以系统体系存在的汽车无线通讯技术,无法割裂为汽车技术、电子技术、计算机技术以及无线通讯技术单独来谈。简而言之,汽车无线通讯技术是让汽车抛弃物理连线,利用无线技术让车与车、车与移动设备、外部环境之间顺畅沟通。在车企公关文中,它隐藏在“车辆安全”、“性能提升”和“丰富驾驶体验”等字眼背后。在汽车里头,车况实时检测、GPS定位导航、车辆指挥调度、环境数据采集、车内娱乐信息系统中都有它的影子。
然而,技术双刃剑的说法也同一时间被频频提出。无线通讯给车企带来更多签单的同时,车内网络准入也同时为黑客入侵带来可乘之机,007中手机控制宝马车不再是荧幕故事。而我们的广大车主们,面对个人车内数据被商用的现象是不是越来越无视?
为了确保这些新技术不会危及到驾车人的安全和个人隐私,美国麻州参议员爱德华•J•马基(Edward J. Markey)致信各大主机厂,调查了车联网技术的普及程度,主机厂现阶段的黑客安防措施,以及个人数据如何被收集、储存和管理,为防止数据被恶意使用配备了哪些安全措施,最后整理出具了一份汽车安全报告。
这份报告汇总了16家车企的回信,总结了宝马、克莱斯勒、福特、大众、本田、现代、捷豹路虎、马自达、梅赛德斯奔驰、三菱,日产,保时捷,斯巴鲁,丰田,大众(含奥迪),以及沃尔沃的答复内容。同时,调查信还抄送了阿斯顿马丁,兰博基尼和特斯拉,但是这三家车企没有回复邮件。
麻州参议院办公室将回信中获得的信息整理为以下八个发现:
发现一:市面上将近100%的汽车搭载了无线通讯技术,增加了黑客入侵或隐私窃取的风险。
无线通讯技术的基础,是开放无线入口(WEPs)或使用汽车电子设备远程接入。2011年一组研究人员证明,车端WEPs的安全防范十分薄弱,研究人员可远程入侵汽车系统,并将这些弱点为其所用,如位置追踪与窃取,操控门锁和刹车等等。
在16家回信的主机厂中,14家车厂以2013年和2014年作为样本年份,统计了各家搭载无线入口的汽车数量。11家表示全部车型都开放了WEPs,其中几家车厂还引用了联邦政府要求汽车配备胎压检测系统的文件,该系统对无线入口准入有硬性要求。3家车厂市面上的车未全部开放无线入口,但2013年未开放的汽车数量占比(7%-30%)较低,到2014年这个比率保持不变甚至有所下降。
回信还显示,现阶段路上行驶的汽车至少开放了一个WEP,这些入口包括但不限于轮胎压力监测系统,蓝牙技术,无匙进入,远程启停,导航,WIFI,移动电话/远程信息处理,无线电通讯和防盗系统功能。
发现二:多数主机厂尚未有意识,或者还不具备能力汇报以往的黑客入侵事件。
马基让每家车企业罗列并陈述他们过去发现的旗下汽车遭遇的无线或非无线入侵事件。16家回信的车企中,捷豹路虎、保时捷以及大众汽车并未作出回应。另外13家解答了这项问题,其中12家称从未收到任何入侵事件的相关报告,只有1家列出了一则相关案例,以下是这家公司的详细说明:
1.一个第三方开发的安卓APP,可以通过蓝牙把手机与汽车建立连接。安全分析并未指出任何可能带来的密码入侵和数据窃取隐患,但是主机厂为了以防万一,还是把这个APP从Google Play上撤架。
2.一些个人试图给车机重新安装系统,想用性能芯片来提升发动机功率或扭矩。其中一些设备被嵌入了自动授权许可识别的模块中,或者直接植入了发动机电子控制系统。
发现三:各车厂的防远程入侵安保措施尚未标准化且比较随意,不少车厂并未理解马基的提问意图。
车厂如何针对WEP入侵建立安全壁垒,是否会请第三方来验证安全性?车厂如何通过召回和服务活动进行软件升级,并确保一切安全妥当?这两个提问明确问及了系统中有哪些安全漏洞,涉及类目有轮胎胎压检测系统,蓝牙/无线通讯技术,安吉星/导航系统,智能手机/移动设备整合,网页浏览,电子控制单元(ECUs),还有V2V通讯技术。
