电动汽车会被黑客入侵吗？ - 华尔街日报

最糟糕的情形包括汽车被勒索软件瘫痪或遭远程劫持。插图：阿尔瓦罗·伯尼斯电动汽车会成为黑客的下一个游乐场吗？

一些网络安全专家正在敲响警钟，描述了可能发生的攻击场景，包括车辆失控冲出道路或起火。

电动汽车内置大量芯片和软件，控制着从电池、电机到巡航控制和刹车的所有功能。它们几乎每天都要接入充电器，通过充电网络或互联网来回传输信息。它们还与制造商、电动车经销商、蜂窝和家庭Wi-Fi网络以及车主手机上的应用程序进行无线通信。

网络安全专家表示，随着未来几年预计将有数百万辆电动汽车上路，强大的计算能力和众多的在线连接相结合，将为数字破坏者提供一个诱人的机会。

麦肯锡公司专注于网络安全的副合伙人本杰明·克莱因表示：“这是一个由不同参与者和不同技术组成的非常复杂的生态系统。它显示了黑客有多少潜在的入侵途径。”

最可怕的可能性是：黑客将恶意软件传播到数千或数百万辆电动汽车上。这些攻击会使汽车瘫痪，直到车主支付费用，就像勒索软件可以关闭计算机网络直到黑客拿到钱一样。更糟糕的是，黑客可能会破坏电动汽车的充电系统，使电池过载，可能引发火灾，或者劫持车辆的加速和刹车系统，导致事故。

“想象一下汽车开始失控行驶，”麻省理工学院斯隆管理学院教授兼网络安全专家斯图尔特·马德尼克表示，“这完全在可行性范围内。”

专家称，其他可能性还包括黑客控制充电网络，利用其窃取客户信息，甚至瘫痪部分电网。

迄今为止，已报告的入侵事件相对较小。去年2月俄罗斯入侵乌克兰后，俄罗斯一条主要公路沿线的充电桩被关闭，屏幕上开始显示支持乌克兰的标语。4月，英国怀特岛的公共充电桩遭黑客攻击，屏幕上显示色情内容。

但美国能源部桑迪亚国家实验室去年在一份报告中警告称，电动汽车或充电桩行业“目前没有全面的…网络安全方法”，网络攻击可能会减缓电动汽车的普及。与此同时，拜登政府官员于10月与电动汽车、电动汽车零部件和充电桩制造商在白宫举行了一次闭门论坛，强调需要更严格的安全控制。

以下是电动汽车和充电桩带来的一些网络安全风险的详细分析，以及可以采取哪些措施来最小化这些漏洞。

电动汽车风险

恶意行为者有许多潜在的方法将恶意软件引入电动汽车，并且如果他们成功，也有许多方法可以造成严重破坏。

在电动汽车中，内燃机车辆的大部分机械部件——活塞、阀门、曲轴、化油器、汽油泵和水泵——已被电子设备取代。芯片和软件控制电池如何充电、如何将电力传输到电机、电机如何加速以及在制动过程中如何将电力返回电池等活动。

贝恩咨询公司合伙人兼网络安全专家赛义德·阿里表示，虽然一辆内燃机豪华轿车可能配备约150个电子控制单元，“但与普通电动汽车中我们看到的3000个芯片相比，这根本不算什么。“他指出，电动汽车还需要多出数百万行的计算机代码。

然而阿里先生表示，尽管对计算机技术如此依赖，“电动汽车的网络安全防护仍处于非常不成熟的早期阶段”。

尤其令人担忧的是电动汽车制造商通过无线方式向客户车辆推送的定期软件更新。如果黑客能将恶意软件植入这些更新，可能会对数以十万计的汽车造成损害。

“我们知道这是可以做到的，“埃森哲咨询公司全球网络行业负责人吉姆·金恩表示。

2015年一项涉及吉普大切诺基的演示，真实展现了黑客如何利用联网汽车的安全漏洞。研究人员通过蜂窝网络连接远程入侵车辆电子系统，从数英里外的笔记本电脑发送指令接管了方向盘、油门和刹车。驾驶该车的《连线》杂志记者无法阻止SUV冲进沟渠。汽车制造商随后召回140万辆汽车安装软件补丁修复该漏洞。

阿里指出，那辆吉普是传统内燃机车型，而电动汽车为网络攻击提供的目标数量级要多得多。

埃森哲的金恩先生表示，使电动汽车易受攻击的不仅是芯片、通信链路和持续充电连接，还因为这个新兴行业正处于快速发展期。

“电动汽车的快速普及、快速测试周期以及大量生产，为未检查或未知的漏洞创造了机会，”他说。

美国汽车行业主要贸易组织“汽车创新联盟”拒绝讨论具体的潜在电动汽车威胁，但在一份声明中表示，“网络安全是汽车制造商的首要任务”，其成员“从其他行业和领域借鉴了备受尊敬的网络安全风险管理框架”。

