最近汽车行业里又掀起了一波关注网络安全的热潮,起因是一场专门检验汽车技术安全性的国际比赛,比赛里好几个专业团队用他们的绝活把一些车载系统里藏着的隐患给翻出来了。现在车子越来越聪明、联网的东西也越来越多,这就导致车上那些电子系统的网络安全成了大家头疼的大事。 这次比赛里,选手们拿着各种品牌的车载娱乐系统、充电桩和终端设备下手做了测试。有一队人利用信息泄露还有越界写入这两个漏洞的组合拳,愣是拿到了某品牌车载娱乐系统的最高控制权;还有一队人通过打通好几个漏洞,直接跑通了某品牌数字媒体接收器的底层代码。除了车上的系统,充电设备那边也被发现不少问题,像充电桩的控制权被突破、充电控制器被人拿到高级权限的情况都有发生。 根据比赛的规矩,这些被挖出来的漏洞都要先告诉厂商让他们去修,等修好了以后组织方才会把详细的技术细节公开。这类比赛之所以能吸引大家的目光,主要是因为它暴露了智能汽车发展里的一些深层问题。一方面是车子的电子架构变得太复杂了,跟外面网络连的地方多了,攻击的机会也就跟着变大了;另一方面有些厂家在搞功能创新和快速更新的时候,对安全这块儿的投入和测试还是不够上心。 另外,供应链里的那些第三方软硬件组件也成了整车安全链条上的薄弱环节。从影响来看这事儿有两层意思:一方面是白帽黑客通过合规的方式帮厂家提前找出漏洞,好让他们在被坏人利用之前赶紧补上;另一方面也给消费者提个醒,让大家知道虽然智能汽车方便好用,但是潜在的风险也得注意。 值得一提的是比赛组织方搞了个规范的漏洞报告流程,给了厂家一个修bug的窗口时间,这也是负责任的表现。面对挑战汽车行业得从多方面建防护网:技术上要把车载系统的安全设计做得更牢实点;标准上各国也在抓紧制定智能网联汽车的网络安全标准;合作上整车厂、零件商还有安全机构得互相通气协同作战;平时还得多搞搞安全演练来提升整体水平。 往后看随着车子越来越智能化网络安全会跟功能安全绑在一块儿变成核心属性之一。行业得在创新和安全之间找个平衡点。只有把安全变成产品基因里的一部分才能让汽车产业在数字化的路上走得稳当。 现在的汽车已经不只是个交通工具了而是移动的智能终端。每次测试发现的漏洞既是对行业的一次警告也是技术进步的一个机会。通往全面智能出行的路上安全是没有尽头的只有大家一起努力合作才能让技术创新真正为人类服务让智能汽车变成可靠又值得信赖的出行伙伴。这既需要企业负起责任也需要全行业达成共识行动起来。