最近一场专门搞汽车技术安全的国际大赛结果出来了,把大家的视线都拉回到智能车的安全问题上。以前车是单纯的机械品,现在变成了能上网的智能终端,体验确实好了,但也招来了好多网络上的攻击。这场比赛主要是通过模拟真实的攻防战,把那些平时没露馅的“零日漏洞”给挖出来。在这次比赛里,好几个国家的网络安全专家都展示了自己的绝活。有个团队通过组合利用漏洞链,成功拿到了某款大牌电动汽车中控系统的最高权限。还有别的团队把充电桩、车载收音机这些东西都给黑了进去,说明了这些设备其实很容易出事。 这个比赛虽然会搞破坏,但其实是为了负责任。规矩是一旦找到漏洞就得马上告诉厂家,给人家90天时间来修补丁。这段时间漏洞信息是不能公开的,免得被坏人拿去用。等90天过了再慢慢公开。这就平衡了及时告诉大家有危险和让厂家稳住阵脚这两个方面。 看这个比赛的结果就像照镜子,既看到了行业在安全上做得不够的地方,也看到大家真的很重视。不管是车里的系统还是外面的充电桩都被测到了问题,说明整个智能车的网络安全是个系统工程,缺了一环都不行。 历年赛事里挖出的漏洞这么多,而且还有奖金给研究人员,说明技术难度很大。同时也说明靠钱能把全球最好的人才都吸引过来一起帮忙。专家们都说这事儿关系到大家的人身安全、隐私还有产业能不能好好发展。 这种比赛经常搞有大好处。它能让车企直接知道自家产品哪里有问题,逼着他们从一开始就把安全考虑进去。而且也给制定行业标准、搞测试的人提供了很多数据支持。以前那种纯粹的内部测试不管用了,现在用“白帽黑客”来做补充才行。 智能化是大势所趋,问题肯定还会有。国际赛事给我们敲了警钟:网络安全和开车的功能安全得放到一个高度去重视。好在现在的研究活动是公开合规的,这也是推动行业进步的一大动力。以后大家还得继续投钱搞合作,把威胁发现得更快一点、响应得更及时一点、一起解决问题才行。