汽车数字钥匙暗藏安全隐忧

近日，英国曼彻斯特信息安全公司（以下简称NCC）公布了一则视频。视频中，一名研究员手持一台连接小型中继设备的笔记本电脑，正在尝试解锁一辆2021年款特斯拉Model Y，而装有“数字钥匙”功能的手机却远在20米开外。不过10秒，这名研究员便打开了这款车，并进入车内一键启动了车辆，驶离了人们的视线范围，动作一气呵成。

这名研究员称，该实验是基于蓝牙BLE协议的弱点，“欺骗”汽车系统，让系统误以为是车主接近并解锁车辆。NCC在一份声明中指出：“实际上，汽车、房屋和私人数据的系统正是使用蓝牙进行近距离认证的机制，不像传统的漏洞可以通过升级和补丁修复，破解的成本低、用时短，容易被不法分子利用，为消费者的用车安全带来隐患。”

与传统车钥匙不同，数字钥匙是指用户通过持手机或智能穿戴设备，靠近车辆即可解锁车门。

如今，随着智能科技的发展，数字钥匙得到越来越广泛的应用，车企与智能手机跨界而生的案例数不胜数。以特斯拉为例，支持数字钥匙功能的有苹果、三星等大多数海外品牌，还有OPPO和vivo两家自主品牌。

在记者向OPPO求证时，其相关技术人员表示：“根据目前公开的信息，该实验是基于蓝牙BLE协议的弱点，采用中继攻击的方式。一般情况下，中继攻击需要收集并放大解锁信号，绕过车端的中继攻击检测，才能成功解锁。”那么，数字钥匙的应用是否会对消费者带来“安全隐患”？

OPPO相关技术人员认为“安全”是个动态和相对的状态，一方面需要考虑受攻击者的成本，比如资源的投入和时间的限制；另一方面，需要考虑实现手段对受攻击者带来的影响，比如是否需要远程控制或需要物理接触，甚至改造特定目标设备。“对于普通用户而言，尽管车和手机的风险相对较小，但是为了避免个人财产遭到损失，日常生活中应当了解基本的安全知识，例如不要随意将手机借给他人；车辆停靠后要留意附近是否有可疑的设备或人员等等。”

除此之外，数字钥匙的大范围应用，代表着智能科技的快速发展下，汽车这一运载工具正在突破传统，逐渐与其他生活方式与产品相融合，比如手机、社交网络、隐私信息。这为消费者带来便利的同时，也将消费者更多的信息、财产暴露在安全隐患的“红灯”下。另一方面，如今汽车中所采用的“人性化”设计，如“无钥匙”启动按钮，是否也在一定程度上为非法行为带来“便利”？

一边是数字化、智能化的体验带来的便利，一边是在这之下隐藏的“安全隐患”。对于消费者来说，面对快速发展的智能科技，考验的其实是其对“安全隐患”的“容忍度”。消费者愿意为数字化、科技化体验让渡多少权益？

据佐思汽研《2021年汽车数字钥匙研究报告》，2021年中国乘用车数字钥匙装配量超过200万，同比增长243%，装配率10.9%，比上年增加7.5个百分点。预计到2025年汽车数字钥匙装配量将达784万。面对如此庞大的装配量，在“危机”滋生之时，如何规避“数字钥匙”的安全风险、保障消费者权益已是迫在眉睫。

在监管层面，政府相继出台《信息安全技术车载网络设备信息安全技术要求》、《智能网联汽车车载端信息安全技术要求》、《信息安全技术汽车电子系统网络安全指南》等政策，对汽车网络信息安全作出指导性意见。

在企业层面，车企和零部件企业也在填补漏洞，寻找安全系数更高的解决办法。据OPPO相关技术人员介绍，目前除了蓝牙车钥匙外，OPPO也和比亚迪共同完成了NFC车钥匙的接入，“同时，OPPO也一直在积极和车企合作伙伴保持密切联系，共同研发 UWB 车钥匙，更有效地应对蓝牙协议的脆弱性，避免有针对性的中继攻击，进一步提升安全。此外，OPPO也与多家车企合作，使用OPPO手机的TEE安全芯片，进一步改善基于蓝牙协议的数字车钥匙的安全性。”

值得注意的是，美国国家犯罪保险局公布数据显示，在2011年到2018年5月间，特斯拉汽车总共被盗取115辆，其中112辆被找回，这得益于其“远程定位”等功能。

在全球汽车产业加速智能化转型的同时，汽车使用的“安全隐患”成为每个人头上的“达摩克利斯之剑”。如何让这把悬着的剑不要落下，考验的是多方协同解决的能力，或许这也是车企赢得消费者信心的关键所在。