2016年的“3·15”晚会上，大批带有“智能”功能的包括大疆无人机、智能洗衣机、智能电烤箱在内的智能硬件被曝光存在严重的安全漏洞，“智能汽车”也上演了被黑客挟持的画面：在自动泊车的状态下黑客可以通过接管对传感器和电磁波的控制，控制车辆的速度和方向，容易造成事故。
    物联网时代，新技术、新应用层出不穷，网络安全的样式和手段发生巨大的变化，智能网联化的汽车就如同一台行走的计算机一般，为黑客入侵带来可乘之机。
    随着谷歌无人驾驶汽车被美国国家高速公路交通安全管理局认定为合法，美国、欧洲等国家预计2017年所有在售新车必须强制搭载V2V系统，以及越来越多的汽车具备联网功能的情况下，智能汽车的网络信息安全已然成为汽车行业一个极为严峻的问题。
    去年7月，网络安全专家查理·米勒（CharlieMiller）和克里斯·瓦拉赛克（ChrisValasek）成功侵入了一辆行驶中的切诺基的Uconnect车载信息娱乐系统，对车辆变速器、刹车、转向、雨刷进行了远程操控，最终迫使菲亚特克莱斯勒汽车公司宣布在美国召回140万辆涉事车型以修复相关安全漏洞。
    这是全球第一起因网络安全存在漏洞而发起的召回事件。
    事实上，这并不是俩人第一次成功“袭击”一辆汽车。2013年，俩人就已经能够实现在车内通过网络入侵丰田普锐斯和福特翼虎两款车的软件漏洞，对车辆实现操控。
    比如，迫使普锐斯在80英里/时（128千米/时）的条件下猛刹车、使得汽车猛打方向盘、让发动机加速；使翼虎在超低速行驶时刹车失效，无论司机如何猛踩刹车，车辆都将继续前进。
    俩人之后继续从汽车的攻击面、网络架构、物理总线进行研究，并在2014年的“黑帽技术大会”（Blackhat）上发布相关报告。他们发现，除了最易被攻击的吉普切诺基，英菲尼迪Q50和凯迪拉克Escalade也好不到哪儿去。
    汽车的网络安全正面临前所未有的挑战。
    早在2011年，美国华盛顿大学的TadayoshiKohno等人就发表论文指出，黑客能够攻击车载通信设备的软件漏洞，远程打开车门锁、启动发动机等。但这些研究人员的行事方式相当低调，他们没有透露过多细节，并且选择私下与车商分享了研究成果。
    直到米勒与瓦拉塞克在2013年的DefCon黑客大会上对入侵车辆进行演示时，车企还并未对此引起足够重视。
    2015年以来，关于汽车信息安全遭受威胁的案例逐渐增多。
    2015年2月，德国汽车协会（ADAC）发布报告称，约220万辆配备BMWConnectedDrive（宝马车联网系统）的汽车——包括劳斯莱斯幻影、MINI掀背车、i3电动车，以及部分宝马品牌产品，存在数字服务系统的安全漏洞，黑客可利用这些漏洞远程打开车门。随后，宝马表示已升级该数字系统，解决了安全问题。
    2016年2月，一位澳大利亚网络安全研究专家特洛伊?亨特（TroyHunt）发现，软件开发者借助任何一辆日产聆风前挡风玻璃上的VIN码，便可通过NissanConnect（日产车联网系统）手机客户端的身份验证，获取车主身份及电池电量等信息，并能控制车内空调。
    国内专注于网络安全的奇虎360、KeenTeam（碁震安全研究团队）也都声称发现特斯拉漏洞，黑客可以利用特斯拉的官方手机APP就实现开锁、鸣笛、启动等全过程。
    这些以“白帽黑客”（WhiteHats，即赶在犯罪分子前面发现软件漏洞，从而修复隐患防患于未然，以免漏洞被犯罪分子利用的黑客）自居的网络安全专家如今已经不再满足于寻找微软、谷歌和苹果软件的漏洞，而是转向对人们影响更大的汽车。
    米勒说：“这也许是某种形式的软件bug，但后果却足以致命。”
    入侵途径
    目前只有研究人员成功远程“入侵”车辆，现实世界汽车被非法远程攻击的情况尚未发生，但这并不意味着汽车厂家或者消费者可以掉以轻心。
    根据360发布的汽车信息安全年度报告，黑客威胁汽车信息安全主要通过以下途径：
    一、OBD盒子、遥控车钥匙、手机APP、车载娱乐系统等都是汽车直接对外开放的入口，如果这些入口设置的网关隔离或者车载防火墙过滤方面没有做好安全防守，就可能导致黑客获取车辆部分控制权。JEEP切诺基就是通过车载娱乐系统UConnect被攻入的。
