中國破解特斯拉第一人劉健皓揭秘：360智能網聯汽車安全項目怎麼賺錢

找洞一時爽，還有特斯拉獎。這個目標終於被黑客達到了。

前兩天，全世界最酷的黑客比賽之一的Pwn2Own 又開張了。今年這個比賽最引人注目的規則是，如能演示針對特斯拉數據機或調諧器、WiFi 或藍牙組件、車載系統、網關、自動駕駛儀、安全系統和密鑰卡（包括用作鑰匙的電話）的利用代碼，則可獲得 5 萬美元至 25 萬美元不等的獎勵。如成功入侵某些目標組件且實現持久性和 CAN 匯流排攻擊，則可分別獲得 5 萬美元或 10 萬美元的額外獎勵。

主辦方 ZDI 還表示，除了獎金外，該類別的第一輪獲勝者也將獲得特斯拉 Model 3 中檔後輪驅動汽車的獎勵。

3 月 23 日當天，多次參加 Pwn2Own 的老選手 Richard Zhu 成功搞定了特斯拉 Model 3 的娛樂系統，開走了這輛拉風的特斯拉。

在 Richard Zhu 搞定特斯拉的前兩天，雷鋒網宅客頻道編輯見到了宅客頻道的老朋友、中國破解特斯拉的第一人劉健皓。劉健皓此前兩度破解了特斯拉，在黑客中掀起了一股破解特斯拉的熱潮。

外界對黑客的破解"秀"可能注意力還停留在「秀」上。事實上，破解特斯拉並不是單純的安全能力的體現，在智能駕駛，甚至是自動駕駛技術離生活越來越近時，如何讓前沿技術與實際商業應用找到接軌點，是劉健皓想要探索的問題。

距離劉健皓 2016 年第一次破解特斯拉已經三年了，他也成為了 360 智能網聯汽車安全部負責人。坊間傳聞， 360 智能網聯汽車安全部拿到了許多大單，成為了老周落地 B 端 IOT 安全的典型代表。

果真如此順利嗎？

口述：劉健皓 | 整理：李勤

去年大家開始提汽車的「新四化」，智能化、聯網化、電動化、共享化，很多的車型的研發和設計都往這四個方向靠。

智能化實際上是指自動駕駛或者是智能駕艙，通過車輛的感測器還有自動駕駛演算法為汽車提供智能化的功能，實現一些自動駕駛的應用場景。

網聯化指的是車聯網，車聯網有兩個主流應用場景，一個是車和雲，也就是用現在使用的手機 App 控制車輛，還有一種是今年大力發展的5G或者是C- V2X，就是車車通信，車路通信。去年，某大會上舉辦了一個三跨實驗——跨車廠、跨運營商、跨零部件廠商之間的通信，真正實現車和車之間的通信，網聯化有這個趨勢。

電動化是指整個產業都向新能源領域發展，電動汽車的產量出現了增長的趨勢，車廠在 2016 年、2017年時沒有新能源平台，現在基本上每個車廠都有了新能源的平台，並且在新能源平台上花了很多精力，做出很好的車型。

最後是共享化，年初戴姆勒和寶馬合資成立了出行公司，大眾自己也成立了出行公司，一汽、長安、東風三家聯合成立了一個 T3 出行，為什麼這些車廠、主機廠都會成立出行公司？因為很多自動駕駛和車聯網汽車的應用場景就是要滿足共享化的需求，他們生產出的車不是直接賣的，而是租給用戶的。這就好比很多航空公司的飛機是租的，很多車廠未來也能意識到在車的銷量要持續增長的情況下，必須有一部分的車通過共享化業務消化。

四化與新風險

汽車的電子電器架構要根據四化的需求發生改變。現在信息娛樂、智能駕駛、車身控制等車內控制域通過一個網關連接到一起。通過這個架構，動力系統、車身控制系統會面向互聯網，反過來，黑客可以通過攻擊直接控制汽車，可以危害動力系統。