而16家回信主机厂中,有13家或多或少对这些问题进行了说明。克莱斯勒,梅赛德斯-奔驰,马自达三家没有回答这个问题。另外五家的回答十分官方,仅对问题打包后进行了宏观阐释,缺乏分项具体说明。
不同车企对问题的理解各不相同。过半的回信更像是在回答“如何使WEP正常工作”而不是“如何守住这个安全缺口”。 另外一半回信提到了他们在研发过程中为了让安全措施达到既定的评级而采取的措施。
“如何让WEP正常工作”的回答围绕安全和加密展开,车企们的答案各异,包括以下几项:
1.唯一性的识别数据和特定的无线电频率。
2.接收器根据传感器的频率强度,来判断是否能合法读取数据。
3.使用加密密码和特定的无线设备。
4.加密,通过遮蔽手段来保护区域,全盘扫描,证书,过滤,防火墙,数据丢失防护和访问控制,入侵检测系统,白名单,欺诈识别、分区、网络隔离和专用的通讯工具。
5.在不允许未授权工具写入代码对内容进行更改的地方,采用封闭系统来保证安全。
6.联网时采用SSL(Secure Sockets Layer,安全套接层,网站和浏览器之间以加解密方式沟通的安全技术标准)标准保护数据安全。
7.使用Seed-key的方式(seed-key是一种保护措施,一般在通讯协议里头管理ECU的外部访问接口,保证进入ECU的信号均经过授权)。
参议院员工咨询了汽车安全专家,唯一性的ID号与无线电频率(即1.2)可以被黑客识别,封闭的系统代码(即3,5)已被证明可改写,还有Seed-key(即7)也可以轻松被绕开。
另外一半回答了,车厂在研发过程中为了让安全措施达到既定的评级会采取什么措施。这部分回信在字面和意图上更加切题一些。回答如下:
1.威胁模型分析
2.渗透测试
3.验证与输入验证
4.虚拟测试
5.零部件测试
6.物理测试
7家主机厂声称,使用了第三方测试来评估他们的安全措施,5家表示没有第三方测评,4家没有回答这部分问题。调查中还问到了车企们在2009-2013年期间进行因为信息安全问题而采取的召回和服务活动的数量,以及在召回和服务活动中是否包括了识别恶意软件的系统升级。克莱斯勒、梅赛德斯奔驰、保时捷和大众汽车没有回应,其他12家在回信中给出了不同程度的细节。回应中过去5年内的召回和服务活动次数从27到210次不等,其中11%-14%涉及类似软件升级的情况,都要回经销商或实体服务中心(而不是像手机一样的云端推送)。
还有提问是关于主机厂如何安全传送升级软件。回答非常一致:都由经过权威认证的经销商,使用特定的工具完成。受询的汽车安全专家表示,这些厂商认为这样的方式是安全的,是有一个假设的大前提:这样的升级方法可以让恶意软件无机可乘,必须要通过物理的方式才能破解。但是专家们并不认为这样的方式可以完全地做到物理隔离,还是应该在升级时采取ECU密码验证的方式来保证升级过程中的安全。
发现四:只有两个车厂能主动、实时应对入侵,多数车厂表示现阶段的技术还不能实现这一目标。
车厂是否能实时监控电子系统来抵御、回击潜在入侵行为,大多数车厂回答:只能记录下车机内的数据。这意味着只有经销商或服务中心日后人为下载数据后,车厂才能发现并引起注意。那么如何应对黑客入侵?大多企业没有回答或提到一个现有的通用安全系统。只有2家车企描述了对一次入侵事件的实时有效的回击。
车厂被问到现有技术可否监控汽车CAN(Controller AreaNetworks,控制器局域网络,能管理车内各电子系统模块间的通讯)总线和WEPs。当未授权入侵、远程攻击或者无意中传入WEP的恶意密码被报告或监测到时,作何反应。只有1/2的车厂回答了这个问题,6家称会对CAN总线进行监控,2家承认没有监控CAN总线,不过他们正在研发可用的系统。其余8家公司里,梅赛德斯奔驰,日产和保时捷不予回应,其他5家声称该部分信息属于保密内容。
其中,6家车厂监控CAN总线的方法各异:
