智能汽车时代,联网的算力正在成为技术主角,除了汽车本身硬件的安全之外,软件安全也被提升到了重中之重。于是,360这一类安全公司也就有了存在的重要意义。
智能汽车时代,联网的算力正在成为技术主角,除了汽车本身硬件的安全之外,软件安全也被提升到了重中之重。于是,360这一类安全公司也就有了存在的重要意义。
周鸿祎宣布三六零(601360.SH,下称360)投资哪吒汽车已经两个月了,据悉交易也在按照相关协议正常履约。但这中间质疑和不看好的声音一直不断,业内很多人认为360切入汽车领域,没有任何优势可言。
但是,如果你看过美剧《上载新生》,你就会知道未来的全自动驾驶汽车,万一被黑掉的下场。
无论是传统汽车时代,还是未来的智能汽车时代,安全永远都是核心中的核心。
之前,很多人都会说,电动车现在是个人都能做,搞搜索的百度能干,造手机的小米能干,甚至造电视的创维也能干,因为技术已经实现模块化,就是大号手机。手机出问题了,你最多损失点钱,但是车出问题了,你损失的就是命。安全性这一关,其实是这两种产品的根本区别。
智能汽车时代,联网的算力正在成为技术主角,除了汽车本身硬件的安全之外,软件安全也被提升到了重中之重。
于是,360这一类安全公司也就有了存在的重要意义。
自动驾驶已成定局
所有的汽车玩家都在押注自动驾驶,这个趋势已经不可阻挡。而自动驾驶的一个前提条件就是车联网,车联网已成为汽车产业和新兴技术的重要组成部分,逐渐成为智能交通、智慧能源、智慧城市等系统的重要载体。根据麦肯锡的报告:自动驾驶汽车的全面普及可减少90%的交通事故,每年可减少1900亿美元的损害赔偿和医疗费用,挽救成千上万人的生命。尽管如此,距离自动驾驶走向L3还有很多的技术难题需要去突破。值得注意的是,车联网技术发展至今,还没有实现真正的成熟,刚处于起步阶段。即使是自动驾驶领域风头最劲的特斯拉,彭博社报道,其内部系统曾多次出现宕机,多名车主被困车内,甚至有车主被困在沙漠多时而无人救援。而且近日,国家市场监督管理总局针对特斯拉主动巡航控制系统问题发布了一则召回信息,要求特斯拉在国内召回问题车型28.5万台。召回原因为主动巡航控制系统存在问题,容易导致主动巡航控制被误操作,存在一定安全隐患。联网的汽车常被视为可移动的智能终端,并经常拿来和智能手机相比对,但是前者产生的危险有甚于后者。一旦联网汽车的系统出现安全漏洞,就很容易遭受黑客的袭击,轻则造成个人隐私的泄露,重则危及人身安全,不仅对车主造成伤害,甚至会危及路人。更有甚者,联网的汽车很可能成为被恶意操控的工具,直接危及国家公共安全。吉利一位前高管告诉陆玖财经,有人预计2030年会实现车联网,但是其表示这个时间会有所推迟,而若想迎接这个时代的到来,那么必须实现网络百分百安全,否则这个时代不会到来。那么,自动驾驶带来的智能汽车时代,面临着什么样的安全问题?
重新定义汽车安全
在传统汽车领域,沃尔沃是一家靠安全安身立命的企业,它利用自己在安全领域的优势,在豪华车中占有一席之地。那么在未来的电动智能汽车时代,安全还能再撑起一家车企吗?答案是肯定的,因为车和生命直接挂钩。但是,未来的安全和今天的安全,在定义上已经发生变化,以前的车辆是一个个数据孤岛,未来的车辆是数据链接在一起的计算平台,那么安全这个概念即将被重新定义。360董事长周鸿祎在月初接受媒体采访时表示:“安全就不光是说在车上的安全,今天车的安全更多的是服务器的安全,车厂的安全。就我们了解,今天所有对车的劫持90%是通过入侵车厂的网络,因为车对车厂服务器,OTA传来的指令是百分之百执行,所有车都具备遥控、遥测的能力,我们现在在帮助哪吒整个把他的后台做安全的重新的构造。”360安全专家祁阳告诉陆玖财经,360统计了从2016年以来联网汽车的相关安全漏洞,其中主要包括有传感器干扰和欺骗漏洞,也就是使错误的数据进入系统则会使自动驾驶系统产生错误决策,从而实现对汽车自动驾驶的攻击。其二是安全气囊漏洞,通过接入OBD 连接器或者车内CAN 网路发送指令对气囊攻击,对车内人员造成伤害。祁阳提到了车载娱乐系统漏洞问题。联网汽车的车载娱乐系统或者中控系统的功能越来越多,未经授权的攻击者可能可以自由执行解锁/锁闭车门、鸣笛、获取车辆位置记录信息等一系列操作。此外联网汽车云端漏洞也是需要注意的问题之一。黑客入侵云端服务器后不但可能会导致汽车用户数据的泄露,也可能会直接接管车辆的控制权,形成“僵尸汽车”。祁阳还提到了汽车遥控钥匙漏洞,接端口漏洞,和无线远程攻击漏洞。汽车遥控钥匙漏洞是指通过中继攻击的方式远程打开车门,启动车辆;外接端口漏洞体现在通过外接端口可能会重写或者修改主机固件,以root权限对汽车进行任意参数配置等;无线远程攻击漏洞表现为有些车辆内置wifi service,通过钓鱼热点连接后可达到远程攻击的目的。也就是说,传统车厂要解决的是传统的安全问题,而互联网公司进来之后,要解决的是网络安全问题。周鸿祎认为:“我们互联网造车,如果没有车厂的制造能力,先进制造业的能力,互联网人是造不出汽车的。但是,反过来,互联网最重要的是把自己做产品的思路,做技术的思路,特别是把软件、网络、大数据、安全这几个方面的能力赋能给他们。”
今天的联网汽车安全吗?
