智能化進程中 汽車安全問題也需要重視
對汽車安全的重視,我們做的可能還不夠。
我們不得不承認一個事實,當汽車越來越智能的時候,隨之而來的風險也越來越大。
這不是一個聳人聽聞的說法。早在前幾年,菲亞特克萊斯勒就由于車機被黑客入侵后遠程遙控而進行了大規(guī)模召回,更不用說因為「網(wǎng)紅效應」而被各種破解的特斯拉,以及系統(tǒng)不穩(wěn)定經(jīng)常出現(xiàn)「死機」的新晉網(wǎng)紅蔚來 ES8??傊坏┢囓浖霈F(xiàn)問題,那么就會對駕駛安全帶來很大的隱患。
特別是當自動駕駛、網(wǎng)聯(lián)化離我們越來越近的時候,車輛結構也變的更復雜。目前汽車電子架構可能是由 60~100 個 ECU 以及 6~8 個獨立的系統(tǒng)組成。但隨著智能化加快,未來汽車會由 6~10 個高性能計算平臺(HPC)組成,軟件系統(tǒng)也會實現(xiàn)整合,并且具有 OTA 的能力。
數(shù)據(jù)能夠很直觀的告訴我們可能存在的風險。卡耐基梅隆大學軟件工程學院的一份報告指出,在美國開發(fā)的代碼平均每個功能點會有 0.75 個缺陷,每一百萬行代碼就會有大約 6000 個缺陷。
而達到「很好」級別的代碼,則要求每一百萬行代碼的缺陷數(shù)量為 600~1000 個;「優(yōu)異」級別的代碼要求是少與 600 個。(缺陷中大約有 1~5%的部分會成為漏洞)
換句話說,即使所有代碼都達到了「很好」的級別,按照目前汽車平均 1 億行代碼來計算,每輛車里都可能有 10 萬個缺陷以及 1000~5000 個漏洞。
這些缺陷以及漏洞可能會造成什么樣的風險?沒有人可以預測。
「安全白皮書」
當然,這篇文章并不是想危言聳聽。既然有風險,肯定就有應對的辦法。
在汽車軟件以及安全領域,Blackberry QNX 是繞不開的一個參與者。 在前兩天,GeekCar 有機會和 Blackberry 技術解決方案部(BTS)銷售與營銷高級副總裁 Kaivan Karimi 聊了聊關于智能化進程中,他們對于汽車安全的看法。
關于 Blackberry QNX,其實行業(yè)內(nèi)的小伙伴都不會陌生。2010 年,Blackberry 宣布收購 QNX。Blackberry 本身在安全領域就有超過 30 年的經(jīng)驗,曾經(jīng)很熱門的手機業(yè)務就是以安全和商務為最大賣點。QNX 作為汽車領域最大的操作系統(tǒng)供應商,為安全認證軟件提供支持已經(jīng)超過 35 年。
Kaivan Karimi 告訴 GeekCar,對于汽車領域可能存在的風險,QNX 運用多年的行業(yè)經(jīng)驗,總結出了一套「指導方針」。無論是主機廠還是供應商,只要遵循這份保護汽車免受網(wǎng)絡安全威脅的建議框架,就能預防絕大多數(shù)的風險。即使出現(xiàn)可能影響駕駛的漏洞,也能很快進行修復。
這份《汽車網(wǎng)絡安全——BlackBerry 的七大關鍵標準建議》概括了以下 7 個要點:
保障供應鏈安全:
通過確保汽車中的每一個芯片和電子控制單元 (ECU) 能夠正確地進行身份驗證并裝載受信任的軟件,而不受到供應商或制造商的影響,從而建立信任的根源。掃描部署的所有軟件以符合標準和所需的安全狀況。從漏洞和滲透測試的角度對供應鏈進行定期評估,以確保他們得到認證并批準交付。
使用值得信賴的組件:
使用安全的硬件、軟件和應用程序,在深度體系結構中深度分層,創(chuàng)建一個安全體系結構。
采用隔離手法與受信通信:
使用電子系統(tǒng)架構來隔離安全關鍵和非安全關鍵的 ECU,并且在檢測到異常時也可以保障安全運行。另外,這種方法也可以確保汽車中的電子設備和外部世界之間的通信都是安全可靠的。更為重要的是,ECU 之間相互的通信需要值得信賴和安全。
現(xiàn)場安全檢查:
確保所有 ECU 都集成了分析和診斷軟件,可以記錄所發(fā)生的事件,并將結果發(fā)送至云端以進一步分析并啟動預防性操作。此外,汽車制造商應該確認一系列指標定期自動掃描檢測,當汽車在事件發(fā)生現(xiàn)場時,也能夠通過安全的無線網(wǎng)絡 (OTA) 軟件更新來解決問題。