1.一家称有一个专门的监控系统,受攻击时黑客无法关闭。
2.两家表示车上装载了电子控制元件,监控系统可以发现不寻常的信号,只要这项数据晚些时候被经销商或服务中心读取,就会向车厂发送警报。
3.一家介绍了一款防火墙与“看门狗”系统,在入口处进行互通防御和识别信息不一致。
4.一家列出了信息验证、入侵检测、加强控制器的保护措施来保证安全、安全入口和安全程序。
5.一家提到了把Seed-key应用于保护汽车免受未认证入侵,生成一个随意的安全变量。只有按顺序完全匹配,数据交换才能被允许。
汽车安全专家指出,ECU监控(即2)和防火墙/“看门狗”系统只能检查出不寻常的网络行为,但不能监测出数据本身的问题。打个比方,就像有人收到了威胁电话,电话公司即时监测线路,查看是否有电话呼入,但并不核查通话内容。他们也注意到Seed-key(如5)也会被恶意攻击者轻松绕过。
有关监测WEPs入侵获得了类似的反应。八家主机厂回答如下:
1.四家主机厂提到了他们用加密和安全技术,为车搭载了一些功能。
2.一家车提到了持续的ECU监控。(依旧是上面提到的那些内容)
3.一家车厂提到了防火墙/看门狗系统。(上面已提到)
4.一家提到了seed-key安全系统。(上面已提到)
5.一家表示他家的远程无匙进入系统可以记录钥匙密码鉴定失败的记录。
加密和安全措施(即1)尚未构成识别入侵事件的系统。汽车安全专家指出ECU监控(即2)只是一个简单的ECU监控功能,防火墙/“监控狗”系统(即3)也只能保护很少的外部影响,诸如电磁频率干扰和非恶意入侵。Seed-key系统(如4)可被黑客轻易打败,远程无匙进入系统(即5),只能防止人们进车偷车,对远程黑客潜入毫无作用。其中,只有Seed-key系统,具有向车厂实时报警的功能。
最后,关于车厂如何实时回击一次入侵,6家未作答,6家含糊其辞,提到了安全系统和“采用合适的方式”,例如召回、服务活动,这些都不具备即时解决问题的能力。另外4家车厂回应如下:
1.一家回应,车厂会使用远程程序来警告用户,解决任何问题。
2.一家称有办法终止某个连接功能。
3.如果故障会导致危险发生,一家主机厂可以让车进入“危险”模式,限制汽车行驶。
4.一家车厂表示会提供安全减速选项,并让一辆正在行驶的受攻击车制动停车。
前两个回应,通过远程信息处理程序或者禁用车辆功能来建立连接,并不是一个处理进行时攻击的有效方式。汽车安全专家表示,3、4两条回应的危险模式和远程减速、停车,是唯一一个给予了即时回应安全威胁的方案,并且将状况通知了订购远程服务的司机。
这三个问题和对应的回答告诉我们,愿意作答的车厂中,只有一两个能根据现实中的入侵行为提出行之有效的解决方法。
发现五:车厂收集了大量关于驾驶历史和汽车性能的数据。
新车能通过各种前装科技系统收集大量的数据。马基参议员在信中向车厂提出以下几问:(1)车内会搭载哪种导航技术或者其他技术来收集驾驶历史信息。(2)2013和2014样本年中,美国搭载这种技术的汽车所占百分比是多少。(3)哪种类型的数据会被收集。本田、保时捷、梅赛德斯奔驰没有回答这些问题,其他13家车企的回答各异。
车内哪些技术来收集驾驶历史信息?回答称导航、远程通讯、娱乐信息系统、紧急援助,失窃车复原以及事件数据复原系统,都可以记录驾驶历史信息。这些包括像OnStar和SYNC这样的品牌产品,也包含了其他非品牌科技。
哪种类型的数据会被收集,报告汇总如下:
1.地理信息(7家主机厂),包括:
定期记录的物理坐标
输入导航系统中的目的地历史记录
上一次停车地点
2.系统设置的事件数据记录设备,包括:
潜在的风险事件,例如突然加速
一些状态,转弯角度,制动应用,安全带使用,气囊打开
电子系统中的故障/错误编码
3.运行中的数据(7家主机厂),例如:
行车速度
汽车前进方向
平均油耗
电动车窗、车门、车锁的状态
轮胎胎压