    二、入侵车联网的TSP云端，篡改服务端的诊断数据逻辑，达到改变汽车行为的目的。日产聆风的TSP存在漏洞，导致黑客可以通过云端直接控制汽车，可以启动汽车，更改空调的问题，而且可以控制世界上任意一辆连接到这个TSP上的汽车。
    宝马的ConnectedDrive服务被曝出漏洞,其原因是TSP平台和T-BOX之间没有使用HTTPS进行加密传输,泄露了包括VIN、控制指令等信息。黑客可以利用伪基站,让宝马汽车的网络连接注册到一个假的TSP中,然后利用分析出来的控制指令给汽车下发指令,最终可以打开车门,启动汽车。
    如果TSP和T-BOX之间进行了传输加密,就不会被黑客逆向出控制指令格式和内容。如果TSP和T-BOX之间有身份认证的设计,就不会导致使用一个假的TSP给汽车发送指令。
    三、通过WIFI、蓝牙等通信渠道进行攻击等等。V2X系统依靠的就是无线网络实现车与车之间的信息传递，自然也就存在被入侵的可能性，这也成为V2V系统普及的一大障碍。
    除了黑客入侵，广汽集团汽车工程研究院首席专业总师黄少堂也指出，万物互联时代还有非恶意攻击比如周围的信号干扰导致的智能汽车安全也是不容忽视的。
    四、自动驾驶需要利用超声波、毫米波、激光雷达探测周围环境，根据算法采取避让或者急停的措施，传感器根据发射返回波（激光）判断四方障碍。如若黑客发送与汽车同样周期、频率的波干扰汽车，就会导致汽车误以为四周有很多障碍存在，从而做出错误判断。
    此外，关于自动驾驶汽车的“眼睛”高清摄像头，攻击者可以采用强光致盲或者构造特殊的识别图形导致摄像头失效。
    对策
    随着汽车智能网联化的发展，网络安全也需要引起汽车制造商的高度重视，需要实现行业内、跨行业、与监管部门的通力合作，识别威胁模式，制定前瞻性防御策略并协调应对行动。
    首先，基于全生命周期针对各个阶段制定安全对策。
    汽车生产商需要对自己的产品在数字信息化领域的安全负责，在整车规划设计之初就应该建立信息保护机制，把安全需求落入到车联网系统开发过程当中,减少可能遭受入侵的节点。
    比如采取彼此独立的功能架构，限制危害的蔓延；实现汽车上的软件与部分电子零部件的在线升级也能通过快速更新消除漏洞。
    在车联网系统建设阶段对各方面的安全要求开发程度进行检查,在上线验收阶段进行安全验收从而保证系统自身的安全性。后期进入安全运维阶段需要有专职的人员对安全策略进行调整。在系统退服阶段,也要保证数据的安全性等。
    第二，防患于未然的大数据监控。
    通过对自身系统的漏洞的主动研究,关注国内外应用技术的威胁情报,结合大数据分析。可以预测到在车联网应用技术存在重大漏洞时,自身系统可能会受到危害,可以提前采取其他方式进行安全防护,降低攻击发生的可能性。
    第三，跨界合作，建立安全信息市场。对重要的安全信息进行市场交易，可以提升网络安全。
    波士顿咨询公司资深合伙人ThomasDauner指出，整车厂加强网络安全的方法之一是建立安全信息市场：卖方由安全分析师、研究人员及黑客构成，中间环节是清算平台，汽车行业从业者则是买方。
    卖方向清算平台报告自动驾驶汽车相关的安全隐患，并承诺不将相关信息泄露给公众；清算平台则根据隐患的严重性向报告人支付相应酬劳，并将该隐患告知相关从业者，以修复这些隐患。
    另外，还可以借鉴IT和金融行业的一些惯例和规则，建立快速响应机制，善待提出漏洞的“白帽子”们，如Facebook和谷歌都有类似“漏洞悬赏”计划，为发现程序缺陷和漏洞的人提供奖励。
    “未知攻，焉知防”，白帽黑客的攻击是为了帮助企业建立更好的防御体系。在PC时代、移动互联网时代，像谷歌、微软、腾讯等，正是在经历过无数攻击后才建立了一整套完善的安全体系。
    自去年吉普切诺基被远程攻击后，汽车制造商中目前只有特斯拉和通用建立了类似的悬赏计划，漏洞悬赏计划为这些白帽黑客们提供了提交BUG的官方入口，避免因为“投诉无门”而将漏洞细节公开化，导致更大的潜在危害。
    而有这类计划也从侧面证明，这家公司已经建立起一套完整的BUG接收、检查与修复的流程。
    美国汽车制造商联盟(AllianceofAutomobileManufacturers)表示，由于汽车遭受黑客攻击的危险加大，各车企已经达成合作，将共享关于遭受网络攻击的信息来合力抵御黑客攻击，并希望针对V2V通信以及车辆云数据建立起一道防火墙。