構建事件快速響應網(wǎng)絡:
在參與的企業(yè)網(wǎng)絡中共享常見的漏洞和風險,這樣專家團隊就可以相互學習,并在較短的時間內(nèi)提供建議和修復方法。
使用生命周期管理系統(tǒng):
一旦發(fā)現(xiàn)問題,自動利用安全的 OTA 更新軟件。積極采取證書管理來管理安全憑證,并部署統(tǒng)一的端點策略管理來管理在汽車生命周期內(nèi)下載的應用程序。
組織內(nèi)建立安全文化:
確保汽車電子供應鏈中的每一個企業(yè)都接受功能安全以及安全保障最佳案例的培訓,并在企業(yè)中形成安全文化。
「未來 5 年內(nèi)只剩 2~3 種系統(tǒng)」
對于很多人來說,我們在車里最直觀能接觸到的軟件就是 IVI(車載信息娛樂)系統(tǒng)。 事實上,目前國內(nèi)主機廠或者供應商在開發(fā) IVI 系統(tǒng)的時候,大多數(shù)都以 Android 系統(tǒng)作為基礎。
這么做的好處很明顯,首先是開發(fā)難度。國內(nèi)具有 Android 系統(tǒng)開發(fā)能力的工程師數(shù)量多,團隊建設更容易。其次,Android 的第三方應用生態(tài)成熟。無論是通過接入 API 或者是 SDK 的方式,都能迅速把移動互聯(lián)網(wǎng)的服務能力移植到車里。
除了 Android,還有以 Tesla 為代表的的 Linux 陣營。這兩種系統(tǒng)本質(zhì)上都是開源的系統(tǒng),主機廠能夠有更大的話語權來進行系統(tǒng)層面的定制,得到更個性化的產(chǎn)品。
Kaivan Karimi 告訴我,基于開源軟件開發(fā)雖然在初期會有一些優(yōu)勢,但是在最關鍵的安全層面卻容易出現(xiàn)風險。畢竟開源的背后,也代表有更多可能被入侵的風險。雖然開源軟件在初期開發(fā)上費用會比 QNX 更低,但后續(xù)的維護成本會更高。
另外,我們之前在討論自主品牌開發(fā) Android 系統(tǒng)車機時就提到過,這樣的策略也容易受限于 Google 的開發(fā)節(jié)奏。畢竟車機硬件沒辦法做到很快的迭代,對系統(tǒng)的持續(xù)維護也會有更高要求。
Kaivan Karimi 表示:「Linux 系統(tǒng) 5 年內(nèi)會在汽車內(nèi)消失,未來只會存在 2~3 種操作系統(tǒng)?!闺m然這樣的說法有些絕對,但也說明從安全廠商的角度看,系統(tǒng)數(shù)量越多就意味著越大的風險。
在去年,QNX 發(fā)布了 Hypervisor 2.0 系統(tǒng)。通過這套系統(tǒng)的虛擬化技術,能夠?qū)⒁壕x表、IVI 系統(tǒng)、ADAS 系統(tǒng)等多個操作系統(tǒng)合并到單一芯片系統(tǒng)上。并且系統(tǒng)能夠?qū)⒏鱾€模塊分隔,這樣即使有某個部分發(fā)現(xiàn)風險,也能避免影響到其余的功能。比如當 IVI 系統(tǒng)發(fā)生錯誤死機,也不會影響到車輛底層和駕駛安全相關的系統(tǒng)功能。特別是當自動駕駛技術的應用開始普及,這樣的功能就顯得更有必要了。
Hypervisor 2.0 系統(tǒng)能夠支持類似運行 Android 系統(tǒng)軟件。Kaivan Karimi 告訴我,無論是 Android 或者是百度的產(chǎn)品,都能夠在 QNX 的 IVI 系統(tǒng)中運行。這樣也彌補了 QNX 在第三方生態(tài)方面的不足。據(jù) GeekCar 的了解,國內(nèi)座艙領域目前比較主流的一種開發(fā)方式就是「QNX 儀表+QNX Hypervisor+Android」。
關于汽車的系統(tǒng)安全,無論多么重視都不為過,畢竟誰都不想坐在一輛不可控的車里。從這個角度看,類似 Blackberry QNX 這樣的安全服務商雖然對普通用戶沒有明顯的存在感,但扮演的角色至關重要。