吉麗亞

一輛正常行駛的豐田普瑞斯突然出現(xiàn)了車輛即將發(fā)生碰撞的幻覺，碰撞預(yù)警系統(tǒng)突然收緊安全帶，轉(zhuǎn)向被控制，剎車完全被禁用……這不是《駭客帝國》中的特技鏡頭，而是該車受到了黑客通過車聯(lián)網(wǎng)的入侵。此事發(fā)生于2013年，至今兩年已過去了，但這段視頻依然被保留在互聯(lián)網(wǎng)上。

當(dāng)車聯(lián)網(wǎng)、智能汽車成為全球汽車產(chǎn)業(yè)關(guān)注的熱點(diǎn)、成為投資的熱土、成為消費(fèi)者時(shí)尚炫酷的夢想時(shí)，車聯(lián)網(wǎng)給汽車帶來的危險(xiǎn)又有多少人在關(guān)注呢？

警惕“后門”

黑客入侵車聯(lián)網(wǎng)系統(tǒng)、控制車輛已不是神話。資料顯示：黑客不斷破解各種車聯(lián)網(wǎng)系統(tǒng)，而入侵最頻繁的車輛莫過于特斯拉。隔一段時(shí)間就會有莫名的黑客冒出來破解特斯拉的系統(tǒng)，而對此從不解釋的特斯拉聘用美國有名的“黑客公主”作為顧問，這一舉動被當(dāng)作是對黑客行為的反擊戰(zhàn)。

車聯(lián)網(wǎng)要依靠手機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)智能化，實(shí)現(xiàn)各種應(yīng)用。3G、4G甚至5G網(wǎng)絡(luò)使應(yīng)用層出口越來越多，增加出口的同時(shí)意味著“后門”也隨之增加，而越多的后門就意味著越多的危險(xiǎn)。據(jù)專家介紹，應(yīng)用層是平時(shí)看得到的表層，在應(yīng)用層下會有中間層和底層，一個好的軟件一定是一層層疊起來的。操作系統(tǒng)有微軟視窗、黑莓QNX、安卓、蘋果的Carplay、基于Linux的操作系統(tǒng)等等。有一些系統(tǒng)其實(shí)只用于IVI，即車載信息娛樂系統(tǒng)，而Linux和QNX會被使用在儀表盤，使用的層次也更深。能肯定的是一個好的系統(tǒng)平臺應(yīng)該是安全、優(yōu)化、性價(jià)比高。安卓本身不是為汽車使用打造的，而且由于自身缺陷，安全性多被質(zhì)疑，而且系統(tǒng)過大導(dǎo)致啟動速度慢，運(yùn)行中容易延遲或死機(jī)。另外，QNX的安全性也不盡如人意。

不能否認(rèn)的是，互聯(lián)網(wǎng)與“黑客”是共生共存的。只要有出口就能找到“后門”，而出口本身就意味著風(fēng)險(xiǎn)。

2011年，來自加州大學(xué)和華盛頓大學(xué)的計(jì)算機(jī)專家的研究報(bào)告指出，黑客可以通過遠(yuǎn)程操控汽車的引擎、剎車甚至汽車的其他功能。

2013年7月，Twitter公司軟件安全工程師Charlie Miller和IOActive安全公司智能安全總監(jiān)Chris Valasek表示，在獲得美國政府許可的情況下，他們對網(wǎng)絡(luò)入侵攻擊汽車進(jìn)行了幾個月的研究之后，在豐田普銳斯和福特翼虎的主要系統(tǒng)上，實(shí)現(xiàn)了以下情景：迫使普銳斯在80英里/時(shí)的速度下剎車、猛打方向盤、讓發(fā)動機(jī)加速；也能使得翼虎在超低速行駛時(shí)剎車失效。不過他們進(jìn)行汽車攻擊時(shí)需要把電腦連接到車上，并不能實(shí)現(xiàn)遠(yuǎn)程攻擊。當(dāng)然，豐田和福特的發(fā)言人同樣拒絕對此事置評。

2014年3月28日，在新加坡舉行的黑客安全會議上，網(wǎng)絡(luò)安全顧問Nitesh Dhanjani宣稱特斯拉Model S豪華跑車安全系統(tǒng)存在多處設(shè)計(jì)缺陷。Dhanjani表示，特斯拉Model S的賬戶密碼安全度較低。如果采用類似盜竊電腦賬戶密碼或在線賬戶密碼的一些黑客手法，就可以讓Model S的賬戶密碼變得脆弱。因?yàn)?位密碼變化不多，黑客可以破解密碼，定位車輛，盜取個人信息。他還表示，一輛價(jià)格100，000美元的車將安全寄托在短短的六位數(shù)密碼上，顯然是不可忽視的問題。特斯拉發(fā)言人則對Dhanjani的發(fā)言拒絕置評。

