非法收集?隐私泄露?监视?当心汽车信息安全风险!

阵子,一纸通知在网络上快速流传。通知大意为由于特斯拉的车载元器件,出于保密原因,禁止特斯拉驶入和停放。随后,马斯克做出了回应。“我们有非常强烈的动机对所有信息严格保密”,在中国发展高层论坛的线上讨论中他表示,“如果特斯拉使用汽车在中国或其它地方搞监视,那么我们会被关闭。”

当然能否遵守自己的承诺,马斯克说了并不算。随着智能网联、自动驾驶技术的快速发展,汽车上需要部署更多传感器驾乘人员进行识别和检测,在车内也有越来越多的摄像头来获取驾乘人员的状态信息。对此,很多业内专家认为,特斯拉遭到的质疑是以自动驾驶为代表的人工智能技术发展时面临的安全困境。而对广大的消费者来说,他们的担忧更多来源于自己在使用汽车产品时,是否会泄露隐私,以及在使用过程中被收集的数据被不当利用。

比如下面这几位:

信息安全风波中心

通过摄像头和传感器来收集数据,并通过数据来分析深度学习来提升车辆性能表现,已经是智能网联汽车时代各车企的普遍做法了,这也让信息安全成为了多方关注的风波中心。而对于信息安全的担忧,不光来自于消费者,作为制造方,汽车企业对于车辆信息安全的保护需求更强。

即便如上述风波中心的特斯拉,这种在智能网联化走在世界前列的企业,也在信息安全领域多次“马失前蹄”。据外媒报道,一群黑客侵入了15万台安全摄像头的实时反馈数据,这些数据来源于硅谷的一家安保公司,特斯拉在国内某地仓库的画面被曝光;而黑客团体还掌握了特斯拉分布在全球的222个工厂及仓库的摄像头访问权限。随后特斯拉回应已经停止摄像头联网

这些年来,类似的汽车智能网联信息安全事件也发生过不少:

信息安全,连车企都可能一不小心就中招,更别提普通消费者了。最近也有案例可寻。3月16日,就在“中央电视台2021年3·15晚会”后一天,工业和信息化部信息通信管理局就针对晚会曝光的四款存在欺骗误导用户下载、违规处理个人信息问题的APP组织开展技术检测,并对涉事企业主体进行调查处理。

信息安全问题,上次这么大规模有存在感还是在计算机病毒横行的时代。然而,随着业态的不断进化,信息安全问题,换了一副“面孔”,重新出现在了公众面前。如果说APP暴露出的是在信息通信领域的问题,那么这些情况,很有可能在几年内在汽车领域大量上演,同时危害性却更大。这是和汽车行业向智能化、网联化、电动化高速发展的趋势密不可分的。如果汽车真的延展成为大号信息处理终端,那么汽车驾乘人员的隐私是否会被违规收集,是否会被违法交易?如何保障车企收集的车主信息仅处于合理、必要的最低程度?

汽车信息安全风险有哪些?

首先,我们梳理下,站在智能网联角度汽车产品将有可能遭遇哪些信息安全的问题。

车载零部件风险成为汽车产品最为基础性的问题。例如车载的信息娱乐系统(控制器层级),由于其接口众多,极容易遭到黑客攻击;车载T-BOX,由于监控着车辆实时的状态,深度读取数据,也成为黑客重点关照的对象;车载操作系统,无论是Linux、QNX还是安卓,都存在一定安全漏洞,同样存在被入侵的可能性

其次,通信环境也存在不小的安全风险。车载Wi-Fi、车载蓝牙近场通讯手段以及车联网终端的上一级数据中心的远程通信,都存在一定的被入侵可能性。

整车电子电气架构方面同样不能轻视。EE架构的进化还处在一个动态变化的过程中,架构内网络的安全性,架构内各控制器在与外界进行数据交换时的安全性,甚至整车产品在通过OTA方式进行升级时的安全性,都是值得关注的问题。

与汽车产品本身的信息安全问题同样重要的,还有汽车使用过程(车主及乘车人)产生的数据收集与使用。

例如车内摄像头对驾乘者生物特征的收集、车辆行驶轨迹的收集与分享、车内司乘人员对话交流的信息内容是否被收集,更有甚者,车辆所装配的激光雷达高清摄像头等高精度感知器件,对于道路信息的收集、上传、分析与使用等问题,构成了智能网联时代下,与汽车生产、制造、使用息息相关的信息安全新课题。

加快立法规范迫在眉睫

从设计角度来看,汽车产品面临的新问题可能由什么造成呢?传统的汽车产品,对于功能安全的理解相对较为具象。大部分传统安全都聚焦于产品本身安全和驾乘人员、其他交通参与者安全。例如德国汽车工业协会(VDA)就偏重于车辆可控性角度对功能安全提出了要求。

而在智能化的背景下,传统的分布式EE架构逐渐式微,原本分散于车内各角落、零部件当中的ECU逐渐地被域控制器所替代,而原本车内CAN总线也被速率更高的车载以太网等技术所替代。汽车产品本身的架构发生了重大变化。其次,网联化的不断发展,万物互联成为对未来环境的一个非常普及、带有共识性的想象。汽车产品不再是一个“单机”产品,而是不断地与(其他)车、路侧设备、云控平台等发生着数据交换,车内网、车际网、车载移动互联网三网融合的发展趋势正在成为现实,网联化同样给包括车辆在内的网络各节点的安全提出挑战。

目前,业内公认的对于汽车(乘用车)功能安全的标准当属ISO26262,它提供了评估汽车产品风险等级的具体方法(ASILs);能够通过这种方法来确定可接受的参与风险的必要安全要求;同时还提供了确保获得安全等级的有效性和确定性措施。我国则在2020年5月份将《信息安全 汽车电子系统网络安全指南》(GB/T 38628)作为推荐标准发布。

然而,在快速迭代式进化的智能网联环境中,标准虽然在不断地进化,但却依然难以掩盖其滞后性特点。对此,业内也有不少专家呼吁,面对技术发展,政府需要对暴露出的问题进行立法,加强规范。同时行业需要确定各类标准,界定和保护用户隐私,确保人工智能技术不被滥用和误用。