2015年FCA在北美有一起黑客研究的項目，白帽黑客查理·米勒成功“越獄”，證明Jeep是可以被遠程操控，F(xiàn)CA為此在北美召回了140萬輛的自由光。代價是數(shù)月的時間和上億美元。

2016、2017年，騰訊旗下科恩實驗室連續(xù)兩年做了特斯拉網(wǎng)聯(lián)汽車的安全研究，發(fā)現(xiàn)了很多可以通過遠程方式控制特斯拉，并且做到遠程控制汽車。

不但在駐車情況下可以控制車身的功能，車窗、車門、方向盤位置調(diào)整等等，而且在行駛過程中可以控制剎車，可以控制一些高危動作，會造成一些嚴重的行車問題。

2018年2月底，科恩實驗室向?qū)汃R集團報告了寶馬3系、5系、7系、X系和I系列車型的安全問題。

以上，是騰訊科恩實驗室高級總監(jiān)呂一平在剛剛結(jié)束的騰訊“云+未來”峰會汽車專場論壇中演講提到的。

呂一平的現(xiàn)身說法，告訴了我們一個諱莫如深的事實：不用等到自動駕駛，也不用看“速度與激情8”，僅僅是存量市場中占有率不足20%的網(wǎng)聯(lián)車，就都存在被“一雙看不見的手”黑掉的可能。

汽車網(wǎng)絡(luò)安全隱患常在

汽車被黑客黑掉，并不是危言損聽，以引領(lǐng)行業(yè)潮流的特斯拉為例。在2014年7月舉行的特斯拉破解比賽中，劉健皓因為職責所在，預破解特斯拉作為測試，也成為全球首個破解特斯拉的人。

他通過給車主發(fā)一個鏈接，車主只要點擊鏈接，他就可以獲得車主的APP登陸身份，實現(xiàn)不用鑰匙打開車門。而特斯拉在行駛過程，需要鑰匙不斷發(fā)出“心跳信號”，以確認車主的鑰匙在車上。利用電腦模擬這些信號，就可以正常駕駛特斯拉了。

圖：劉健皓和美國汽車黑客查理·米勒（這位就是開頭提到破解FCA的）和瓦拉塞克

2014年10月25日，特斯拉面對有駭客聲稱“破解”Model S一事，做出聲明：如果對任何車輛——不僅僅是Model S——進行物理接觸，都會大大增加其被破解的可能性。我們從目前得到的信息判斷，這輛被“破解”的Model S很有可能之前遭到物理干預。

近日，一個網(wǎng)名為Ingineerix的特斯拉愛好者社區(qū)成員就破解了Model 3， 進入了車輛的工廠模式，爆出了特斯拉電池組容量的數(shù)據(jù)。

特斯拉的Model S， Model X 和Model 3屢遭破解，首席執(zhí)行官埃隆·馬斯克對此表示特斯拉正在做出努力，以確保汽車不受互聯(lián)網(wǎng)“入侵”問題的影響，防止汽車被破解將成為公司的首要安全任務(wù)之一。

作為新概念“聯(lián)網(wǎng)智能車”的扛把子，特斯拉理所當然的被黑客視作證明實力的小白鼠，而從以往經(jīng)驗上來看，只要有“計算機”的影子，被破解接管只是時間和黑客意愿的問題，并沒有所謂的不可逾越的障礙。

那么，隨著智能網(wǎng)聯(lián)車成為國家戰(zhàn)略，OEM、Tier1、供應商都在努力推進剩下不止80%的車上網(wǎng)，而汽車的網(wǎng)絡(luò)安全問題似乎一直處在“事實上的被忽視”。

呂一平表示，無論特斯來還是寶馬，從其實際打交道的過程中，可以感受到他們對汽車安全的重視程度，在響應速度和人員配合度上，都值得褒獎。而回看國內(nèi)OEM，有幾家能在汽車安全領(lǐng)域做到如前兩者？呂一平的心里沒底，相信全國的OEM也沒底。

OEM流量免費下的安全空白

2016年斑馬推出全球第一輛互聯(lián)網(wǎng)汽車，到2017年杭州·云棲大會，斑馬網(wǎng)絡(luò)前CEO施雪松表示已經(jīng)做了五次空中升級，每一次升級都給用戶帶來不同的驚喜，而且這些驚喜都是在無感當中悄悄的發(fā)生。

云棲大會進行的時候，斑馬智行2.0也正式開始推送升級，此次升級，被稱為全球最大OTA空中升級。

德國寶沃BX7推出了終身質(zhì)保+車聯(lián)網(wǎng)終身免費使用+車聯(lián)網(wǎng)首年流量免費的政策。

長安逸動提供終身免費的基礎(chǔ)流量服務(wù)，包含導航實時路況、在線語音、遠程車況查詢、車載系統(tǒng)及新功能升級等服務(wù)；而且在線音樂、在線電臺（酷我音樂、喜馬拉雅FM）在2年內(nèi)，可以不限流量免費使用。

領(lǐng)克作為沃爾沃和吉利聯(lián)合研發(fā)的高端合資品牌，該車提供了三大終身免費服務(wù)，即為車主提供終身免費質(zhì)保、終身免費道路救援和終身免費流量。

上汽名爵ZS以“潮流互聯(lián)網(wǎng)SUV”作為口號，全球第一臺自帶支付寶功能的互聯(lián)網(wǎng)SUV，提供了互聯(lián)網(wǎng)基礎(chǔ)服務(wù)、基礎(chǔ)流量終身免費的優(yōu)惠政策。榮威RX5是首款推出終身流量年費的車。