2015年2月2日，德國汽車工業(yè)協(xié)會在一份報(bào)告中稱，包括勞斯萊斯幻影、MINI掀背車和寶馬i3電動車在內(nèi)的絕大部分寶馬品牌車型存在設(shè)計(jì)缺陷，大約有220萬輛車配備的ConnectedDrive數(shù)字服務(wù)系統(tǒng)有安全漏洞，黑客可利用這些漏洞遠(yuǎn)程打開車門。

可見，聯(lián)網(wǎng)的汽車，其安全性不僅僅體現(xiàn)在碰撞、操控、制動等傳統(tǒng)的主、被動安全防護(hù)措施上，汽車網(wǎng)絡(luò)信息安全已經(jīng)成為汽車安全的“新領(lǐng)域”。汽車不是手機(jī)，被黑掉的汽車所帶來的危害遠(yuǎn)比一部手機(jī)死機(jī)要嚴(yán)重得多。

車聯(lián)網(wǎng)的未知之境

“互聯(lián)網(wǎng)+”時(shí)代來臨，到底誰準(zhǔn)備好了？沖鋒在前的應(yīng)用軟件準(zhǔn)備好了嗎？高端大氣的內(nèi)嵌互聯(lián)準(zhǔn)備好了嗎？靠海量分析數(shù)據(jù)取勝的線上準(zhǔn)備好了嗎？重資產(chǎn)依然無敵的線下準(zhǔn)備好了嗎？當(dāng)一切準(zhǔn)備妥當(dāng)，能否就此衍生出一場新的革命？

面對日益龐大的“互聯(lián)網(wǎng)+”概念，汽車企業(yè)紛紛試水，或在造車領(lǐng)域，或在賣車領(lǐng)域，或在用車領(lǐng)域，攜手互聯(lián)網(wǎng)巨擎制造汽車已不再是新鮮話題，甚至有互聯(lián)網(wǎng)企業(yè)認(rèn)為下一步取代傳統(tǒng)制造業(yè)研發(fā)自主智能汽車。傳統(tǒng)汽車制造企業(yè)也有自己的擔(dān)憂，雖然擁有核心造車技術(shù)，仍不能保證互聯(lián)網(wǎng)的潮流之下，誰是能留下來的那個？而用戶在享受了車聯(lián)網(wǎng)的便捷之后，車聯(lián)網(wǎng)安全誰來保證。似乎所有的車企都沒有正面回答這個問題。

面對存在的未知領(lǐng)域，面對海量“互聯(lián)網(wǎng)+”的新聞，由李克強(qiáng)總理引發(fā)的議題已成2015年的重要綱領(lǐng)。然而“互聯(lián)網(wǎng)+”的背后，“安全”誰來保障？帶著種種疑問，《汽車觀察》記者采訪了凌動無限科技有限公司CEO Pasi Nieminen，由他來解答未知之境。

《汽車觀察》：We are seeing a lot of car manufacturers and after market IVI solutions using Android. What do you think about Android's future in cars？

《汽車觀察》：許多整車廠和后裝的車載娛樂系統(tǒng)都在使用安卓系統(tǒng)。如何看待安卓作為車載系統(tǒng)的前景？

Pasi Nieminen：The systems we are seeing in China are based on the open source versions of Android and are only partly compatible with Android. Why do manufacturers use these modified versions of Android？ Because it is quick and cheap to create something visual for customers， but the trade off is in performance and security. Android is not optimized for the car environment. It is a very power hungry system which means in order to run well you need a more powerful and more expensive processor. So you save money on the software but you pay for it on the hardware. Android security architecture is not fit for secure car computing， and can only be used in non-critical systems such as infotainment.