油量
转速表读数(发动机每分钟转速测量)
里程表读数
上次加油后的行驶里程数
电池健康状态
冷却剂温度
发动机状态
车身外部温度和压力
不同车企搭载上述技术的汽车占比千差万别,有3家车厂回应没有记录任何驾驶历史信息,还有3家表示几乎所有车都将这些功能囊括在内。下表显示了具体的百分比数据,中值为35%。这些数据显示,配备这些技术的车辆占比从2013年到2014年呈持平和微增长趋势。
2013年、2014年车辆记录驾驶历史记录的占比
其中,有两家结盟车厂推出了“车企自发的隐私保护原则”——分为“数据收集最小化原则、去识别原则、储存原则”,来帮助消除数据使用的顾虑。数据最小化指车厂承诺所收集信息“仅在需要时合法商用”。尽管这是一个小小的进步,但是“仅在需要时合法商用”的条款仍然引起了诸多追问,比如车厂持续收集敏感数据的范畴是哪些?而且这些条款也没有在一开始赋予消费者拒绝数据收集的权利。
发现六:大多数车厂的技术可以收集和无线传输驾驶历史数据到数据中心,其中一些第三方数据中心不具备有效的数据安保措施。
车厂用多种方式储存数据。一些称他们只在车上存储信息,不能无线找回。另一些介绍了如何将所有数据无线传输到一个中央单元(被称为车外储存)。同样,大量的公司回信(9/11)指出,他们会与第三方公司合作建立连接,由对方提供数据收集功能。有3个车厂特别强调,他们为第三方公司颁发了许可执照,提供传送和储存数据的相关功能。
驾驶信息数据是否会被收集并储存在车中?12家汽车厂商表示旗下的一些车型中确实会在车上存储数据(取决于这些车是否具有此项功能)。只有1家称他们不收集这些数据,3家没有回应。12家称他们会储存驾驶历史数据,8家表示他们传输并在车外储存驾驶历史数据,另外4家否认了车外存储数据的行为。这表明大量车厂不仅提供存储数据,并且无线传送数据到自己的数据库或第三方数据公司。
车厂关于数据收集的保护措施不尽相同。在车内储存的案例中,没有车厂配备安全系统来保护数据。一些车厂认为不需要安全保护措施,因为获得数据必须要进行硬件连接。需要安全保护的是车外无线数据传输,但也仅6家车厂配备了保护措施。其中5家模糊回应了一些名词,如“加密”、“密码”,或者泛泛而谈一些IT安全案例。仅有1家详细阐述了他们自行研发的系统来限制可辨认的个人信息传输。
上面提到的两家车企自发的隐私保护原则里,也包括了“隐私安全”和“数据安全”。“隐私安全”原则写明了数据收集和分享的方式,还提供了一个案例列表来生动描述“合理并负责的方式”,汽车制造厂可以用两类公司收集和分享数据,一种是自家附属公司,另一种是独立组织。其中,这些公司的服务包括提供订购服务,科研、回应紧急情况和故障,遵守政府法律条文——这套方案放之四海而皆准,对减少数据收集和分享没有针对性的指导。
“数据安全”表明,车厂承诺收集的数据“只在必要时合法商用”,这对减少不必要信息的分享有积极意义。但是这项原则并没有对“合法商用”进行详细说明,开放给结盟车企自行理解。
发现七:车厂将个人车辆数据用于多种用途,经常含糊解释为“提升消费者体验”,使用通常涉及第三方,并对数据储存时长保留最终解释权。
车厂如何使用汽车历史数据?此前声称会收集数据的8家车厂中,3家没有直面问题,另外5家的回答汇总如下:
1.提供特殊功能
2.保持并提升服务
3.强调汽车安全隐患
4.识别与协助技术问题
5.当系统识别出车陷入一场事故时,做出回应
6.实现消费者的服务需求
7.调研(分析与营销)
大多数回答很含糊且没有深入解释,例如“提供特殊功能”、“保持与提升服务质量”、“用于调研”。对车主隐私数据如何使用缺少透明性,让消费者一头雾水。
另外,回信显示大多数收集数据的车厂会和第三方分享信息。8家车厂中的5家会与第三方机构分享这些数据,他们强调不会买卖这些信息。2家特别强调不会分享任何带有识别性的信息。
