车联网“骇客帝国”

吉丽亚

一辆正常行驶的丰田普瑞斯突然出现了车辆即将发生碰撞的幻觉，碰撞预警系统突然收紧安全带，转向被控制，刹车完全被禁用……这不是《骇客帝国》中的特技镜头，而是该车受到了黑客通过车联网的入侵。此事发生于2013年，至今两年已过去了，但这段视频依然被保留在互联网上。

当车联网、智能汽车成为全球汽车产业关注的热点、成为投资的热土、成为消费者时尚炫酷的梦想时，车联网给汽车带来的危险又有多少人在关注呢？

警惕“后门”

黑客入侵车联网系统、控制车辆已不是神话。资料显示：黑客不断破解各种车联网系统，而入侵最频繁的车辆莫过于特斯拉。隔一段时间就会有莫名的黑客冒出来破解特斯拉的系统，而对此从不解释的特斯拉聘用美国有名的“黑客公主”作为顾问，这一举动被当作是对黑客行为的反击战。

车联网要依靠手机网络实现智能化，实现各种应用。3G、4G甚至5G网络使应用层出口越来越多，增加出口的同时意味着“后门”也随之增加，而越多的后门就意味着越多的危险。据专家介绍，应用层是平时看得到的表层，在应用层下会有中间层和底层，一个好的软件一定是一层层叠起来的。操作系统有微软视窗、黑莓QNX、安卓、苹果的Carplay、基于Linux的操作系统等等。有一些系统其实只用于IVI，即车载信息娱乐系统，而Linux和QNX会被使用在仪表盘，使用的层次也更深。能肯定的是一个好的系统平台应该是安全、优化、性价比高。安卓本身不是为汽车使用打造的，而且由于自身缺陷，安全性多被质疑，而且系统过大导致启动速度慢，运行中容易延迟或死机。另外，QNX的安全性也不尽如人意。

不能否认的是，互联网与“黑客”是共生共存的。只要有出口就能找到“后门”，而出口本身就意味着风险。

2011年，来自加州大学和华盛顿大学的计算机专家的研究报告指出，黑客可以通过远程操控汽车的引擎、刹车甚至汽车的其他功能。

2013年7月，Twitter公司软件安全工程师Charlie Miller和IOActive安全公司智能安全总监Chris Valasek表示，在获得美国政府许可的情况下，他们对网络入侵攻击汽车进行了几个月的研究之后，在丰田普锐斯和福特翼虎的主要系统上，实现了以下情景：迫使普锐斯在80英里/时的速度下刹车、猛打方向盘、让发动机加速；也能使得翼虎在超低速行驶时刹车失效。不过他们进行汽车攻击时需要把电脑连接到车上，并不能实现远程攻击。当然，丰田和福特的发言人同样拒绝对此事置评。

2014年3月28日，在新加坡举行的黑客安全会议上，网络安全顾问Nitesh Dhanjani宣称特斯拉Model S豪华跑车安全系统存在多处设计缺陷。Dhanjani表示，特斯拉Model S的账户密码安全度较低。如果采用类似盗窃电脑账户密码或在线账户密码的一些黑客手法，就可以让Model S的账户密码变得脆弱。因为6位密码变化不多，黑客可以破解密码，定位车辆，盗取个人信息。他还表示，一辆价格100，000美元的车将安全寄托在短短的六位数密码上，显然是不可忽视的问题。特斯拉发言人则对Dhanjani的发言拒绝置评。

2015年2月2日，德国汽车工业协会在一份报告中称，包括劳斯莱斯幻影、MINI掀背车和宝马i3电动车在内的绝大部分宝马品牌车型存在设计缺陷，大约有220万辆车配备的ConnectedDrive数字服务系统有安全漏洞，黑客可利用这些漏洞远程打开车门。

可见，联网的汽车，其安全性不仅仅体现在碰撞、操控、制动等传统的主、被动安全防护措施上，汽车网络信息安全已经成为汽车安全的“新领域”。汽车不是手机，被黑掉的汽车所带来的危害远比一部手机死机要严重得多。

车联网的未知之境

“互联网+”时代来临，到底谁准备好了？冲锋在前的应用软件准备好了吗？高端大气的内嵌互联准备好了吗？靠海量分析数据取胜的线上准备好了吗？重资产依然无敌的线下准备好了吗？当一切准备妥当，能否就此衍生出一场新的革命？