Pasi Nieminen：我們在中國所用的系統(tǒng)只是基于安卓的開源版本，和安卓只是部分兼容。為什么大家使用這種開源的安卓呢？簡單的說就是圖方便，用便宜的方式盡快做出來一個看得到的東西，以期賣給消費(fèi)者。它的代價(jià)是性能和安全。安卓并沒有針對車裝環(huán)境做優(yōu)化，它是個非常耗電的系統(tǒng)，意味著需要一個非常強(qiáng)大和昂貴的處理器。如果你要在軟件上省錢的話，就得在硬件上花大錢。安卓的安全架構(gòu)并沒有考慮到車載電腦對安全的要求，所以只能用于對安全要求不高的信息娛樂系統(tǒng)。

《汽車觀察》：People are worried about leaking personal information in connected cars， will APPs do that？

《汽車觀察》：大家擔(dān)心互聯(lián)網(wǎng)汽車會泄露個人信息，車載應(yīng)用是否會導(dǎo)致用戶隱私外泄？

Pasi Nieminen：In mobile the security threat is to your personal information， but in a car its a threat to your life. If someone can take control of your car， you could die. A car is a complex multi-system environment and with the new demands and the new opportunities offered by software， security in cars is becoming ever more complex. All parties concerned have to work together to implement a secure platform for connected cars.

Pasi Nieminen：如果說手機(jī)的安全風(fēng)險(xiǎn)更多是個人信息的話，汽車互聯(lián)危險(xiǎn)則是生命。如果在行駛時(shí)，汽車被遠(yuǎn)程控制，可能會因此送命?，F(xiàn)代汽車本身就是個復(fù)雜的多系統(tǒng)環(huán)境，加上新要求及軟件帶來的新機(jī)會，汽車的安全問題也會越來越復(fù)雜。所有相關(guān)方必須緊密合作，創(chuàng)造安全的車聯(lián)網(wǎng)系統(tǒng)平臺。

《汽車觀察》：What can users expect from cars that have Internet+ connectivity？

《汽車觀察》：消費(fèi)者能夠從互聯(lián)網(wǎng)+的汽車上得到什么？

Pasi Nieminen：Infotainment features are important and easy for users to understand， but the Internet+ car is the foundation for a new generation of cars and transport. It is the key technology that will enable smart traffic. In smart traffic enabled cities， connected cars communicate with the city's infrastructure， leading to a safer and less stressful driving experience. The networks for entertainment and for infrastructure communication should be separate.

Today we are moving into a period of rapid software driven technological development and car manufacturers have to implement these changes very quickly. The key to that is an integrated， robust， flexible and secure high performance computing platform at the heart of their cars.

Pasi Nieminen：信息娛樂是很重要的功能，也容易理解。但是互聯(lián)網(wǎng)+汽車是新一代汽車和交通的基礎(chǔ)。它代表了智能交通的關(guān)鍵技術(shù)。在一個智能交通使動的城市里，互聯(lián)汽車和城市有更多通信，目的在于創(chuàng)造一個更加安全的更少壓力的駕駛體驗(yàn)。娛樂系統(tǒng)及通信系統(tǒng)必須要分開。今天，在快速地軟件驅(qū)動的技術(shù)環(huán)境下，車廠必須要以非常的快的速度引入新的變化，這就需要一個集成度高的，健康的，靈活安全的，高性能的電腦系統(tǒng)平臺。

未來講的更多是關(guān)于交通，而不僅僅的汽車。汽車行業(yè)會被外部力量改變，軟件公司將在汽車設(shè)計(jì)制造中有一席之地。未來的汽車不再是獨(dú)立的，它們將通過各種系統(tǒng)被連接起來，成為真正的車聯(lián)網(wǎng)。

鏈接：專家談車聯(lián)網(wǎng)安全

中國汽車工業(yè)協(xié)會秘書長董揚(yáng)：

汽車是一個非常危險(xiǎn)的產(chǎn)品，它是一個在極端狀況下工作的產(chǎn)品，它高速移動，對于這個安全性，各方面要求非常非常高。車聯(lián)網(wǎng)系統(tǒng)在不能有效解決病毒問題、防止被人惡意操控之前，是不能夠用到汽車上的。

360攻防實(shí)驗(yàn)室車聯(lián)網(wǎng)安全專家劉健皓：

通過反向控制去黑掉一輛車是很有可能的。今年的上海車展是以互聯(lián)網(wǎng)汽車或者是智能汽車為宣傳口號的，有些儀表盤都是液晶的電子儀表盤，黑客可以黑掉整個屏幕，比如：駕車行駛中，看不到轉(zhuǎn)速。有一些車輛，有車聯(lián)網(wǎng)的云端，會把所有車輛數(shù)據(jù)傳到云端。但如果云端的安全防護(hù)做的不夠，會泄漏很多數(shù)據(jù)，其中包括個人數(shù)據(jù)、行車數(shù)據(jù)。寶馬的車聯(lián)網(wǎng)系統(tǒng)就曾報(bào)過漏洞，黑客用一個偽基站在車的附近就可以把車門打開。