数据会在各种各样的系统中储存多久?1/3的车厂没有回答,另外8家回答:视功能或技术有所不同。有的说储存时间不会长于一年,有的则说无限期。
1.五家列出的信息显示,1到10年后,这些信息就会被删除。
2.三家回应没有具体的储存期限,其中两家说用户可以随时删除这些数据。
3.一家称系统运行存储空间时,导航信息将被重新写入。
4.一家称车商的错误信息在故障接解除后就会自行删除。
车企自发的隐私保护原则中,包括一项车厂的承诺“仅在需要时合法商用”,使用保留可识别性和个人认购的信息时,“不会超过他们承诺的必要商用目的的范畴”。这一原则的目的十分积极,但这些限制取决于车厂各自的理解,也没有明确的规范来防止过度收集或留存。考虑到数据的使用方式,结盟车厂进一步提出了“隐私安全”的原则。该原则给出了一张关于“合理负责使用方式”的清单,结盟成员能分享和使用各自收集到的汽车数据。这就包括了很重要的一点:车厂与执法机关分享汽车地理信息时,必须要提供证明文件或者法院指令。然而公告里没有详细说明,消费者也无法提出反对意见。
另外,车厂的自愿“选择”原则显而易见应该是,在数据分享前需要得到消费者明确同意。但是这一承诺并未在原则中提及,同样没有涉及的,是(1)非敏感数据如何商用,以及(2)敏感数据是否会用于非商业用途。
发现八:消费者很难意识到自己的数据正被采集,即便发现了,也只能采取停用“导航”等功能的方式,来终止这一行为。
回信显示,12家承认了记录储存数据的行为,其中3家没有回答消费者是否知情,1家称车内数据存储没有必要告知车主。另外8家车厂列出了下述几项通知方案:
1.业主手册
2.隐私声明
3.使用条款(这些条款一般不得不被接受)
消费者能否禁用数据采集和传输,以及如何操作?4家车厂没有回答。2家车厂称消费者无法终止这一行为,2家车厂表示车厂可以禁用,另外4家称关掉涉及数据收集的功能,取消订购服务就能终止数据收集。
使用者是否能删除以前被收集的信息?6家车厂没有回答,5家明确表示可以从车内导航系统中直接删除数据,1家提到可以联系服务提供者删除。
这些回答表明,消费者只有阅读长长的文字内容,才能知道数据被取用,在某些情况下,才有办法删除先前记录下的数据,而且必须以禁用重要车内功能为代价。
车企自发的隐私保护原则里部分提到了这些担忧,并且承诺数据收集“透明”、“可选择”。签署该原则的车厂同意为消费者提供“快速的方法”,“清楚、有效地告知车厂收集、使用和分享”的数据。
所谓“透明”,是指车企会在“车主手册,书面、电子注册表,用户协议,车内展示”中如实告知用户,并且会在车主购买前必须签署的使用条款标出。但是,可以看到,这些类型的通知没有比回复给参议员马基的内容进步多少。
说到“选择”,当特定的信息,如地理信息,生物信息或驾驶行为数据,被收集或分享,用于市场营销或独立第三方前,原则中称车企必须获得消费者的许可。但并未承诺会在开启数据收集的第一时间提供“同意”或“删除历史记录”的选择。并且,消费者选择反对数据收集后会付出禁用有价值功能的代价。例如,避免地理信息用于营销的方法就是关闭导航功能。
车云小结:
无线通讯技术取代了物理连线,成为未来车载通讯的大势所趋。传统车企已经意识到联网技术与签单的正向关系,但没有为自己增加足具竞争力的IT属性。调查中显露的“不知情”和“没关系”,暴露了车企还不具备比肩互联网企业的大数据意识和风险管控能力。而“商业机密”和“无可奉告”可能只是在隐藏心虚。
在车云菌看来,车企结盟与隐私保护原则的拟定成为了车企深挖大数据的序曲。现阶段的结盟更多是处于商业合作的需要,未来原则条款的修订里,设立详细而标准化的评定标准应该成为联盟优先商定的问题。随着成员数量的扩张,更多的数据潜能会被挖掘显露,消费者安全与隐私需要正确摆放。“能力越大,责任越大”这句话也会时刻敲打着新一轮汽车革命的初心。