面对日益庞大的“互联网+”概念，汽车企业纷纷试水，或在造车领域，或在卖车领域，或在用车领域，携手互联网巨擎制造汽车已不再是新鲜话题，甚至有互联网企业认为下一步取代传统制造业研发自主智能汽车。传统汽车制造企业也有自己的担忧，虽然拥有核心造车技术，仍不能保证互联网的潮流之下，谁是能留下来的那个？而用户在享受了车联网的便捷之后，车联网安全谁来保证。似乎所有的车企都没有正面回答这个问题。

面对存在的未知领域，面对海量“互联网+”的新闻，由李克强总理引发的议题已成2015年的重要纲领。然而“互联网+”的背后，“安全”谁来保障？带着种种疑问，《汽车观察》记者采访了凌动无限科技有限公司CEO Pasi Nieminen，由他来解答未知之境。

《汽车观察》：We are seeing a lot of car manufacturers and after market IVI solutions using Android. What do you think about Android's future in cars？

《汽车观察》：许多整车厂和后装的车载娱乐系统都在使用安卓系统。如何看待安卓作为车载系统的前景？

Pasi Nieminen：The systems we are seeing in China are based on the open source versions of Android and are only partly compatible with Android. Why do manufacturers use these modified versions of Android？ Because it is quick and cheap to create something visual for customers， but the trade off is in performance and security. Android is not optimized for the car environment. It is a very power hungry system which means in order to run well you need a more powerful and more expensive processor. So you save money on the software but you pay for it on the hardware. Android security architecture is not fit for secure car computing， and can only be used in non-critical systems such as infotainment.

Pasi Nieminen：我们在中国所用的系统只是基于安卓的开源版本，和安卓只是部分兼容。为什么大家使用这种开源的安卓呢？简单的说就是图方便，用便宜的方式尽快做出来一个看得到的东西，以期卖给消费者。它的代价是性能和安全。安卓并没有针对车装环境做优化，它是个非常耗电的系统，意味着需要一个非常强大和昂贵的处理器。如果你要在软件上省钱的话，就得在硬件上花大钱。安卓的安全架构并没有考虑到车载电脑对安全的要求，所以只能用于对安全要求不高的信息娱乐系统。

《汽车观察》：People are worried about leaking personal information in connected cars， will APPs do that？

《汽车观察》：大家担心互联网汽车会泄露个人信息，车载应用是否会导致用户隐私外泄？

Pasi Nieminen：In mobile the security threat is to your personal information， but in a car its a threat to your life. If someone can take control of your car， you could die. A car is a complex multi-system environment and with the new demands and the new opportunities offered by software， security in cars is becoming ever more complex. All parties concerned have to work together to implement a secure platform for connected cars.

Pasi Nieminen：如果说手机的安全风险更多是个人信息的话，汽车互联危险则是生命。如果在行驶时，汽车被远程控制，可能会因此送命。现代汽车本身就是个复杂的多系统环境，加上新要求及软件带来的新机会，汽车的安全问题也会越来越复杂。所有相关方必须紧密合作，创造安全的车联网系统平台。

《汽车观察》：What can users expect from cars that have Internet+ connectivity？

《汽车观察》：消费者能够从互联网+的汽车上得到什么？

Pasi Nieminen：Infotainment features are important and easy for users to understand， but the Internet+ car is the foundation for a new generation of cars and transport. It is the key technology that will enable smart traffic. In smart traffic enabled cities， connected cars communicate with the city's infrastructure， leading to a safer and less stressful driving experience. The networks for entertainment and for infrastructure communication should be separate.

Today we are moving into a period of rapid software driven technological development and car manufacturers have to implement these changes very quickly. The key to that is an integrated， robust， flexible and secure high performance computing platform at the heart of their cars.