奇虎360公司董事長周鴻祎：

智能汽車，就是騎在一個有四個輪子的大手機(jī)上，通過3G、4G、未來5G的網(wǎng)絡(luò)，或通過wifi、藍(lán)牙，通過各種各樣的通信協(xié)議，接入點(diǎn)越多可以被攻破的入口就會越多，同時(shí)防守的難度會越來越大。

特斯拉亞太區(qū)工程總監(jiān)王文佳：

特斯拉從硬件、軟件兩個方面給車設(shè)置了很多道安全屏障，聘用了美國很有名的“黑客公主”負(fù)責(zé)特斯拉的信息安全工作。

安全是汽車系統(tǒng)的核心

SECURITY IS A KEY FEATURE IN CARS

In the past， access to the CAN bus was restricted by physical access to the car – if you couldn't get to the car then you couldn't get access to the CAN bus - but with connected cars we are seeing examples where the CAN bus can be attacked remotely. The security threat for cars has moved to a new level， and it is just going to get worse.

過去的汽車中，CAN bus（總線系統(tǒng)）是被物理隔離的，如果你不在車內(nèi)，就無法碰觸到CANbus。但是在互聯(lián)汽車的語境下，汽車卻可以被黑客遠(yuǎn)程攻擊。汽車的安全風(fēng)險(xiǎn)已經(jīng)上升到新的高度，如果沒有解決方案，會越變越糟。

Car manufacturers are adding more software to cars， mechanical meters and gauges are being replaced by LCD panels and software， information is being integrated across the information cluster and the infotainment units. All this software being placed between the car and the driver is creating new vulnerabilities whereby a breach in the security could be used to deceive and trick drivers. External parties， such as governments， service providers and insurance companies， want to create applications for cars and this will create new security concerns. Adding more functionality makes systems more complex and more vulnerable.

車廠開始添加越來越多的軟件在汽車環(huán)境中，機(jī)械表盤被LCD屏幕和軟件替代，信息由信息群和信息娛樂系統(tǒng)整合起來。所有介于汽車和駕駛者之間的軟件都帶來了更多的風(fēng)險(xiǎn)，任何安全問題都可能會讓駕駛者陷入麻煩的境地。所有的第三方們，政府，服務(wù)提供商和保險(xiǎn)公司等都試圖給汽車加上新的應(yīng)用，而這都將帶來更多的安全問題。隨著功能的增加，系統(tǒng)會變得更復(fù)雜，也更危險(xiǎn)。

On the desktop we are already very familiar with malware and attacks on our information， privacy and infrastructure. As cars are getting more connected and software driven， the same can be expected to happen in the automotive world. Malicious attacks are inevitable and must be anticipated and taken into account as part of the system design.

我們已經(jīng)很熟悉電腦中的惡意軟件對信息，隱私和環(huán)境的攻擊。當(dāng)汽車變得更加互聯(lián)和軟件化后，同樣的風(fēng)險(xiǎn)也可能發(fā)生在汽車環(huán)境中。惡意的攻擊不可避免，所以要在系統(tǒng)設(shè)計(jì)中充分考慮汽車的安全性。

How to design reliable and secure computing for connected cars

如何設(shè)計(jì)安全可靠的互聯(lián)汽車電腦

Software security is not a feature. It cannot be added or plugged into a system after it is designed. Security has to be built in right at the core of a system. The key concepts in software security are the architecture and the design process. One approach to security is to physically isolate separate systems， but as the demand for computing in the car increases it becomes very expensive to keep adding separate devices and maintaining the different systems. On the other hand when implemented as part of the core security architecture virtualization is a cost efficient solution to isolating separate systems. An example of this is ARM platform's TrustZone which provides hardware-level security with software flexibility. TrustZone is a small operating system that is built onto the processor and is completely isolated from attack. By running virtualization on top of TrustZone you can isolate the different software systems from one another.

軟件安全并不是一項(xiàng)功能，它不能添加或插入一個成型的系統(tǒng)中。安全設(shè)計(jì)存在于系統(tǒng)的核心。軟件安全的核心理念是架構(gòu)和設(shè)計(jì)的工作。保證安全的一種辦法是從物理上分離系統(tǒng)，但是隨著汽車電腦的要求增多，在汽車上添加設(shè)備和維護(hù)多個系統(tǒng)的成本會越來越高；而另一種節(jié)省成本的方法就是通過核心安全架構(gòu)虛擬化來區(qū)隔不同系統(tǒng)。如同ARM平臺的TrustZone提供了硬件級別的安全性同時(shí)提供了軟件的靈活性。TrustZone是在處理器上的小型操作系統(tǒng)，它能完全避免被攻擊。在TrustZone上運(yùn)行虛擬機(jī)就可以把關(guān)鍵系統(tǒng)和其他系統(tǒng)隔離開。

