存在漏洞，多款本田车可被远程控制！智能化趋势下，车还安全吗？

汽车是我们日常最重要的交通工具。据公安部公布的2022年上半年全国汽车和司机统计，截至2022年6月底，全国汽车保有量为4.6亿辆，其中汽车3.10亿辆。

随着造车技术的不断提高，互联网、大数据等技术的发展，汽车已经不再是单纯的汽车，各种智能化的手段、自动驾驶、无人驾驶，都逐步来到我们的身边，并逐步成为许多车辆的标配。

尤其是电动车的兴起，使得各种智慧手段，与车辆更好的融合，有人说，现在的电动车，根本不是车，而是一台装上4个轮子的电脑。

1

近日，据 The Drive 报道，大量本田汽车拥有安全漏洞，使得黑客可以远程解锁汽车。

根据相关报道显示，研究人员测试了一个远程无钥匙进入系统（RKE），并在测试过程中发现了滚动式PWN攻击问题。影响到市场上从2012年到2022年的所有本田汽车。其中包括：

本田思域2012

本田X-RV 2018

本田C-RV 2020

本田雅阁2020

本田奥德赛2020

本田启发 2021

本田飞度 2022

本田思域 2022

本田VE-1 2022

本田皓影 2022

那么，滚动式PWN攻击问题是什么意思呢？

在车主使用无钥匙进入系统解锁车辆时，老式车辆会使用静态代码，但是这些代码并不安全，别人都能捕捉并重新发射该代码信号，并解锁车辆。

因此，汽车制造商会采用滚动代码来提高车辆安全性。

滚动代码通过使用伪随机数字发生器（PRNG）来工作。当配对的钥匙扣发射锁定或解锁信号时，钥匙扣会向车辆发送一个封装好的唯一代码。车辆根据其内部数据库中 PRNG 生成的代码检查钥匙扣发送的代码，如果代码有效，汽车就会批准锁定、解锁或启动车辆的请求。

当用户按下钥匙扣时，其可能不在车辆接受信号的范围，所以有效代码将为一系列代码。而当车辆成功被有效代码解锁后，为了防止黑客捕捉并重放该代码，其数据库会使此前的有效代码失效。

可是，根据测试者提供的信息，本田汽车并没有使这些使用过的代码失效，黑客将能够通过捕捉并重放本田汽车钥匙扣发送的代码来解锁车辆，他们将该漏洞称为 Rolling-PWM。

随后，本田发言人发了一份声明，表示这项指控缺乏实质内容，并表示本田车辆的钥匙扣配备了滚动代码技术，不可能出现报告中所说的漏洞。

然而，博主 ROB STUMPF 通过捕捉和重放其 2021 年本田雅阁的锁定和解锁信号，证实了这一漏洞。

专家们也给出了相关的建议，"常见的解决方案是通过当地经销商处对涉事车型进行召回。但如果可行的话，通过空中下载技术（OTA）更新来升级有漏洞的BCM固件。然而可能存在有部分旧车型不支持OTA的问题。"

2

汽车行业发展到今天，早就不是单纯的代步工具，智能化需求越来越多，而智能汽车也成为热销产品。

据国家发改委预计，到2025年，中国智能汽车渗透率将达82%，数量将达到2800万辆；2030年渗透率将达到95%，数量约为3800万辆。另据中国汽车工业协会预测，中国将在2025至2030年间实现更多复杂场景下的自动驾驶。到2040年，智能汽车可能颠覆当前的交通运输模式，智能驾驶将占据道路上行驶车辆数量的四分之三。

汽车的智能化，主要是依托大数据和人工智能技术，增加人机交互和智能感知、大数据决策，从而提升驾驶乘坐人员的舒适度和便利性。背后是各类数据的收集、分析，构建模型，智能决策。

与之伴随的，就产生了车辆驾驶安全性之外的安全，系统安全和数据安全。

不久前，新能源汽车巨头特斯拉再被曝出其无钥匙系统被黑客侵入，这次只需10秒时间就可以解锁车门并启动电机，硬件成本只需要100美元。

1月份，一位德国安全研究人员大卫・科伦坡（David Colombo ）在推特上发文称，特斯拉存在程序漏洞，该缺陷能够让黑客远程查询车辆位置，并可以远程关闭哨兵模式，而该模式使用运动传感器和摄像头作为车辆安全系统的一部分。