最大的电动汽车制造商特斯拉公司并非该贸易组织的成员，也未回应置评请求。但在其网站上，特斯拉表示重视网络安全研究人员关于其车辆潜在漏洞的反馈。“我们将调查合理的报告，并尽一切努力迅速修复任何漏洞，”声明称。

家用充电器

专家预测，大多数电动汽车充电将在车主家中进行。而家用充电器也可能带来安全风险。

当车辆连接到240伏的2级充电器时（这种充电器比插入标准120伏家用插座的随车充电器充电更快），关于车辆电池、充电水平和其他数据的信息会与充电器制造商、有时还会与电力公司进行双向通信。专家表示，这些数据通道可能成为恶意软件的传播途径。

此外，许多家用充电器连接到车主的Wi-Fi网络和智能手机应用程序，或蜂窝网络，这提供了更多潜在的攻击途径。

2021年，安全公司Pen Test Partners对美英两国使用的六款"智能"充电器进行了检测，这些充电器允许电动车车主远程监控和管理充电过程。研究发现存在多项漏洞，其中部分可能让黑客劫持设备或植入潜在恶意软件。

行业组织"电力驱动交通协会"主席吉纳维芙·卡伦表示，电动车及充电器制造商、公用事业公司和相关行业正"与监管机构通力合作，确保从发电厂到车辆、从公共充电桩到家用充电器的整个电力交通系统安全可靠”。

公共充电网络

美国购物中心、高速公路服务区、商业园区等地已安装超过16万个公共充电桩。2021年联邦基础设施法案拨款支持再建设50万个。

专家指出，充电基础设施相对薄弱的安全防护使其可能遭受攻击。

“部分电动车充电网络安全性极低，因其设计时未充分考虑安全问题，“吉恩先生表示，“设计时主要考量了可靠性和安全性。”

蒙特利尔康考迪亚大学、桑迪亚国家实验室等机构的研究人员称，恶意软件可能通过多种方式侵入这些设备及其运行网络。

黑客可能对充电桩进行物理篡改——例如，将装有恶意软件的笔记本电脑或其他设备插入其USB端口或其他接入端口。他们可以通过互联网连接远程访问充电桩并安装恶意软件。或者，他们可以向电动汽车注入恶意软件，当车主充电时，这些软件会转移到充电桩上。

研究人员表示，一旦恶意软件安装在单个充电桩上，它可能会在整个充电网络中传播。然后，黑客可以挟持整个网络并索要赎金，甚至通过利用充电网络从当地电网获取超出其传输能力的电力来攻击电网。

黑客还可以发起反向攻击——利用充电网络的计算机感染车辆本身。“任何接入充电的车辆都会使其软件暴露在已被修改或篡改的充电站软件中，”阿里先生说道。

通过此类攻击，犯罪分子可以窃取电动汽车车主的充电账户信息，用于免费充电，或试图损坏车辆的电气系统等。

目前已有一些行业组织制定的安全标准，例如控制充电网络与管理它们的中央计算机之间通信的软件中包含的标准。但网络安全研究人员表示，并非所有充电网络都遵守这些标准。

公共充电网络行业的贸易组织电动汽车充电协会表示，该行业了解网络安全的重要性并非常重视。

“随着我们向电动汽车过渡，电网的安全至关重要，”该组织在一份声明中表示。随着行业以如此快速的速度创新，“我们必须将网络安全置于这些创新发展的首位，如软件、通信协议和支付读卡器。”

可以采取哪些措施？

专家表示，电动汽车和充电行业需要共同努力，制定更强大、更广泛的安全协议，例如关于计算机网络防火墙和用户身份验证的协议，并遵守这些协议。

汽车创新联盟表示，它支持“一种多利益相关方、公私合作的方法，明确网络安全角色和责任，包括电动汽车充电基础设施提供商，以防范网络威胁。”

其他人则表示，需要加强政府监督和监管。

基础设施法将提供一些帮助，该法要求联邦公路管理局实施物理和网络安全标准，适用于其资助的公共充电器。

9月，国家公路交通安全管理局发布了针对汽车行业的修订版网络安全指南。其中包括旨在防止无线攻击的建议，建议汽车制造商“限制无线连接的电子控制单元（ECU）”与“如制动、转向、推进和电源管理等”车辆控制系统之间的连接。

但这些指导方针并不具备法律效力。

马德尼克教授指出，联邦法律也未要求企业报告勒索软件支付情况，除非涉及关键基础设施。这意味着此类攻击的范围和性质尚未完全明晰，使得限制措施的实施更为困难。

有专家表示，或许需要等到基础设施遭受重大网络攻击后，行业和立法者才会采取严肃措施加以防范。

“有时我们需要一记警钟，“马德尼克教授说道。

齐格勒先生是《华尔街日报》前编辑。联系方式：[email protected]。

刊载于2023年2月16日印刷版，标题为《电动汽车会遭黑客攻击吗？》