汽車、電視也可能“被黑”“中毒”——智慧終端設備全生命週期防護亟待建立

新華社上海１１月２８日電（記者 周蕊）和電腦、手機等智慧終端設備一樣，隨著物聯網時代的到來，汽車、電視等也可能會面臨病毒和黑客攻擊，智慧終端設備的全生命週期防護亟待建立。

“物聯網”時代，“雲”裏也許“有壞人”

電腦會得病毒，智慧手機會中木馬，平板電腦也會被攻擊，隨著雲時代的到來，日漸向智慧設備終端發展的汽車、電視等家用電器，也一樣可能會面臨安全的風險。

英國的通訊領域安全專家Ａｄａｍ　Ｌａｕｒｉｅ曾經通過電視入侵了所住酒店的系統，並由此獲得大量房客信息，包括住房率、房客姓名、賬單、撥打電話和停留時間等。

過了一把“黑客”癮的Ａｄａｍ　Ｌａｕｒｉｅ日前在上海舉行的國際前瞻信息安全會議上分享了自己的這段經歷，他説，從一個小的漏洞入手，竟然能獲得這麼多的信息，完全出乎意料。“在物聯網年代，任何智慧終端都將可能成為攻擊對象，和電腦、手機不同的是，這些設備終端大多無人監管也從不更新，一旦被部署了漏洞，在其剩餘的使用壽命中都會一直存在威脅。”

和其他的“準”智慧終端不同的是，汽車是一個更為複雜的系統：一個普通車型擁有２５到２００個不等的ＥＣＵ（電子控制單元），高級轎車有１４４個ＥＣＵ連接，軟體代碼超過６５００萬行，無人駕駛的軟體代碼超過２億行；５年之後，每一輛智慧汽車每天産生的數據量在４０００ＧＢ左右。

３６０車聯網安全中心安全專家劉健皓説，隨著汽車中ＥＣＵ和連接的增加，未來黑客對汽車的攻擊面將大大增加，而車聯網時代的到來，黑客對汽車的攻擊可以脫離物理距離的限制，實現對千里之外特定汽車的攻擊，這就給車聯網時代汽車安全帶來了新的考驗。“當汽車被黑客控制之後，不僅駕駛者個人信息和隱私會洩露，還會直接帶來人身和財産傷害和損失，甚至直接影響公共安全。”

事實上，近年來已經發生了多起汽車信息安全事件：２０１５年７月，兩名美國黑客遠程破解並控制了克萊斯勒的ＪＥＥＰ汽車，克萊斯勒因此召回了１４０萬輛汽車；２０１６年８月，繼此前發現特斯拉汽車安全漏洞後，３６０汽車安全實驗室通過傳感器漏洞破解了特斯拉自動駕駛系統。

而在國際前瞻信息安全會議期間舉行的冬季ＨａｃｋＰＷＮ汽車破解大賽上，來自上海科技大學的Ｋｉｎｇ團隊僅用了兩分鐘就攻破了汽車電腦，成功劫持了汽車的儀錶盤，隨意控制儀錶盤上的引擎故障燈。

物聯網設備信息安全引發多方關注

預防基於信息系統或者網絡連接引發的新型安全隱患，汽車行業走在了前面。通用、特斯拉、大眾等多家汽車廠商通過公開招募安全人員、成立安全公司或者與安全機構合作的方式，來應對汽車的信息安全問題。

前不久，美國國家公路交通安全管理局發佈了《聯網汽車最佳網絡安全指南》，以幫助汽車製造商應對網絡攻擊可能給聯網汽車帶來的安全威脅。該指南建議，汽車製造商在研發階段就應考慮網絡安全漏洞問題。該指南通過細則指出如何防止汽車接入未授權網絡，保護關鍵安全系統和個人數據，以及如何從網絡攻擊中快速恢復等，並進行了廣泛的網絡安全測試。

今年１０月，中國汽車工程學會發佈的《節能與新能源汽車技術路線圖》中，信息安全成為智慧網聯汽車發展路線圖的重要組成部分，對汽車相關信息安全及汽車全生命週期信息安全保護技術進行了明確規劃。

一項針對國內汽車行業的調查顯示，信息安全已經引起各大汽車廠商的高度關注，大多數汽車廠商已經開始著手建立相應的體系、採取相應措施來保護信息安全，但受制于投入、人員、技術能力和經驗的不足，仍無法通過完善的體系來保證汽車整個生命週期的信息安全。

物聯網智慧終端亟待建立“全生命週期防護”

Ａｄａｍ　Ｌａｕｒｉｅ説，廠家需要明白，對智慧終端的安全防護不僅僅是在生産過程中的預防措施，還包括售後使用環節的安全防護，智慧終端全生命週期的防護已經迫在眉睫。

在國際前瞻信息安全會議期間，由互聯網安全企業３６０公司聯合多家高校、汽車及零部件企業組建的跨行業合作機構３６０車聯網安全中心宣佈成立。

３６０公司副總裁、首席安全官譚曉生介紹，安全中心旗下擁有２個汽車信息安全攻防研究團隊、３個實驗室、１個聯合研究院和一個汽車信息安全專業安服團隊，除了推出一系列汽車安全防護和檢測産品外，基於安全大數據的３６０車聯網安全運營平臺目前也已經投入運行，這一平臺可以向汽車行業和網絡安全行業實時輸出車聯網安全威脅情報，實現“時效防護”。