還有，現在大多數互聯網汽車搭載了內容豐富的的信息娛樂系統，信息娛樂系統直接連接互聯網，存在的漏洞比較多，大多數攻擊通過信息娛樂系統為跳板，攻擊到車身的控制系統、動力系統，還能干擾到智能駕駛系統，變革背後帶來了很多安全風險。

我們在 2016 年就公布了對特斯拉的感測器攻擊造成了控制上的失控或者把一輛自動駕駛汽車逼停。從汽車的自動駕駛到飛機的自動駕駛都是可以有預見性的，這對自動駕駛的演算法提了很高的要求。

車身控制系統跟鑰匙相關，2018 年也有很多的案例，可以通過鑰匙信號的干擾和複製，破解車門的信號，造成車內的財產的損失。2018 年下半年，特斯拉老款的 Model S 的鑰匙信號被破解，丟了 118 輛車，最後特斯拉通過聯網定位找回來 112 輛，還有 6 輛沒有找回來，這是實際發生危害的案例。

黑客可以發送指令干擾汽車的動力系統，引發交通事故，現在沒有真實的案例，但2018年，入侵信息娛樂系統的案例有好幾起。

我在發布 2017 年《智能網聯汽車信息安全年度報告》時就預言了 2018 年汽車的漏洞、威脅會越來越多，2018 年將是攻擊者刷漏洞的一年。什麼叫「刷漏洞」？原來汽車的漏洞不會受到車廠的認可，不會受到CVE等專門的漏洞書公開機構或者是漏洞管理機構的認定。2018年，這個漏洞平台已經開始接收汽車漏洞，開始承認汽車的確有軟體漏洞，車廠要通過遠程 OTA 升級，及時防範漏洞利用的發生。

第一個觀點是不幸被我言中，2018 年的確是「刷漏洞」的一年。

首先，騰訊的團隊提交了寶馬的14個漏洞，這是與寶馬的車載娛樂系統還有匯流排的系統相關的漏洞。

其次，原來信息安全從業者在這些漏洞的描述里不可能看到車廠的名字，但是現在可以看到 BMW、賓士等相關的漏洞。

很多車廠覺得從申報漏洞到成功入侵還有一段距離，不見得有漏洞就有真實的攻擊，但我們在 2018 年看到了很多真實的攻擊案例。

最明顯的是車廠的伺服器平台倍受攻擊，大眾、特斯拉、豐田、福特還有克萊斯勒百餘家汽車廠商的機密文件被曝光，就是伺服器被黑掉了，設計圖、訂單，甚至員工的駕駛證、護照、掃描件都被泄露出來，信息泄露事件比較多。還有特斯拉在亞馬遜上的雲伺服器中了勒索病毒，面臨挖礦的風險，本田在印度的 5 萬名用戶數據泄露，保時捷超過 28700 名客戶數據泄露。

汽車四化以後，主要的兩個風險就是控制安全和隱私泄露。還有共享汽車，由於安全問題，也會導致用戶數據泄露，澳大利亞的某共享化汽車曾有 9 萬名用戶數據泄露，包括行駛軌跡、手機號等隱私信息。

我有幾個觀點，首先，整車廠已經開始全面地重視安全建設，包括比亞迪和吉利在一些公開的會上都說了自己會重視信息安全。特別是吉利在世界智能汽車網聯大會上，當時李書福董事長在發言過程中就強調了信息安全是非常重要的，整車廠在汽車研發過程中會對此進行明確的產品定義，有相應的安全防護系統。

第二，供應商在積極地推出安全防護方案，整車廠需要安全，供應商可以提供相應的安全方案。互聯網廠商如百度、騰訊還有阿里以及360都有針對汽車的網路安全方案，這方面的配套都已經齊全。2019年，我覺得會百家爭鳴，但是大家解決問題的方法和看問題的角度不一樣，定位也不一樣。2019年，整車廠在選擇方案時能會從這個點上岔開，用不同的安全理念、安全方案加固聯網汽車。

現在有一個國際標準組織已經開始牽頭汽車信息安全的標準，是ISO/SAE 21434，這個標準實際上要到 2020 年 6 月才能正式公開，現在汽車信息安全建設還沒有按照標準來做。但是，我們的安全方案已經出來了，標準是滯後的，我們安全還是要提前進入。