Pasi Nieminen：信息娱乐是很重要的功能，也容易理解。但是互联网+汽车是新一代汽车和交通的基础。它代表了智能交通的关键技术。在一个智能交通使动的城市里，互联汽车和城市有更多通信，目的在于创造一个更加安全的更少压力的驾驶体验。娱乐系统及通信系统必须要分开。今天，在快速地软件驱动的技术环境下，车厂必须要以非常的快的速度引入新的变化，这就需要一个集成度高的，健康的，灵活安全的，高性能的电脑系统平台。

未来讲的更多是关于交通，而不仅仅的汽车。汽车行业会被外部力量改变，软件公司将在汽车设计制造中有一席之地。未来的汽车不再是独立的，它们将通过各种系统被连接起来，成为真正的车联网。

链接：专家谈车联网安全

中国汽车工业协会秘书长董扬：

汽车是一个非常危险的产品，它是一个在极端状况下工作的产品，它高速移动，对于这个安全性，各方面要求非常非常高。车联网系统在不能有效解决病毒问题、防止被人恶意操控之前，是不能够用到汽车上的。

360攻防实验室车联网安全专家刘健皓：

通过反向控制去黑掉一辆车是很有可能的。今年的上海车展是以互联网汽车或者是智能汽车为宣传口号的，有些仪表盘都是液晶的电子仪表盘，黑客可以黑掉整个屏幕，比如：驾车行驶中，看不到转速。有一些车辆，有车联网的云端，会把所有车辆数据传到云端。但如果云端的安全防护做的不够，会泄漏很多数据，其中包括个人数据、行车数据。宝马的车联网系统就曾报过漏洞，黑客用一个伪基站在车的附近就可以把车门打开。

奇虎360公司董事长周鸿祎：

智能汽车，就是骑在一个有四个轮子的大手机上，通过3G、4G、未来5G的网络，或通过wifi、蓝牙，通过各种各样的通信协议，接入点越多可以被攻破的入口就会越多，同时防守的难度会越来越大。

特斯拉亚太区工程总监王文佳：

特斯拉从硬件、软件两个方面给车设置了很多道安全屏障，聘用了美国很有名的“黑客公主”负责特斯拉的信息安全工作。

安全是汽车系统的核心

SECURITY IS A KEY FEATURE IN CARS

In the past， access to the CAN bus was restricted by physical access to the car – if you couldn't get to the car then you couldn't get access to the CAN bus - but with connected cars we are seeing examples where the CAN bus can be attacked remotely. The security threat for cars has moved to a new level， and it is just going to get worse.

过去的汽车中，CAN bus（总线系统）是被物理隔离的，如果你不在车内，就无法碰触到CANbus。但是在互联汽车的语境下，汽车却可以被黑客远程攻击。汽车的安全风险已经上升到新的高度，如果没有解决方案，会越变越糟。

Car manufacturers are adding more software to cars， mechanical meters and gauges are being replaced by LCD panels and software， information is being integrated across the information cluster and the infotainment units. All this software being placed between the car and the driver is creating new vulnerabilities whereby a breach in the security could be used to deceive and trick drivers. External parties， such as governments， service providers and insurance companies， want to create applications for cars and this will create new security concerns. Adding more functionality makes systems more complex and more vulnerable.

车厂开始添加越来越多的软件在汽车环境中，机械表盘被LCD屏幕和软件替代，信息由信息群和信息娱乐系统整合起来。所有介于汽车和驾驶者之间的软件都带来了更多的风险，任何安全问题都可能会让驾驶者陷入麻烦的境地。所有的第三方们，政府，服务提供商和保险公司等都试图给汽车加上新的应用，而这都将带来更多的安全问题。随着功能的增加，系统会变得更复杂，也更危险。

On the desktop we are already very familiar with malware and attacks on our information， privacy and infrastructure. As cars are getting more connected and software driven， the same can be expected to happen in the automotive world. Malicious attacks are inevitable and must be anticipated and taken into account as part of the system design.

我们已经很熟悉电脑中的恶意软件对信息，隐私和环境的攻击。当汽车变得更加互联和软件化后，同样的风险也可能发生在汽车环境中。恶意的攻击不可避免，所以要在系统设计中充分考虑汽车的安全性。

How to design reliable and secure computing for connected cars

如何设计安全可靠的互联汽车电脑

Software security is not a feature. It cannot be added or plugged into a system after it is designed. Security has to be built in right at the core of a system. The key concepts in software security are the architecture and the design process. One approach to security is to physically isolate separate systems， but as the demand for computing in the car increases it becomes very expensive to keep adding separate devices and maintaining the different systems. On the other hand when implemented as part of the core security architecture virtualization is a cost efficient solution to isolating separate systems. An example of this is ARM platform's TrustZone which provides hardware-level security with software flexibility. TrustZone is a small operating system that is built onto the processor and is completely isolated from attack. By running virtualization on top of TrustZone you can isolate the different software systems from one another.