今天在路上跑的车辆,很多已经都联网了,这些还没有实现自动驾驶的汽车,安全吗?360曾发现了19个奔驰关键漏洞,在奔驰德国和美国的服务器上,通过这个漏洞可以控制2017年以后出厂的全球600多万辆车,无论这个车跑到全世界哪个地方,只要联网,就可以远程启动、远程停止、远程开启车门和天窗。陆玖财经与多位安全公司专家沟通发现,车联网安全目前面临三方面挑战。首先是车辆数据安全需要加强监管。Tesla汽车等自动驾驶功能的汽车,具有多种形态的传感器装置,而车辆行驶中获得的道路高精度测绘数据,与国防领域息息相关,应得到严格监管。其次是车联网安全漏洞需要高度重视。汽车智能功能外溢严重,功能越丰富,相应的攻击面越多。比如汽车数字钥匙,区别传统射频信号的车钥匙,具有手机APP、NFC卡多种形式,提供如远程预热、关闭车窗等丰富的控车体验。近三年Tesla汽车的重大安全漏洞,就有四起与Tesla汽车数字钥匙相关。最后,就是车联网新技术推广应用方面,安全建设要跟上。近年来V2X做为车联网新兴技术,广泛应用于智能公交、无人驾驶等领域,用于辅助驾驶或减少交通事故。但V2X相应的安全防护能力相对单薄,目前仅仅依靠PKI机制。研究发现,攻击者可轻松伪造红绿灯交通信息,控制无人驾驶车辆违背交通信号行驶,从而造成安全事故。总的来说,智能网联汽车面临的安全风险主要来自于车载终端 、数据服务平台、V2X通信和外部生态等方面,根本上是在智能网联汽车业务场景的应用层面,对信息安全的考量不足,缺乏针对信息安全的系统性安全保障体系。
智能汽车还在早期阶段
目前,还没有任何一家汽车真正做出L5级别的自动驾驶,所谓自动驾驶时代,只是看到了影子,还没有真正来临,于是一切都还有机会,并且现在大家在各个环节做的也并不完美。周鸿祎投资哪吒汽车,就是依据汽车安全第一的特性,得出的结论。周鸿祎表示:“360在安全方面有很多的积累,比如互联网的安全,工业互联网的安全,物联网的安全,我们看车里的安全不仅仅看车里组件的安全,车里芯片的安全,还有云端的安全。因为现在观察到对车的劫持,更多来自于对车厂传统物理上的攻击,从而在云端对车的劫持。”360为何不自己下场造车,而是通过投资形式切入市场呢?对此,周鸿祎的观点是,360做了一些工作,发现不能深入介入到造车过程中,360可以帮助一些车企发现漏洞,帮助一些车企做一些模拟的攻击,做一些测试发现问题,帮助车企以及车企上下游供应链建立更好的一套安全终极解决方案,但是360本身在制造方面是没有积累的。他表示:“我们希望通过和哪吒的合作,把我们的安全能力全部输出给哪吒,因为我们是哪吒的股东,大家不是简单的商业关系,是合作造车的关系,我们来参与造车。造车过程中,我们会以哪吒作为样板,让我们的安全能力在哪吒各个车型上得到验证,得到深入的体现。”最终,周鸿祎其实还是希望能够通过哪吒的成功案例,把智能汽车安全这个概念彻底打通,能够让更多的车厂采用360的底层技术,通过这一次投资,彻底切入到未来的汽车安全领域。周鸿祎坚持认为,即将到来的自动驾驶智能汽车时代,360将有一个颠覆行业的机会。在他看来,做车对他有巨大的诱惑。周鸿祎一直将自己定义为两个角色,首先是一个软件工程师,其次是一个产品经理。在周鸿祎的价值体系里,有一个梦想一直没有变过,从18岁到48岁,可能到58岁也不会改变。他一直认为,最牛的人就是能做出新产品,然后被很多人使用,通过产品影响人的生活和工作方式,进而影响这个世界。这就是从0到1的创新精神,周鸿祎至今还有这个梦想,是因为他目前还没有做出这个产品,所以他依然在坚持。