運營體系，實現自主品牌車輛的安全運營。”