Understanding connectivity in cars

理解汽車互聯(lián)

Cars will have two types of connections， internet and V2X. The internet is too unreliable and too slow for vehicle-to-vehicle and vehicle-to-Infrastructure mission critical communication. Vehicle-to-Vehicle （V2V） and Vehicle-to-Infrastructure （V2I） connectivity is being introduced to cars to enhance safety by sharing information between cars and the surrounding infrastructure. In addition to increased safety， V2X connectivity paves the way for autonomous vehicles. The U.S. Department of Transportation （DoT） and the U.S. National Highway Traffic Safety Administration （NHTSA） have set out a timeline mandating the introduction of V2X connectivity in vehicles in the US. The European Union is also woking on their plan to mandate V2I applications.

At the same time， connected consumer applications such as music and video streaming are becoming more and more coommon in car infotainment systems and cars are being designed with pre-installed Internet connectivity options. While attractive to consumers， this trend opens up new security risks， especially as embedded systems offering these functionalities are consolidated. Therefore， an important requirement for the design of any comprehensive information system for cars is to ensure isolation between Internet connected applications and V2X connectivity. A vulnerability in an Internet connected application must not compromise the security of the V2X connections.

汽車的互聯(lián)有兩種，互聯(lián)網(wǎng)和V2X。互聯(lián)網(wǎng)（對于汽車）對V2X中的關(guān)鍵任務(wù)通訊來說，是非常不可靠和緩慢的。

車車互聯(lián)和車與環(huán)境的互聯(lián)旨在通過車與車、環(huán)境的信息共享來提高安全性。在提高安全性以外，V2X互聯(lián)還促進(jìn)了自動駕駛汽車的發(fā)展。美國交通部和美國國家高速公路安全管理局提出了在美國要求推廣V2X的時(shí)間表。歐盟也在制定要求應(yīng)用車與環(huán)境互聯(lián)的計(jì)劃。

與此同時(shí)，互聯(lián)消費(fèi)產(chǎn)品如流媒體音樂與視頻在汽車信息娛樂系統(tǒng)變得越來越常見，越來越多的汽車設(shè)計(jì)出廠時(shí)預(yù)裝了互聯(lián)網(wǎng)方案。當(dāng)這些功能被整合到汽車信息娛樂系統(tǒng)后，雖然獲得了消費(fèi)者的青睞，但這樣的趨勢卻引起了新的安全隱患。

所以，一個設(shè)計(jì)任何綜合型汽車信息系統(tǒng)都需要考慮到的重要需求是保證把互聯(lián)應(yīng)用與V2X互聯(lián)隔離開來。一個互聯(lián)應(yīng)用的漏洞決不能讓V2X連接的安全性受到損害。

Car Manufacturers and Software cultures clash

車廠和軟件文化的沖突

Car manufacturers business is very different form the consumer driven smart phone world. In the car manufacturers world the focus is on cost-efficiency， liability and long product cycles. Most software companies have no experience of the automotive industry. Traditionally car manufacturers sourced their IVI systems， like any other part， from their regular tier-1 suppliers. However tier-1 suppliers do not have the computer hardware and software know how to design and maintain these complex systems. Car manufacturers， tier-1 suppliers and software companies face a challenge to meet the next generation car computing requirements. Maybe now is the time to re-think the car computing value chain.

車廠與消費(fèi)者驅(qū)動的智能手機(jī)市場有著巨大的差別。對車廠來說，他們的重點(diǎn)是成本效率，產(chǎn)品可靠性和產(chǎn)品生命周期。絕大多數(shù)軟件公司沒有汽車行業(yè)的經(jīng)驗(yàn)。

按照傳統(tǒng)，車廠向常見的tier-1供應(yīng)商獲取IVI系統(tǒng)，就像其他部件一樣。但是一級供應(yīng)商缺乏計(jì)算機(jī)硬件和軟件的專業(yè)知識來設(shè)計(jì)和維護(hù)這些復(fù)雜的系統(tǒng)。

車廠，一級供應(yīng)商和軟件公司面臨下一代汽車計(jì)算機(jī)需求的挑戰(zhàn)。也許現(xiàn)在是時(shí)候來重新考慮汽車計(jì)算機(jī)價(jià)值鏈。

（本文由凌動無限科技有限公司CEO Pasi Nieminen提供）