小事儿or大事儿?车机黑屏的安全之争
今年年初,美国国家高速安全委员会(NHTSA)向特斯拉下达了召回2012-2018年间生产的Model S和Model X的命令,原因是特斯拉使用了寿命较短的8GB eMMC闪存单元,造成车机黑屏,可能存在潜在安全问题。
然而,2019年更换新一代MCU硬件的Model 3在国内刚交付时,依然存在多频次黑屏死机事件,不过,后续通过OTA升级,已经大幅降低了车机黑屏事件的发生。但仍有特斯拉Model 3车主表示购车后每年都会发生一次黑屏情况,但不影响开车。
对此,多位业内人士对汽车之家表示,有可能是硬件故障,但软件出问题的可能性更大,且更大可能属于功能安全问题。传统时代汽车的安全主要是指主被动安全,后来有了功能安全。到了智能网联汽车时代,又有了预期功能安全和信息安全。
现如今,有部分言论称,未来智能网联汽车是4个轮子上的超级计算机,这也代表着未来智能网联汽车将遍布软件代码,即使是现在,车内代码数量已经达到上亿行。
纵观整个智能网联汽车,车机黑屏问题仅是其安全问题中的冰山一角,未来从云管端各方面,智能汽车都可能存在漏洞,一旦整车的操控系统被挟持控制,其后果自然不可想象。
数据存储致车机黑屏是行业共同难题
近两年来,“智能车机虽迅猛发展,但车机的硬件大部分都是从消费级硬件转型到车载硬件平台中来,并未通过车规级测试,对电子元器件有干扰时,会造成车机黑屏、死机等现象。”百度相关负责人对汽车之家说到。
就拿特斯拉所使用的8GB eMMC闪存单元来说,目前在汽车领域并没有相关法规对车企采用芯片的寿命或可靠性做强制约束。到目前,特斯拉8GB eMMC闪存单元最长使用年限仅为9年,而一辆车的全生命周期则在15年左右。
然而,特斯拉车机上的8GB eMMC闪存单元就像我们手机上的储存空间一样,即使更换了更大的存储空间,随着时间的推移,以及汽车所收集到的大量数据的上传,都会不断挤占储存空间,最后黑屏问题依然会出现。
“实际上这也是目前业内所面临的一个问题。”国汽智联信息安全部部长罗承刚说到,“在传统网络汽车安全中,一般不会太关注它的存储能力和计算能力,有足够的服务器能够支撑车内运转。但智能网联汽车中的车机系统相当于一台电脑,在数据量过于庞大时,其内存和CPU都会有影响。”
不过,罗承刚认为:“这造成大面积汽车黑屏可能性非常小,反而是会频繁出现车机卡顿问题,就像我们日常使用电脑一样。同时,结合到信息安全领域,比如车辆被攻击造成的破坏以及信息数据的泄露等,也是有可能引发黑屏问题。”
他还表示,业内之所以更加重视车机系统的安全问题,是因为它是整辆车上漏洞最多的地方。毕竟现阶段大多数车企的车载操作系统都是基于开源的系统定制而成,而只要是代码,就必然存在漏洞。2015年著名的勒索病毒入侵汽车事件,就是从车机系统入侵,逐渐控制整个汽车驾驶系统。
国家互联网应急中心高级工程师、车联网安全总工程师吴昊表示,车联网由封闭的终端转变为由云端可以大规模远程控制的网络化控制系统,在这过程中存在云管端各方面的远程渗透和控制,以及数据安全和数据泄露等重大风险。
车机黑屏是小事?