2018年，ISO/TC22道路車輛技術委員會下設的ISO/TC22/SC32/WG11聯合工作組圍繞國際標準ISO/SAE21434（道路車輛-信息安全工程）的制定，先後在美國、波蘭、以色列等地召開了聯合工作組會議，明確了該標準的範圍、對象、主要內容和框架、工作計劃等。該標準適用於道路車輛的電子電氣系統、各系統間的介面交互與通信；從組織層面規範對企業的信息安全管理、風險管理要求；規範道路車輛在安全生命周期內的電子電氣系統、系統間介面交互、系統間通信的信息安全技術要求、威脅分析與風險評估方法、安全策略、信息安全系統性測試評價方法、信息安全流程開發管控要求。

中國代表團正積极參与此項標準的制定，其中包括國內知名的主機廠、零部件供應商和信息安全企業。

這個標準分為四個方向：

第一，風險管理，對汽車進行風險評估，看看它有哪些攻擊面，如何攻擊進來。

第二，根據攻擊結果形成安全需求進行安全開發，正式發布後發送給用戶，聯網汽車與傳統汽車不同的點是，給用戶節點以後，就要去為聯網汽車的運營和維護提供保障，所以，以後要進行長期持續的運營和維護。

3GPP正在進行LTE-V2X安全的研究和標準制定工作。其中，安全方面由3GPP SA3工作組負責，調研V2X安全威脅，研究V2X安全需求並調研和評估對現有的安全功能和架構的重用和增強以及支持V2X業務的LTE 架構增強的安全方面研究。

支持LTE-V2X的3GPP R14版本標準已於2017年正式發布；支持LTE-V2X增強（LTE-eV2X）的3GPP R15版本標準於2018年6月正式完成；支持5G-V2X的3GPP R16+版本標準宣佈於2018年6月啟動研究，將與LTE-V2X/LTE-eV2X形成互補關係。

2018年6月，CCC（The Car Connectivity Consortium，車聯網聯盟）宣布推出首個針對汽車數字密匙規範Digital Key 1.0，這是第一個將智能手機變成汽車鑰匙的連接標準。

CCC是一個專註於實現移動設備與汽車連接的組織，其成員由汽車和智能設備製造商組成。該聯盟現任主席是三星美國研究中心的技術總監Mahfuzur Rahman，其董事會成員則由通用汽車、大眾汽車、戴姆勒、本田等公司代表擔任，重要成員包括奧迪、寶馬、通用汽車、現代、LG電子、松下、三星和大眾汽車，以及中國公司小米、HTC、華為等。

Digital Key 1.0規範概述了在解鎖、啟動、共享汽車等場景下存儲在智能手機上的數字鑰匙標準，以便能實現讓駕駛者通過NFC手機代替傳統物理鑰匙的目標。由於通過NFC進行交互，使得Digital Key 1.0還需要一段時間才能實際實現，但標準本身可以保障有效地將數字鑰匙下載到智能手機中。同時，CCC聯盟以及開始了Digital Key 2.0的研究。

2018年12月，英國標準協會（British Standards Institute，BSI）發布了一套網路安全標準PAS 1885：2018、PAS 11281：2018。

我國標準研發其實也在加快制定的過程中。

在全國信息技術安全標準化技術委員會（信安標委，編號為SAC/TC260）中與汽車信息安全相關立項的標準有：《信息安全技術車載網路設備信息安全技術要求》、《信息安全技術車載終端安全技術要求》、《信息安全技術汽車電子信息安全檢測技術要求及測試評價方法》、《智能網聯汽車網路安全風險評估指南》、《信息安全技術汽車電子系統網路安全指南》。

國內的標準是這樣的，各個標準委員會裡面都有人在參與和制定標準，但中國工信部或者是監管機構會採用哪個標準，現在還沒有定奪，大家都在寫，都處於觀望狀態。

近年來，V2X（Vehicle-to-Everything）通信的關注度不斷攀升，已成為移動無線網路領域的研究熱點。中國立推的C-V2X，目前以LTE-V2X技術為主並向5G-V2X技術演進，大唐、華為等可對外提供商用Balong765晶元組；與此同時，華為、大唐等公司可以提供車載單元設備（On Board Unit，OBU）和路側單元設備（Road Side Unit，RSU）。

