这个测试结果吓人一身冷汗

“11辆最新款、做了安全防护的车型，无线网安全问题占73%，车机和移动终端的APP逆向问题占64%，非授权访问敏感数据问题占45%，个人信息未授权访问占18%……”

近日，在北京召开的2021世界智能网联汽车大会上，中国软件评测中心总工程师陈渌萍发布的智能汽车信息安全测试结果震惊了全行业。

现阶段智能汽车数据安全令人担忧

今年智能汽车是行业大热门，一则与ICT企业签约的消息可以令车企股价大涨，缺少智能配置加持，即便是跨国公司的主打产品销量也会默默无闻。

然而，受众多消费者追捧的智能汽车，背后隐藏的数据安全问题堪忧。

9月底，2021世界智能网联汽车大会、自动驾驶与道路安全论坛（下称“论坛”）上，陈渌萍介绍说：“我们中心今年进行的整车信息安全威胁分析及渗透测试中，共测试车型11款，包括电动车5款，燃油车5款，混动1款，都是最新款的车型，也是进行了安全防护的车型。”

测试结果显示，安卓系统成重灾区。陈渌萍分析称：“被测车型中，IVI（车载信息娱乐）系统大多数是基于安卓开发的，也有鸿蒙和自研的操作系统。基于安卓开发的系统中，安卓原生的信息安全问题自然被延伸到了车载信息交互系统，这类问题占到82%。其中，56%的系统可以通过非授权访问用户的个人信息，并可以获取车辆信息、位置数据、绘画密钥等等敏感信息。”

“个人信息和敏感数据占比非常大。”陈渌萍介绍说，“非法获取完整的IVI升级包占到了40%，获取明文存储的密钥和证书文件，这类缺陷占到了60%，日志文件非授权读取拷贝占到了60%，非授权访问用户数据也占到了40%，获取完整的IVI固件包占到20%。”

新增的GNSS攻击，同样威胁着智能汽车的安全。陈渌萍分析称：“GNSS攻击是针对全球导航卫星系统的欺骗。简单来说，GNSS攻击是一种智能的干扰形式，干扰者的无线电发射器会将伪造的GPS信号发送到目标接收器，目的是使接收端误解为真实信号，从而诱发危险行为。测试结果显示，有64%的被测车辆在这个缺陷上中招，这个比例还是非常令人触目惊心的。典型案例是，救护车送危重病人的过程中，GNSS出现错误，车辆就可能行驶到错误的路线上，造成生命的安全。”

显而易见，今年中国软件评测中心对当前智能汽车进行的情况摸底，网络安全防护漏洞较多，发现的问题令人担忧。

谁窃取了智能网联汽车的数据安全？

智能汽车不仅本身存在安全短板，而且来自外界的数据安全风险愈演愈烈。

首当其冲的是APP数据泄露问题。论坛上，上海银基信息安全技术股份有限公司首席执行官单宏寅介绍说：“中国有200万个APP用户大型主机厂的服务系统，APP的数据泄露问题严峻。当你的车停在路边，通过车上的运号加上APP，可以完整地获取这辆车本身所有的个人信息，包括姓名、驾驶员的身份证号，甚至是银行卡号。随之而来的危险是什么？通过伪装用户本身，可以真正完全控制、驾驶这台车。”

用充电桩充电也存在数据泄露风险。单宏寅表示：“电动车充电的时候会发生大量的数据交换和信息交换。去年，我们研究团队在针对某世界级充电桩厂商调研，发现在OTA上固件升级存在严重漏洞，可以云端下载给固件，把固件放到充电桩里面，通过远程控制，可以完全把充电桩的交互数据拿下。这种潜在的充电桩威胁，可以控制上百万个充电桩发动物联网和整个网络的攻击，甚至影响我们国家供电的基础设施。从固件升级角度来说，这是一个非常重要的数据安全的问题。”

车路协同技术在试验过程中同样存在风险。单宏寅分析称：“车路协同的路侧信息同样可以被篡改，把路侧设备的信号和信息无缝地传递到车端，在车端假设认知是一个绿灯的时候，可以改成红灯，直接影响到自动驾驶的可靠性。”

个人信息泄露后，智能汽车被远程控制的风险极大。单宏寅展示了一个案例，一个世界级主机厂的电动车由于个人信息和帐号泄露了，研究团队不仅可以直接打开车门，而且可以实现远程控制，真正做到无人驾驶。

在单宏寅看来，汽车制造商，软件供应商、服务商，甚至是维修机构都是汽车数据的处理者，而智能汽车数据收集、存储、使用加工和传输过程中都存在风险。

数据安全成新课题亟待突破

尽管智能汽车的数据安全问题已经引起有关部门高度重视，但保障产业健康发展仍是各界面临的巨大挑战。

论坛上，公安部交通管理科学研究所副所长俞春俊介绍说：“当前，我们重点关注以下两个问题。一是汽车身份认证尚存在安全漏洞。二是路侧设施存在的安全风险。”

针对上述问题公安部提出了针对性的解决方案。俞春俊介绍说：“一方面，我们初步建立了一套涵盖技术、装备、标准、应用的机动车电子标识技术体系，为车辆身份认证提供了解决方案。未来，我们希望进一步深化车辆合法身份的安全认证技术，从根本上解决在途车辆身份唯一性确认的问题。另一方面，为了从源头解决路侧设施存在的安全风险，探索智能汽车和智能的路侧安全设施管理方法，我们去年底发布了公安行业标准《道路交通信号控制机信息发布接口规范》，明确了路口信号灯状态等信息的实时交互要求，有助于推动交管数字新基建，推动我国车联网、智能汽车产业高质量发展。”

整体看，智能汽车是全球汽车产业发展的战略方向，对我国具有重要战略意义，同时，由于智能汽车的技术发展需要海量的数据作为支撑，数据收集及处理过程中相关的个人隐私保护和数据安全使用等问题也受到社会的重点关注。

10月1日起，国家五部门联合发布《汽车数据安全管理若干规定（试行）》，11月1日起，《中华人民共和国个人信息保护法》实施，这彰显了党和国家对网络安全、数据安全问题的高度重视。而作为交通安全的重要外延，数据安全已成为道路交通管理的新课题，需要各界协同努力共同突破。

（图片来源：互联网）