相关数据显示,去年中国车联网遭恶意攻击280万次,2019年工信部针对车企检查项目发现漏洞170多项,网联关键部件有85%以上存在安全漏洞问题。英国一份数据也显示,2019年1月-10月,针对智能网联汽车的网络盗窃事件发生了一万四千多起。
车联网受到的攻击如此之多,但业界对其安全问题却分为两种不同的观点。一方认为,随着以分布式域控制器为主的电子电气架构的应用,车机系统受到攻击所能够带来的影响是有限的。
如小鹏汽车相关负责人就表示:“智能汽车在车机系统集成了很多辅助驾驶、车内智能和娱乐的功能,但一般情况下,动力控制相关或安全相关的功能和娱乐系统是隔离开的,所以正常情况下,黑屏带来的驾驶危险是可控的。”
罗承刚也认为,新能源智能汽车的关键在于大三电小三电。大三电是指动力电池、电机和电控,小三电分别是电动空调、电动转向和电动刹车真空助力,这些实际上只是电控系统,没有太多的代码或软件在里边。
目前,特斯拉已经能够实现,部分造车新势力也是以域控制器作为主要电子电气架构,国内部分车企则暂时还没有相关布局。即使面向未来,实现中央计算单元式的电子电气架构,一样可以通过防火墙、网关等安全隔离措施,将各部分功能的网络安全所隔离开。
另一方则认为,“车机黑屏所造成的危害,主要还是取决于车机权限如何,如果仅仅是语音控制打开空调,或者打开车门这些,所造成的影响还是比较有限的。”腾讯安全车联网安全专家范士雄说到。
对此,百度相关负责人也表示,如果在车机仪表分离的车型中,车机黑屏只会影响信息娱乐,地图导航等行为。但在车机仪表融合的架构下,车机黑屏会影响人机交互系统,影响车主的驾驶,从而危害人身安全及公共安全。
从整个供应链来看,智能网联汽车向下是由模组、芯片、雷达、操作系统等一系列软硬件模块组成,向上则构建了互联网的生态、人车生活、人车路云智慧交通等,还连接了支付和社交。
因此,从网络攻击的视角来看,智能网联汽车暴露出更多的攻击入口,汽车与外部的每个接口都有可能被利用,每个单元都有可能会被攻击。而一旦CAN总线被攻击,那将成为电影中的画面。
据了解,所有的汽车控制指令和一些传感指令,都依托于CAN和CANFD这些传统控制器信号来执行,因此,如何保护CAN总线的安全,成为车企重中之重。
像丰田这些主机厂,其CAN总线是完全加密,使用的是丰田内部的加密体系,需端到端进行认证。此前,比亚迪也进行了相关网络攻击测试,从车载网关控制,到未来网关与域控制器的集成,都做了相应的技术储备。
智能汽车亟待统一安全防护体系
随着新四化的深入,智能网联汽车风险点、暴露面越来越多,车机系统安全问题仅仅只是其中的冰山一角。据了解,在云端,从网络到服务器再到应用,数据层面存在诸多漏洞。网络通信上,包括移动通讯、GPS,甚至Wi-Fi进厂的通信,都有可能存在相应的风险点。车端也一样,其内部就是一个局域网的架构,不管是硬件、软件、系统,还是网络、数据上,都存在很多暴露点。
因此,不管是从车机安全角度,还是整车智能安全方面,都需要行业共同的努力。
单从车机的角度来说,百度方面表示,从硬件层面,建议车机硬件电子元器件需要通过AEC-Q100车规级测试,进行功能安全、信息安全的测试,保障在汽车行驶的过程中不会因为环境的变化,运行的安全,网络攻击造成问题。
软件层面,主要分系统和应用,需要通过测试评价技术对系统、应用的稳定性进行全面客观的评价,保障稳定性、可靠性、有效性,在车辆系统运行时要监测运行崩溃的日志,网络攻击的日志,分析网络攻击,系统崩溃给车机带来的影响,全面保障车机安全。
智能水平的提升,让车企必须要对智能网联汽车进行全生命周期的安全设计,但这不利于降低用车成本。事实上,从2016年开始,部分企业和主机厂就已经开始了相应的布局,进行基础设施和相关人才的准备。另外在车端的防护组建也有相应部署。
罗秉刚说到:“从现状总体来看,继续贯穿车路云整体信息和数据安全体系,打通相应功能安全、预期功能安全与信息安全的融合体,打造完整的安全防护体系与基础平台。未来功能安全、预期功能安全和信息安全的界限会越来越模糊,大家要同步建设、同步考虑和设计。”
未来,“车辆的功能越来越强大,随着而来的也将会是严格的法律法规要求,所以车企也将会朝着合规方面的要求努力,做好汽车安全方面相关设计,这肯定是未来的大趋势。”范士雄说到。
编辑总结
无疑,汽车智能化的发展,让未来智能汽车的信息安全问题成为重中之重,各家车企也应该针对此进行相应的布局。同时,目前行业中对于汽车信息安全方面的研究人才也比较稀缺,未来车企该如何培养自己的安全团队,也是值得思考的问题。(文/汽车之家 白鸽)