“我们测试过,国内25家车企的53款在售智能网联汽车中,我们共计发现漏洞1600余个,其中,云端漏洞1000余个、车端漏洞600余个。这些漏洞,可导致攻击者远程批量控制该品牌所有的智能网联汽车,或近距离非接触式控制汽车等。然而,遗憾的是,传统碰撞测试等手段无法发现当前汽车的数字安全隐患”。在2022年全国两会答记者会上,全国政协委员、360集团创始人、中国计算机学会计算机安全专业委员会副主任周鸿祎表示道。
智能网联汽车的安全关乎汽车产业发展与百姓的生命安危,为此,本次两会周鸿祎带来了《关于建立智能网联汽车“数字空间碰撞测试”长效机制的建议》的提案。
近年来,整个中国智能网联车呈现强劲发展势头,其发展速度与渗透率均超乎传统行业人的想象。然而,技术是把双刃剑。汽车的智能化、网联化不仅颠覆了汽车架构,也改变了安全。周鸿祎表示,作为产业数字化和数字产业化的交汇地带,智能网联汽车的本质是“软件定义汽车”。
这意味着智能网联汽车的安全问题,已超过传统物理安全,升级为更复杂的数字安全问题。周鸿祎指出,当前智能网联汽车面临四大风险:一是,代码数量增加使得车载系统安全缺陷激增;二是,网络连接汽车导致攻击面增加;三是,车企网联程度不断提高,云端成最大安全隐患;四是,数据驱动汽车,带来数据安全风险攀升。
可见预见,当前汽车的网络安全不仅在于车身网络,还包括车云网络、车数网络、车联网络、车企网络等多方面安全,而任何一个网络出现问题都可能导致汽车被攻击甚至物理损毁。事实上,360公司就曾发现某国际知名品牌汽车存在19个远程控制漏洞,利用该漏洞,攻击者可以非接触式打开车门、启动引擎、闪灯鸣笛,涉及在路车辆200余万辆。
然而,需引起警惕的是,面对如此巨大的数字安全风险隐患,传统碰撞测试等手段却无法解决。为此,周鸿祎围绕建立健全智能网联车安全机制,提出了三点建议,以确保智能网联汽车持续保持良好的数字安全状态。
一是,建立智能网联汽车“数字空间碰撞测试”机制和相关标准,保障汽车出厂安全和持续检测。通过依法合规地对车身网络、车云网络、车数网络、车联网络和车企网络进行渗透测试,发现汽车“云、管、端”全系统数字安全问题,保障汽车出厂安全。同时,在车检和软件在线升级环节,增加“数字空间碰撞测试”要求。
二是,建议规范汽车安全漏洞的上报行为,不恶意炒作和违规披露。鉴于汽车安全漏洞高度敏感,一旦泄露可能造成人身伤害和财产损失,相关部门需进一步加强汽车安全漏洞相关法规的执行力度,引导网安企业和黑客按规定程序上报汽车漏洞。
三是,打造以安全大脑为核心的智能网联汽车行业态势感知体系,建立汽车安全监管长效机制。该智能网联汽车行业态势感知体系能够把汽车、车企、车企供应链、路侧设施、云控平台等都连接打通,汇聚分析汽车安全大数据,及时发现安全风险和事件,全面掌握每辆汽车的数字安全状态,帮助监管部门和车企实现汽车安全实时全程“可见、可控、可管”,确保智能网联汽车始终处于良好的安全状态。