软件安全并不是一项功能，它不能添加或插入一个成型的系统中。安全设计存在于系统的核心。软件安全的核心理念是架构和设计的工作。保证安全的一种办法是从物理上分离系统，但是随着汽车电脑的要求增多，在汽车上添加设备和维护多个系统的成本会越来越高；而另一种节省成本的方法就是通过核心安全架构虚拟化来区隔不同系统。如同ARM平台的TrustZone提供了硬件级别的安全性同时提供了软件的灵活性。TrustZone是在处理器上的小型操作系统，它能完全避免被攻击。在TrustZone上运行虚拟机就可以把关键系统和其他系统隔离开。

Understanding connectivity in cars

理解汽车互联

Cars will have two types of connections， internet and V2X. The internet is too unreliable and too slow for vehicle-to-vehicle and vehicle-to-Infrastructure mission critical communication. Vehicle-to-Vehicle （V2V） and Vehicle-to-Infrastructure （V2I） connectivity is being introduced to cars to enhance safety by sharing information between cars and the surrounding infrastructure. In addition to increased safety， V2X connectivity paves the way for autonomous vehicles. The U.S. Department of Transportation （DoT） and the U.S. National Highway Traffic Safety Administration （NHTSA） have set out a timeline mandating the introduction of V2X connectivity in vehicles in the US. The European Union is also woking on their plan to mandate V2I applications.

At the same time， connected consumer applications such as music and video streaming are becoming more and more coommon in car infotainment systems and cars are being designed with pre-installed Internet connectivity options. While attractive to consumers， this trend opens up new security risks， especially as embedded systems offering these functionalities are consolidated. Therefore， an important requirement for the design of any comprehensive information system for cars is to ensure isolation between Internet connected applications and V2X connectivity. A vulnerability in an Internet connected application must not compromise the security of the V2X connections.

汽车的互联有两种，互联网和V2X。互联网（对于汽车）对V2X中的关键任务通讯来说，是非常不可靠和缓慢的。

车车互联和车与环境的互联旨在通过车与车、环境的信息共享来提高安全性。在提高安全性以外，V2X互联还促进了自动驾驶汽车的发展。美国交通部和美国国家高速公路安全管理局提出了在美国要求推广V2X的时间表。欧盟也在制定要求应用车与环境互联的计划。

与此同时，互联消费产品如流媒体音乐与视频在汽车信息娱乐系统变得越来越常见，越来越多的汽车设计出厂时预装了互联网方案。当这些功能被整合到汽车信息娱乐系统后，虽然获得了消费者的青睐，但这样的趋势却引起了新的安全隐患。

所以，一个设计任何综合型汽车信息系统都需要考虑到的重要需求是保证把互联应用与V2X互联隔离开来。一个互联应用的漏洞决不能让V2X连接的安全性受到损害。

Car Manufacturers and Software cultures clash

车厂和软件文化的冲突

Car manufacturers business is very different form the consumer driven smart phone world. In the car manufacturers world the focus is on cost-efficiency， liability and long product cycles. Most software companies have no experience of the automotive industry. Traditionally car manufacturers sourced their IVI systems， like any other part， from their regular tier-1 suppliers. However tier-1 suppliers do not have the computer hardware and software know how to design and maintain these complex systems. Car manufacturers， tier-1 suppliers and software companies face a challenge to meet the next generation car computing requirements. Maybe now is the time to re-think the car computing value chain.

车厂与消费者驱动的智能手机市场有着巨大的差别。对车厂来说，他们的重点是成本效率，产品可靠性和产品生命周期。绝大多数软件公司没有汽车行业的经验。

按照传统，车厂向常见的tier-1供应商获取IVI系统，就像其他部件一样。但是一级供应商缺乏计算机硬件和软件的专业知识来设计和维护这些复杂的系统。

车厂，一级供应商和软件公司面临下一代汽车计算机需求的挑战。也许现在是时候来重新考虑汽车计算机价值链。

（本文由凌动无限科技有限公司CEO Pasi Nieminen提供）