我們對V2X的信息安全也做了一個威脅分析，V2X的信息安全主要是兩個方面：

一是V2X本身數據被篡改，可能會引發蝴蝶效應，因為以後車車通信，每輛車都會接受其他車的信息，只有要一條信息是假的、是錯誤的，執行的結果就是錯誤的，告訴其他車的結果也是錯誤的，就會造成一傳十、十傳百的蝴蝶效應，會造成大面積的交通事故。V2X通信的有效性是我們要保障的。

二是現在的V2X都是用一張證書進行通信，如果在路測部署基站抓證書，就可以泄露這輛車的行駛軌跡，造成隱私泄露的問題。這是V2X的危險，我們寫在這個報告裡面。

第一，防止數據泄露，保護用戶隱私。

2018年中發生多起數據泄露事件，其規模和影響都是巨大的。在大數據和雲服務的時代，對於數據的保護也應成為汽車廠商、供應商、服務提供商的共同責任。加強對數據安全的考量與投入，至少從五個方面考慮數據安全：訪問控制、身份認證、數據加密與脫敏、容災備份與恢復、安全審計。通過網路訪問控制和用戶許可權控制，讓攻擊者進不來；多重身份認證，防止攻擊者冒充他人身份，實現身份改不了；數據加密讓攻擊者看不懂；容災措施保障服務掛不了；安全審計、異常行為檢測讓攻擊行為跑不掉。大數據時代，保障好數據安全，才能保障智能網聯汽車的安全。

第二，智能汽車進步，控車仍在繼續，安全開發要落實。

從以往的汽車破解案例來看，目前汽車領域的安全手段是有所提高的，但仍存在大量車聯網、智能化的產品沒有考慮到信息安全的問題。隨著智能網聯汽車的發展，越來越智能的汽車為人們提供便利的同時，也給汽車本身帶來更多的攻擊面和安全風險；同時隨著攻擊者技術的提高，使得汽車容易被遠程控制仍是智能網聯汽車面臨的主要安全問題。國際或者國內的安全標準仍處於建設時期，智能網聯汽車仍處於沒有安全標準及規範的環境下，建立企業自身的信息安全標準，准守信息安全開發流程，才能在車輛上市時保障其信息安全水平，降低被攻擊的風險。

第三，建立動態安全實施監測機制，及時發現、及時處理。

汽車作為一款特殊的商品，其使用時間非常長，使得智能網聯汽車的信息安全工作成為一項長期持續的工作。僅僅保障出廠時的安全能力遠不足以應對車輛的生命周期，同時隨攻擊手段的日益進步，傳統的被動防禦技術顯得效率低下，對資源的使用效率產生了一定的限制。將車聯網安全分析、汽車安全防禦、安全資源與安全運營融合，結合大數據、人工智慧、威脅情報等技術與資源，構建動態防禦體系，對車聯網系統的關鍵部件進行安全監測與防護，可以對安全事件更高效、更精準、更及時地定位與預警。在動態監測的過程中，及時對潛在安全威脅進行分析、評估、處置，通過修改配置、安裝補丁、訪問控制等安全措施，修復潛在漏洞，提升智能網聯汽車安全防禦能力，達到智能網聯汽車的攻防平衡。依靠威脅情報等資源，提取汽車相關安全態勢，對潛在安全問題或安全事件進行預研，提前部署相應解決對策，進一步增強智能網聯汽車安全防禦能力。

劉健皓：從案例來講，基本上都是信息漏洞的事件，基本上是車廠被搞定了，車廠的雲平台被搞定了，它的數據被泄露出來。這些數據有沒有價值？實際上也是有價值的。我們在2018年的時候看到暗網有人賣車廠的客戶信息，這些客戶信息都聚焦在車廠的某一個系統，這個系統被搞定了，而不是車被搞定了。所以說，車廠的信息泄露跟車的安全沒有直接的關係。

