随着汽车与互联网的紧密结合，越来越多的智能联网汽车受到消费者的欢迎，当WiFi、OTA、APP遥控汽车等功能让我们眼前一亮的同时，网络暴露的风险也随之加剧。

近日，有外媒报导显示，Volkswagen Polo与Ford Focus车型被曝出存在重大漏洞，消息一出让不少车主心惊胆颤。到底骇客是如何入侵系统？智能汽车又该怎样防范呢？

据报导指出，外国一网络安全公司分别对Volkswagen Polo与Ford Focus两款车型进行安全检测，这俩款车型目前在欧洲十分畅销，但结果却令人大跌眼镜。

攻击者轻易的利用漏洞发动攻击，不仅能盗取车主的个人讯息，甚至还能操控车辆，对车主的讯息安全和生命安全产生极大的威胁。

虽然这家网络安全公司只是检测了这两款车型，但我们有理由相信存在这类问题的汽车不在少数。我们经常看到排放法规与安全碰撞标准，但对于汽车内部的网络安全，并没有统一的强制性标准，监管部门的忽视，或许让汽车厂商们选择性忽略了网络安全问题。

入侵实验：
Volkswagen Polo

安全人员在入侵Volkswagen Polo中控功能的讯息娱乐系统后发现，车辆在启动或禁用牵引力控制系统存在漏洞。

此外，讯息娱乐系统中包含丰富的个人数据，包括用家电话联系人和位置历史記录。

更厉害的是，安全人员还发现，只要开启汽车前部的Volkswagen Polo LOGO，就能进入前雷达模块，骇客可通过这一动作，进一步篡改车辆碰撞预警系统。

Ford Focus

另一款主角Ford Focus，它的测试结果也不能让人放心。安全人员通过拦截胎压监测系统发送的讯息，发现骇客可以欺骗系统发送虚假讯息，显示轮胎已经完全充气，这可能给车辆带来安全隐患。

此外，当安全人员检查系统代码时，他们发现了另一个“大礼包”，其中包括详细讯息，以及Ford 生产线上电脑系统的密码。

万物互联时代 与风险并存

在流动互联网时代，汽车的智能联网确实为了大家出行提供了不小的生活便利，汽车的功能确实越来越丰富了，就像是一个飞奔的电脑。但与电脑不同是，汽车被入侵可不是被盗号码般简单，因为它与我们的生命息息相关，那么入侵汽车会有哪些方法呢？

由于车载系统与互联网功能的深度结合，曾经的OBD物理入侵方式，已经很少人在使用。攻击者转而开始走车载通讯模组、手机APP以及数码钥匙的入侵线路。

1.骇入APN网络：
利用车载通讯模组攻击者可以通过TCU的调试接口，或者存储模块获取到APN的联网讯息及TSP日志讯息，通过连接ESIM模块与车厂的TSP服务器进行通讯。

一旦攻击者通过私有APN网络渗透到车厂的内部网络，就可实施进一步的渗透攻击，实现远程批量控制汽车。

这不禁让人想到电影《速度与激情8》的画面，大量失控的汽车在街头横冲直撞，画面让人不寒而栗。

2.盗窃数码钥匙：
数码钥匙现如今已经成为了标配，它可以实现远程召唤，自动泊车、远程启动等功能，提高了车主的用车便利性，但这些丰富功能也给攻击者留下了可乘之机。

据统计，2019年欧美地区是数码钥匙盗窃豪华轿车的重灾区，尤其是在英国地区，仅2019年前10个月就有超过一萬四千多起盗窃事件，相当于每38分钟就有一起此类盗窃案件发生。而攻击者的做案时间通常不到30秒，作案工具与教程，网上就可以购买。

由于数码钥匙会发出电磁讯号，攻击者在附近安装中继设备来捕捉和放大讯号，捕捉完讯号后，再将讯号传递给汽车。如此这般操作后，汽车会误以为钥匙就在附近，并开启车门。

整个过程中继设备只采集钥匙发送的讯号，并不改变讯号内容，也没有解密和破坏通讯协议。

保驾护航，如何防范？

在设计智能联网汽车时，安全因素就应该被考虑，产品本身技术再先进，没有安全性保驾护航，一切也是枉然。

在这个过程中，监管部门应该督促各厂商加强网络安全，在硬件上防探测和通讯加密上更下功夫，从而增加攻击者入侵的难度，以此来提升被破解时间和工具成本。

不过，单靠拥有标准还远远不够，毕竟在动态网络环境下，入侵者攻击方式的千变万化，还需要汽车厂商联合各方面企业，构建全方位的安全防护体系。

智能联网汽车网络安全防护问题已日趋严重，我们必须重新审视车联网，在带来便利的同时也悄悄地埋下了风险的种子。

对各大厂商而言，布局车联网已经是这个时代的发展趋势，但也不能掉以轻心，在没有安全标准的的环境下，应该建立动态防护体系，针对攻击能够进行动态调整，才能够让车主放心使用。

图：互联网