如何保護智能車輛遠離網絡攻擊？

出色的網絡鏈接功能已成為很多車主買車時的主要評選標準，無線手機充電器、數據傳輸、實時掃描路牌和傳感器、遠程啟動車輛等人性化的功能大大提高了我們的駕駛舒適度。然而，任何事物都有正反兩面，這些便捷功能同樣也是雙刃劍，會使車輛面臨潛在的網絡安全風險。數據顯示，2010年至2021年間，影響聯網車輛的安全事故中，7.3%都與配套的移動應用程序有關。

遠程劫車不僅僅存在于電影之中

有大量實驗數據表明，聯網后的車輛很有可能被黑客入侵和劫持，比如操縱內部代碼和數據，通過信息娛樂系統發送有害信息，利用軟件和聯網設備中的漏洞獲取訪問權限，以及部署拒絕服務攻擊致使車輛出現故障等等。

其中新興的威脅途徑具有更大的破壞性。據觀察，利用API漏洞遠程訪問和控制車輛、竊取車輛以及破壞關鍵功能的攻擊趨勢顯著提高。此外，攻擊者還能夠利用充電站攻擊電動車輛、實施假冒欺詐以及破壞充電站使其無法正常工作等。

以上觀點不僅僅只是電影中的場景，Argus的研究人員利用博世Drivelog連接器的漏洞，成功地破壞了一輛行駛中的汽車的發動機；由于TeslaMate日志軟件存在漏洞，安全研究人員David Colombo成功地遠程訪問了分散在全球各地的數十輛特斯拉車。

另外，并非只有網絡安全研究人員才對利用聯網車輛的漏洞感興趣。據報告稱，2021年針對車輛的網絡攻擊比2018年猛增了225%，其中惡意行為占比高達54.1%。攻擊事件中大約85%是遠程執行的，40%針對后端服務器，38%涉及數據/隱私泄露，20%影響控制系統，無鑰匙進入和車鑰匙攻擊占所有車輛盜竊案的50%。2022年上半年，充電站聯合攻擊事件持續增加，這為大規模破壞充電能力、獲取管理特權和勒索軟件攻擊電動汽車用戶鋪平了道路。

聯網車輛的風險防范

與其他任何物聯網設備一樣，聯網車輛也容易受到網絡安全風險的影響。如果沒有落實適當的網絡安全控制措施，智能車輛就有可能變成攻擊武器。隨著車聯萬物（V2X）和蜂窩車聯網（CV2X）技術網絡不斷發展，攻擊者可以探索無窮的攻擊方法，智能車輛生態系統中的任何漏洞都可能淪為武器，導致大規模破壞。

數據顯示，針對聯網車輛的新興網絡威脅包括：針對通信通道的威脅--89.3%；針對車輛數據/代碼的威脅--87%；未打補丁的漏洞--50.8%；針對車輛連接和網絡連接的威脅--47.1%以及針對后端服務器連接的威脅--24.1%。

2021年，智能車輛中發現的通用漏洞披露（CVE）比2020年暴增了321%。有26個關鍵漏洞和70個高危漏洞，其中未經授權的藍牙配對漏洞（CVE-2021-0583）和車載信息娛樂操作系統漏洞（CVE-2021-22156）可用于執行DoS攻擊。運行Apache Log4j代碼庫的聯網車輛和充電站容易受到Log4Shell漏洞（CVE-2021-44228、CVE-2021-45046和CVE-2021-45105）的影響。

這些漏洞通常能夠被用來破壞車輛到電網（V2G）基礎設施、固件空中升級（FOT）更新、車載信息娛樂（IV）系統以及控制車輛重要功能的數字密鑰。

據預測，到2023年全球汽車行業交付的聯網車輛預計將超過7600萬輛。汽車行業的增長和轉型擴大了網絡攻擊面，導致商業風險劇增。預計到2024年，預計汽車行業因網絡攻擊而蒙受的損失將超過5000億美元。以此來看，智能車輛市場獲得的大部分利潤將因網絡攻擊而蕩然無存。

為了幫助解決這一問題，除了網絡安全監管標準外，聯合國歐洲經濟委員會（UNECE）已推出WP.29 R1552和R1563法規以及ISO/SAE 21434標準，要求智能車輛制造商必須優先考慮充分的安全控制措施，以減小攻擊面，盡量降低智能車輛的網絡安全風險。

如何為智能車輛保駕護航？

保護聯網車輛的網絡安全不僅僅是汽車制造商的責任，車主同樣應該盡己所能盡量減少數據訪問和數據泄露。以下將為您介紹一些可以保護聯網車輛安全的簡單建議。

• 限制與智能車輛共享的個人信息，包括如何保存家庭地址（一些車輛在更新后要求車主用智能鑰匙創建一個用戶配置文件，應拒絕創建）。
• 隨時更新手機，確保應用程序可安全安裝。
• 不要將手機與租賃的車輛同步，那樣可能會泄露個人信息。
• 及時更新固件，但請勿在行駛途中更新。
• 確保USB適配器等聯網設備未含有惡意軟件。
• 盡量避免把車輛連接到家庭網絡。如果非要這么做，應在專用信道上進行連接。
• 使用車密鑰時要留意周圍環境，并盡量減少使用。
• 只在安保措施到位（比如裝有監控攝像頭）的專用充電站給電動車輛充電。
• 通過車輛連接到社交媒體時，避免點擊可疑鏈接。
• 在車輛接入互聯網以后避免訪問可疑網站。
• 儀表盤顯示異常時不啟動車輛，除非確定信息娛樂系統沒有被入侵。

網絡安全風險不應該成為阻止車主享受駕駛智能汽車樂趣的絆腳石，每一位智能車輛的車主都應該盡可能做出完整的車輛信息安全保護措施。此外，汽車制造商應確保安全工程原則融入到汽車開發生命周期的每個階段中；第三方供應商也應該實施適當的控制措施，盡量減少數字供應鏈漏洞被利用，從而在維護聯網車輛的完好性方面起到重要作用。