還有一方面，由於車的安全問題造成了人在車上面的一些駕駛行為和軌跡隱私相關的數據泄露，現在車廠在這塊的保護是有考慮，但還沒有這些事件發生，沒有針對人的攻擊，利用漏洞針對車主進行攻擊，把隱私給勾划出來，這種事件還沒有。可是在我們的研究過程中，實際攻擊者可以去根據目標人把人的行駛軌跡還原，有這種風險。

劉健皓：對。

劉健皓：從一開始我們破解特斯拉到現在給比亞迪做防護，實際上我們由一個攻擊者轉為了防禦者。現在實驗室分為兩條線，一條線是幫主機廠做主動的評估和安全檢測，幫他們發現問題。正好可以說一下我們的重點，我們原來給TSP等傳統車聯網做安全檢測，現在有很多的車廠給我們提的需求是——能不能對他的自動駕駛安全進行測試。到 2020 年，大多數車廠標配了 L3 或者是 L2.5 的汽車，但沒有對自動駕駛的控制器和感測器的信息安全做過測試，很多車廠已經提出這樣的測試需求，我們也承接了這樣的一些測試項目，主要是自動駕駛安全測試。

劉健皓：有與百度的阿波羅那樣的平台性的合作，他們也有信息安全團隊，他們的團隊也在做自動駕駛的安全檢測。自動駕駛安全主要是分為兩個方面：一個是感測器的安全，有一種是演算法上的安全。

劉健皓：跟車廠合作，他們那裡有很多的需求具體的需求對接的是他們的一級供應商，比如說博世、聯電，還有 V2X 的安全方面，我們是有合作的。還有蔚來現在V2X以後，智能交通還有路測設備的，RSU這塊的廠商，像路測單元的廠商也需要信息安全防護，擴大的面就非常廣了。

劉健皓：自動駕駛的功能和安全是兩碼事，功能是需要中國有幾個示範區，上海的、北京的、重慶的、長沙的都會有一些自動駕駛的示範區和牌照，那是屬於自動駕駛的功能測試。但從反饋的結果來看，只有發牌照的時候知道有誰，路測的時間非常短，不像特斯拉的自動駕駛的測試，首先是賣了一批車，通過遠程OTA更新，更新完了之後直接讓用戶去測，測完了之後再慢慢地細化演算法，再更新人機交互系統，但國內還是屬於在封閉式的園區路測階段。這是功能性的測試，我們的安全測試是上不了路的，我們的路上是在台駕階段，是在實驗室裡面，把感測器拆掉，測試一下能不能被攻擊。

劉健皓：現在遇到的難點應該是整車廠的整車預算里沒有安全預算，安全也一下子賣不上一個很好的價錢，有一些企業安全的項目實際上都是從其他的項目裡面騰出的一部分錢。像BAT和我們都比較尷尬。可是要從商機的角度來說，2018 年有一個很大的遞增，早期我們開始做車聯網時不太受待見，有的車廠會說車聯網的安全是屬於國家的，與我們無關，有的不會考慮車聯網安全。到現在大家都開始知道車聯網安全，意識上提升了。最早說車聯網安全，別人說的是業務和自動駕駛，我們現在說的都是車聯網安全，而且大家說的都差不多，車廠從高層的意識來說，只能說下面在做這塊工作的時候有一定的意識，研發追責也會從其他的項目來進行。

商機不好說，如果說一個車廠把安全的預算加入到整車預算裡面，這個商機是特別大的，如果不加到裡面，大家做的都不是特別大。

劉健皓：也存在競爭，這個競爭得看從哪個方面說。從軟體層面看，BAT或者是這之間是有競爭的，這是我們的強項。從硬體方面，假如我們要把安全的軟體或者說硬體或者是BAT的硬體也做了，面臨的就是以前的主機廠 tier1 和 tier2 的競爭，這種競爭是非常慘烈的。之前有競爭廠商說有什麼安全的控制器想賣一個價錢，這種競爭可能會是一個爆發點。

