凤凰网汽车

近日，在北京召开的2021世界智能网联汽车大会上，中国软件评测中心总工程师陈渌萍发布了最新的智能汽车信息安全测试结果：

11辆最新款、做了安全防护的车型，无线网安全问题占73%，车机和移动终端的APP逆向问题占64%，非授权访问敏感数据问题占45%，个人信息未授权访问占18%……

这一结果让业界大为震惊。

汽车智能化加速，安全隐患日益凸显

根据国家工业信息安全发展研究中心发布的《智能网联汽车数据安全研究》显示，2020年我国智能网联汽车销量为303.2万辆，同比增长107%，市场渗透率约为15%。

另外，有相关数据显示，智能网联汽车数量快速增加，预计到2022年，智能网联汽车预计会超过7800万辆。

随着汽车智能技术的不断发展，一方面智能网联汽车的出现为人们的出行带来更便捷、更舒适的驾乘体验。但另一方面，由于智能汽车在运行过程中需要采集海量的数据，包括个人信息数据、环境数据、车辆控制数据等。

中国软件评测中心总工程师陈渌萍通过介绍整车测试渗透结果，更加具象地展示了当前自动驾驶面对的数据安全问题。

1、无线网安全问题占73%

陈渌萍介绍说：“我们中心今年进行的整车信息安全威胁分析及渗透测试中，共测试车型11款，包括电动车5款，燃油车5款，混动1款，都是最新款的车型，也是进行了安全防护的车型。”

根据测试结果显示，自动驾驶的安全威胁问题中，无线网安全问题占到了73%，车机和移动终端的APP逆向问题占到64%，非授权访问敏感数据占到45%，个人信息未授权访问占到了18%。

2、安卓系统成重灾区

安卓系统成为了重灾区。陈渌萍表示：“被测车型中，IVI（车载信息娱乐）系统大多数是基于安卓开发的，也有鸿蒙和自研的操作系统。基于安卓开发的系统中，安卓原生的信息安全问题自然被延伸到了车载信息交互系统，这类问题占到82%。其中，56%的系统可以通过非授权访问用户的个人信息，并可以获取车辆信息、位置数据、绘画密钥等等敏感信息。”

3、防范GNSS欺骗攻击

新增的GNSS攻击同样影响智能汽车的安全性。陈渌萍介绍说：“GNSS攻击是针对全球导航卫星系统的欺骗。简单来说，GNSS攻击是一种智能的干扰形式，干扰者的无线电发射器会将伪造的GPS信号发送到目标接收器，目的是使接收端误解为真实信号，从而诱发危险行为。

陈渌萍进一步解释：“如果是特种车辆遭到GNSS攻击会造成严重的危害，比如救护车送危重病人的过程中，GNSS出现错误，车辆就可能行驶到错误的路线上，威胁生命的安全。”

而根据测试结果显示，有64%的被测车辆在这个缺陷上中招，这个比例还是非常令人触目惊心的。典型案例是，救护车送危重病人的过程中，GNSS出现错误，车辆就可能行驶到错误的路线上，造成生命的安全。

4、智能网联汽车数据安全

近年来，智能网联汽车数据安全问题一直被大家广泛关注。

“个人信息和敏感数据占比非常大。”陈渌萍表示，“非法获取完整的IVI升级包占到了40%，获取明文存储的密钥和证书文件，这类缺陷占到了60%，日志文件非授权读取拷贝占到了60%，非授权访问用户数据也占到了40%，获取完整的IVI固件包占到20%。”

那么，究竟谁窃取了智能网联汽车数据呢？

①APP数据泄露

论坛上，上海银基信息安全技术股份有限公司首席执行官单宏寅介绍说：“中国有200万个APP用户大型主机厂的服务系统，APP的数据泄露问题严峻。”

当你的车停在路边，通过车上的运号加上APP，可以完整地获取这辆车本身所有的个人信息，包括姓名、驾驶员的身份证号，甚至是银行卡号。随之而来的危险是什么？通过伪装用户本身，可以真正完全控制、驾驶这台车。