科伦坡没有透露该缺陷的具体细节，但他在推特上发布了一系列有趣的线索。科伦坡表示，他可以在有人开车时远程操纵、突然将车内音乐音量调至最高，这可能导致司机失去对车辆的控制。

其实，早在2020年，英国一位安全研究人员就曾表示，特斯拉汽车存在安全漏洞。实验表明，只需不到90秒，就能在没有钥匙的情况下偷走一辆Model X。为此，特斯拉还特意开启了“漏洞悬赏”计划。

在国内，也有人做了许多类似的实验，证明这些电动汽车在远程启动方面，的确有一定的安全隐患。

3

在系统安全之外，智能化背景下，驾驶人的数据和隐私安全，也成为关注的焦点。

今年5月份，发生过一个“高合事件”。据澎湃新闻报道，有汽车博主在微博上分享了高合HiPhi X的一个功能：进入车辆自带的行车记录仪，然后点击屏幕上出现的“汽车Wi-Fi”形状的图标，全国范围内同款车型的车主列表就会出现在大屏上。

接下来才是最神奇的，随意点击任何一个车主信息，经过短暂加载后，这个车主的行车记录仪画面就可以出现在自己车辆的屏幕中——高合汽车变成了移动摄像头。

这已经不是智能汽车第一次因为“泄露隐私”冲上热搜。

2021年4月6日，国外黑客“绿神”分享了一段特斯拉车内摄像头拍摄的高清画面，画面里除了后视镜遮挡存在部分视觉盲区外，前排驾乘人员的动作、姿态，清晰度与正常视频画面基本没有区别。特斯拉CEO马斯克也首次承认：会通过车载摄像头监控司机的驾驶行为。而小鹏、蔚来也都在车内装有驾驶员感知摄像头。

梅赛德斯-奔驰也曾被曝出被黑客破解车载系统多个漏洞，可随意更改氛围灯、车机图像。

5月份，通用汽车被曝出其部分车主的在线账户遭到了黑客入侵，用户地址、电话号码等个人信息被盗。

4

智能汽车的背后，是大量的数据。高精地图的绘制，自动驾驶软件算法的开发，驾驶行为的监测，自动驾驶车辆的监控都需要依靠海量多类型的数据作为支撑。

如今的汽车，就和手机一样，会产生大量的交互，而这些交互所产生的数据，组合在一起，就会形成更加敏感的数据。

一辆无人驾驶汽车每秒最多能产生100GB的数据。据工信部此前调研结果，当前一辆智能网联汽车每天收集的数据容量在10TB以上，这些数据不仅是车辆运行的轨迹、速度等，还涉及驾乘人员的出行轨迹、习惯、语音、图像、生物特征、视频等个人隐私信息。如果这些数据不能合理合法的被利用，就会产生巨大的影响。

一是对行车安全的影响。车辆的智能化、网联化，增加了车辆网络安全风险威胁，使黑客有机会攻入车辆，甚至可以通过篡改数据获得控制车辆的控制权，给行车安全带来危险。仅2020年，全球与车联网相关的恶意攻击超过280万次。

二是用户隐私安全的泄露风险。车上装载的各种传感器、摄像头会持续获取车上用户乃至车外的行人的相关信息，涉及到用户隐私侵犯问题。

三是对国家安全的影响。智能网联汽车上大量的视觉传感器、毫米波雷达、激光雷达传感器在行驶的过程中会不断地扫描路面和周围的交通环境，获取大量地理信息，这些信息一旦泄露将会对国家安全造成威胁。滴滴事件，就是一个典型的例证。

不仅如此，当年滴滴出行发布的一份报告，通过对国家公安部、监察部、民政部、司法部、财政部等十几个部委出行数据进行监控，并把它们分析出来制成报告“自鸣得意”地公开在网络上，实际就是处理汽车数据不当、对国家信息安全造成威胁的鲜活例子。

因此，汽车数据，不仅关系到个人隐私，更会关系到社会安全，甚至国家信息安全。

去年，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定（试行）》（以下简称《规定》），自2021年10月1日起施行。

《规定》的出台将会规范汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益，促进汽车数据合理开发利用。

您对车辆数据安全怎么看？欢迎留言交流。

文中部分内容综合自IT之家，51CTO，每日经济新闻，澎湃新闻，懂车帝，新民周刊等。