2014年、2015年，我們基本上沒有什麼競爭對手，我們自己有了研究成果，車廠主動看到了研究成果，讓我們給他做測試和提供防護。從2017年、2018年開始，首先是國家監管機構重視到這一塊了，他們開宣傳教育用戶，用戶反應不過來。之後用戶給傳統的安全廠商提了一些需求，培育了很多類似於傳統信息安全的公司搞車聯網。2017年這些廠商還說不懂，2018年說可以做一做，2019年他們已經有了解決方案，他們的解決方案還是從傳統的安全防護角度來做，沒有從車本身來，所以說跟我們的方案還是有一定的差距的，但是在2019年一定是百家爭鳴的場景，各家都有安全方案，車廠有很多選擇。這就是競爭的趨勢，但不會太白熱化，因為差距還是存在的。真正白熱化應該是在 2021 年左右，2021 年可能是一個點，汽車的增長量會達到 3000 萬輛，汽車市場又會熱起來，到了那個點，其實車廠也會把它的網路安全預算放在整車預算里，這時就是要拼真刀真槍了，很多真金白銀也會下來。現在基本上我們做的項目是 2020 年或是 2021 年發布的汽車，今年會有很多的傳統網路安全廠商擠進來。

雷鋒網：你們會做技術層面的計劃嗎？

劉健皓：目前沒有，而且目前我們知道的很多的傳統廠商想出名，他們也會買一輛特斯拉強行找一個漏洞說我也破解了特斯拉，會有越來越多的人破解特斯拉，前赴後繼地破解特斯拉。

劉健皓：360 的定位已經很清楚了，我們只做應用層和網路層的動態防護，所以像騰訊、百度都有合作點，百度是做自動駕駛的，我們完全有一些自動駕駛的合作就可以開展。騰訊主要是做內核的防護，主要是對系統的內核進行加固,這跟我們的出路不太一樣，不是因為我們的技術的深度不夠，是因為我們真的是不敢動系統內核，車本來就是一個高實施性的交通工具，如果系統改了出現崩潰，直接與人命相關，我們不碰這塊，我們有足夠的信息和能力，通過網路層和應用層可狙擊攻擊，各家的理念不一樣。

寶馬很早就開始做信息安全了，車內網路都有 PKI、證書密鑰這套系統，各個 ECU 之間也可以相互認證，底層的安全啟動到安全的執行環境，應用安全、網路防護都有。他們可能就喜歡這種從正向建設的安全方案，但成本非常非常高，最後可能還是用戶來買單，建設方案成本非常高。我們出來的這套方案實際上 當於是找到了攻防平衡的點，能保證相對的安全。

劉健皓：現在基本上節奏就是第一年做評估，第二年是部署產品不斷地深化，有一些新的用戶在持續地擴展，其實國內的車廠也就這幾家，跑完了就開始長期持續有一些新的需求，比如說第一年做評估，第二年做完產品之後，第三年做什麼？實際上在第二年的過程中很多的車廠有自己的想法和需求會給我們，我們會給他們做一些開發和預研，車廠用了我們這套系統之後發現有很多的結合自己系統的安全防護需求，就會讓我們做開放。我們也幫車廠發現了很多安全問題，比如一個車型發布了，它的車載娛樂系統非常炫酷，國外的廠商把車買過去，想把車破解掉研究，結果就被我們攔住了，這個產品對他們來講還是非常有價值的。

劉健皓：基本上能夠自負盈虧，我們團隊20個人。賺錢可能還是比較難的，應用轉正還比較難，但現在車廠的預算也的確是很少。

只是小几千萬，很慘很慘。但這一塊市場規模我可以說一下，中國每年新增 2800 萬輛，這是去年的數字，前年也是 2800 萬輛，根據 RHS 諮詢機構預測，2020 年以後基本上每年保持在 3000 萬輛左右，其實有50% 以上的都是聯網汽車，有 1500 萬輛到 2000 萬輛是聯網汽車，每台聯網汽車大概網路安全預算能到100塊錢左右，也就是一個百億級的市場。

----一個來自編輯碎碎念的彩蛋----

為什麼這次開走特斯拉的不是中國黑客代表，你猜我會怎麼說？

A.破解太多不想玩了

B.實力不如別人（呵呵，只是湊個選項）

C.emmm不能說，不讓玩

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！