②充电桩充电数据泄露

用充电桩充电也存在数据泄露风险。单宏寅表示：“电动车充电的时候会发生大量的数据交换和信息交换。去年，我们研究团队在针对某世界级充电桩厂商调研，发现在OTA上固件升级存在严重漏洞，可以云端下载给固件，把固件放到充电桩里面，通过远程控制，可以完全把充电桩的交互数据拿下。这种潜在的充电桩威胁，可以控制上百万个充电桩发动物联网和整个网络的攻击，甚至影响我们国家供电的基础设施。从固件升级角度来说，这是一个非常重要的数据安全的问题。”

③车路协同技术

车路协同技术在试验过程中同样存在风险。单宏寅分析称：“车路协同的路侧信息同样可以被篡改，把路侧设备的信号和信息无缝地传递到车端，在车端假设认知是一个绿灯的时候，可以改成红灯，直接影响到自动驾驶的可靠性。”

个人信息泄露后，智能汽车被远程控制的风险极大。单宏寅展示了一个案例，一个世界级主机厂的电动车由于个人信息和帐号泄露了，研究团队不仅可以直接打开车门，而且可以实现远程控制，真正做到无人驾驶。

在单宏寅看来，汽车制造商，软件供应商、服务商，甚至是维修机构都是汽车数据的处理者，而智能汽车数据收集、存储、使用加工和传输过程中都存在风险。

智能网联汽车安全问题亟待解决

以上种种，让人不得不在享受之智能汽车舒适、便利的同时，加速对其安全问题的深入审视。

据一位业内研究人员表示：”一辆智能网联汽车每天至少收集10TB的数据，不仅数量极大，而且涉及驾乘人员的出行轨迹、习惯、语音、视频等等，一旦遭受侵害会泄露个人隐私。甚至可能威胁国家安全。”

所以，智能网联汽车的信息安全问题如何解决？成为了当下汽车智能化发展的重中之重。

在本次论坛上，公安部交通管理科学研究所副所长俞春俊介绍说：“当前，我们重点关注以下两个问题。一是汽车身份认证尚存在安全漏洞。二是路侧设施存在的安全风险。”

针对上述问题，公安部提出了针对性的解决方案。俞春俊介绍说：

一方面，我们初步建立了一套涵盖技术、装备、标准、应用的机动车电子标识技术体系，为车辆身份认证提供了解决方案。未来，我们希望进一步深化车辆合法身份的安全认证技术，从根本上解决在途车辆身份唯一性确认的问题。

另一方面，为了从源头解决路侧设施存在的安全风险，探索智能汽车和智能的路侧安全设施管理方法，我们去年底发布了公安行业标准《道路交通信号控制机信息发布接口规范》，明确了路口信号灯状态等信息的实时交互要求，有助于推动交管数字新基建，推动我国车联网、智能汽车产业高质量发展。

事实上，在智能网联汽车安全方面，各车企也纷纷亮出自己的解决方案，开始在不同方向上对数据安全进行布局。

例如，东风柳汽与腾讯达成合作，在数字化转型过程中，将大部分的生产、研发、制造、销售、售后数据，包括最重要的客户数据，都部署在腾讯云上，进行数字化管理；

长城汽车利用先进的加密技术，通过云、管、端全方位防护，有效降低了远程恶意控制风险，防止个人隐私泄露；

理想汽车实现了全流程的数据加密监控，从设计、研发到生产，每个阶段的安全都全程介入，同时实现分域隔离，纵深防御，对供应商进行安全管控……

电驹小结

智能网联汽车信息安全是全产业链的事，需要政府、车企、电信企业、互联网企业、电子零部件企业、网络安全企业等携手合作，进一步加大对数据安全方面的投入，共同完善智能网联汽车安全保护体系，提升行业整体安全水平。