越來越多的OEM在推出汽車流量免費的政策，汽車的OTA升級未來也將會成為常態(tài)。那么作為互聯(lián)網(wǎng)中的一個“超大移動端”，汽車的網(wǎng)絡(luò)安全是否被OEM考慮過？

答案可能是“力不存心”。幾乎所有的OEM，在保證汽車安全的措施方面，唯一能做的就是不開放CAN協(xié)議，至于網(wǎng)絡(luò)信息安全，并不在其能力范圍內(nèi)，要做相關(guān)的防范，往往需要單獨配置安全研究人員。

此前，東風汽車有限公司副總裁馬智欣曾表示，東風引入了全球頂級的車聯(lián)網(wǎng)安全團隊對部分即將上市的具有“智能”功能的汽車進行全方位的診斷。

東風除了傳統(tǒng)的防護手段，如安裝殺毒軟件、配置防火墻和入侵檢測系統(tǒng)外，還導入了安全行業(yè)內(nèi)領(lǐng)先的郵件沙箱技術(shù)，所有進入內(nèi)網(wǎng)的郵件附件將送入沙箱模擬運行，確認安全后才會發(fā)送給用戶，這在很大程度上杜絕了勒索病毒進入內(nèi)網(wǎng)的可能，極大提高了東風有限內(nèi)網(wǎng)的安全等級。

除了建立信息接入黑名單，企業(yè)還建立了白名單，是允許進入的網(wǎng)址，主動接納，雙層保護。

中國汽車智能服務(wù)聯(lián)會秘書長張砼曾表示，在汽車安全方面，目前國內(nèi)做得最好的應該是沃爾沃，它在安全方面領(lǐng)先其他車企7個月的時間。其在國內(nèi)不同省市的將近100款車做了測試，大部分的汽車安全測試都停留在理論和實驗室階段。

誰來為安全做主？

補天漏洞響應平臺總經(jīng)理白健表示，目前補天漏洞響應平臺主要是匯聚民間的力量，所以需要產(chǎn)業(yè)實現(xiàn)規(guī)模化之后，才可以有更多的分工與協(xié)作。

艾拉比智能科技有限公司總裁芮亞楠表示，現(xiàn)在需要通過車聯(lián)網(wǎng)安全聯(lián)盟平臺匯集安全產(chǎn)業(yè)里的一些龍頭企業(yè)，利用合作共同推進汽車安全市場發(fā)展。

涉及到OTA的遠程升級，由于事關(guān)功能和信息安全，整個OTA流程中的信息安全防護尤為重要，僅有基礎(chǔ)設(shè)施保護是不夠的，因為OTA的漏洞可能出現(xiàn)在任何一個環(huán)節(jié)，還要在系統(tǒng)實施過程中進行滲透測試，并根據(jù)滲透測試過程中出現(xiàn)的問題進行防護。

占據(jù)了極大的車載信息娛樂系統(tǒng)以及車聯(lián)網(wǎng)系統(tǒng)份額的QNX系統(tǒng)，是黑莓旗下的產(chǎn)品，通用Onstar、寶馬ConnectedDrive、奧迪MMI均采用了QNX技術(shù)。

在北美展上黑莓推出了一款軟件網(wǎng)絡(luò)安全產(chǎn)品——BlackBerry Jarvis。它是基于云端的靜態(tài)二進制代碼掃描解決方案，能夠有效識別車載軟件中存在的安全漏洞。以往需要眾多專家花費大量時間進行人工掃描，而Jarvis則可在數(shù)分鐘內(nèi)完成掃描并提供具有深度的實際性操作建議。

目前黑莓已經(jīng)開始與捷豹路虎等汽車制造商合作，捷豹路虎首席執(zhí)行官拉爾夫·施韋德表示：“BlackBerry Jarvis能夠幫助解決汽車行業(yè)的軟件網(wǎng)絡(luò)安全需求。在我們的獨立研究中，Jarvis能夠有效提升產(chǎn)品上市效率，安全代碼評估時間從三十天下降到七分鐘。 Jarvis帶來的效率提升與BlackBerry可靠的安全傳統(tǒng)相結(jié)合，可以改變車輛的安全性。

除了與OEM廠商直接相關(guān)的系統(tǒng)、升級等軟件方案商，在為汽車網(wǎng)絡(luò)信息安全、功能安全做努力，還有傳統(tǒng)的互聯(lián)網(wǎng)公司也在涉足。

比如由劉健皓領(lǐng)銜的360智能網(wǎng)聯(lián)汽車安全實驗室，由吳石領(lǐng)導的騰訊安全科恩實驗室等等，都在進行汽車網(wǎng)絡(luò)安全領(lǐng)域的研究。

呂一平表示，要保證汽車信息安全，需要具備三個能力：專業(yè)團隊、引入好的安全技術(shù)和工程方法到汽車的研發(fā)和測試過程中、OEM快速響應。科恩實驗室目前已經(jīng)有多家OEM和我們一起共同開展了研究類的項目，比如OTA。

但安全，永遠沒有辦法量化，也難走出皆大歡喜的商業(yè)化道路。這一點在傳統(tǒng)pc、移動端已有應驗。

無論科恩還是360，其安全實驗室的人員都捉襟見肘，互聯(lián)網(wǎng)安全更多時候還是處在一種“為人民服務(wù)”的“尷尬生存”狀態(tài)。當汽車網(wǎng)絡(luò)安全迎面襲來，直接關(guān)系駕乘人員生命安全，不知道人們還愿不愿意為安全買單？