游戏规则变了？特斯拉零召回，Jeep140万辆车追回

随着物联网时代的到来，和电脑、手机等智能终端设备一样，智能网联汽车、智能电视等也随时会面临病毒和黑客攻击，智能终端设备的全生命周期防护亟待建立。

近年来，智能终端被“黑帽子”或“白帽子”攻击的例子越来越多，就在最近，国内一支专业安全研究团队——腾讯科恩实验室经过数月的研究，发布了一起震惊科技界的“白帽子”攻击案例：科恩实验室利用特斯拉系统多个安全漏洞，成功地实施了对驻车状态和行驶状态下特斯拉的远程控制，实现了对该车的“无物理接触远程攻击”。

为此，中国汽车咨询中心网记者特别采访了腾讯科恩实验室总监吕一平，并就未来智能网联汽车安全防护等问题进行了探讨。

汽车安全系统上线，降低企业召回成本

2015年7月，美国的两名汽车安全研究人员侵入了Jeep自由光的车载软件，仅通过数英里之外的一台笔记本控制汽车空调、音响、油门、刹车、转向等，导致菲亚特克莱斯勒汽车公司在北美地区紧急召回140万辆自由光Jeep，并且引发了行业内对联网汽车安全问题的热烈讨论。

吕一平对此认为，随着汽车的智能网联越来越普及，汽车非常容易受到黑客的攻击，所以车企的安全响应机制是否合理及时，不但影响到车主的行车安全，同时也将影响车企在后续修复召回的成本控制。

“Jeep自由光‘被黑’之后，立即发起了总数为140万辆的召回行动，因为没有在线升级补丁的技术手段，这样的线下召回修理方式不但效率低、周期长、成本也非常高，仅这次召回就让菲亚特克莱斯勒产生了几亿美金的成本。”吕一平表示。

而与之相对照的是，特斯拉在被科恩实验室攻破之后，不仅只用3天就通过OTA在线升级机制在线升级了全球范围内90%的特斯拉系统，而且，线下车辆召回数为零。“因为特斯拉的车载系统、应用、ECU固件升级全部选择在线方式，这也是目前最低成本而效能最高的补救方式，在未来的汽车行业中，OTA线上升级技术的引入将是一个趋势。”吕一平表示。

汽车安全问题，传统车企最终还需“自我消化”

在互联网造车行业中，汽车安全已经成为非常重要的组成部分。比如特斯拉就有一个40人的专业信息安全团队来负责特斯拉车辆整体安全，团队成员普遍都来自微软、谷歌、苹果等知名软件和互联网公司的安全团队，他们把很多软件和互联网行业中运用非常成熟的最佳安全实践应用到特斯拉汽车的安全体系中。

而对于国内车企来说，目前汽车安全问题还并不是非常受重视。对此，吕一平认为，国内车企目前处理汽车安全问题最好的方式还是寻求一些有专业安全研究团队的帮助，但不是简单的采购安全专家能力，而是逐步建立自己的安全能力。“像腾讯科恩实验室这样的专业安全团队，可以作为顾问帮助车企梳理信息安全建设需要的能力和技术、需要建立的组织架构和管理流程。”吕一平表示。

不过，从长远来看，汽车企业需要设立专门的安全部门来负责车联网整体安全。吕一平认为，“作为一个外部顾问团队是很难协调车企内部的部门合作、管理流程的落地和执行、安全响应机制的建立和执行等，这些需要车企有专职部门去协调和执行。”目前其实已经有很多国内的整车企业开始关注汽车安全，包括很多的国内车企都在招募信息安全专业人才加入。

维护汽车安全重在意识

在互联网行业中，如腾讯、百度、阿里巴巴这样的大型互联网企业已经普遍建立了“SRC（Security Response Center，安全响应中心）”的专职团队和安全应急响应机制，SRC可以及时响应、分析和修复外部“白帽子”黑客发现并报告的相关漏洞。而对于汽车厂商来说，目前只有像特斯拉这样的少数对车联网安全有前瞻性的车企建立了SRC，对于大部分车企来讲，任重而道远。

吕一平介绍道，“车联网覆盖面太广，存在很多的攻击入口，很难说哪个才是薄弱点。举例来说，现在很多新能源车需要充电，而接入互联网的充电桩就有可能成为一个安全攻击的入口。所以考虑汽车安全是要从汽车整体架构，乃至汽车整体生态来做全局考虑。”

所以对于汽车安全的保护，车企要有一个全局观念。“现在传统车企的组织机构中，负责车机有车机的部门，负责云端的有IT部门，负责移动端应用的有相应部门或者外包，这种工作模式太过分散。”吕一平表示，“车企需要确保的是每一个模块连接起来后，整体是安全的，所以需要有专业人员来关注这方面的工作，进行专业的安全评估和测试。”

同时，吕一平也认为，对于企业来讲，汽车信息安全防范工作重要的并不是技术，而是企业的意识是否跟得上。“我并不觉得互联网车企比传统车企的安全能力更好或者更领先，二者的差别其实是意识的问题。”吕一平表示，“因为互联网车企的很多员工都来自互联网行业，他们对于信息安全重要性的理解，会比传统汽车行业的人更好，这是传统车企需要去逐步推进和改变的。”

报名请点击“阅读原文”