一家中国企业宇通集团(Yutong Group)生产的电动巴士正在丹麦和挪威接受审查,该公司的巴士同时也在澳洲道路上运营,这一情况引发了网络安全专家的担忧。
(图片来源:ABC)
上周,挪威交通运营商Ruter公布了测试结果,显示宇通集团能够访问其测试车型的控制系统,用于软件更新和诊断工作。
该运营商表示:“理论上,这一权限可能被利用来影响巴士运行”,并解释称巴士存在被远程关闭的风险。
宇通澳洲(Yutong Australia)在其官网上称,自2012年以来已在澳洲“交付”超过1500辆车辆。
不过,宇通在澳洲的经销商VDI的发言人称,澳洲境内目前仅有133辆低地板城市巴士和约12辆包车或长途巴士为纯电动车型。
该发言人补充道,在澳洲,软件更新的常规做法是在服务中心现场进行,而非远程操作。
Ruter并未透露其测试的“全新宇通巴士”具体型号,宇通发言人则向ABC表示,挪威引发关注的巴士与澳“联网车辆”的普遍安全问题
然而,网络安全专Alastair MacGibbon表示,欧洲引发担忧的巴士型号是否在澳洲使用,这一问题“无关紧要”。
身为CyberCX公司首席战略官、前澳洲网络安全中心负责人的MacGibbon指出,所有“联网”车辆,尤其是电动车,都需要与制造商保持持续连接,而制造商能够访问车辆的麦克风、摄像头和全球定位系统(GPS)设备。
(图片来源:ABC)
“制造商必须能够更新软件和固件,这意味着他们可以降低设备性能、关闭设备或某些功能。核心问题不在于‘中国制造’,而在于‘中国控制’。”
“当然,问题的关键是,如果一家公司总部位于中国,它显然要服从中国共产党的合法领导。”
MacGibbon呼吁政府“积极考虑”禁止公职人员或政界人士使用所有中国制造的电动车,或禁止这类车辆进入政府场地。
“简单的事实是,我们最大的贸易伙伴可能也是我们最大的威胁,我们需要做出理性决策。”他同时承认,目前没有“简单的解决方案”。
澳洲国防部发言人称,该部门对国防设施安全采取“分层防护措施”。“基地安全的分层防护涵盖所有国防人员、安全承包商、周边物业、宪兵和地方当局,以保障基地安全并应对外部威胁。”
宇通回应:严格合规,不支持远程操控核心功能
宇通发言人称,在澳洲,未经客户授权,任何人都不得非法访问或查看车辆数据,公司“严格遵守澳洲的数据保护法律法规”。
“澳洲境内的宇通车辆不支持对加速、转向或制动信号的远程控制。”
该发言人表示,“宇通仅收集车辆运行数据,这些数据通过车载终端经本地移动网络直接传输至澳洲悉尼的亚马逊云服务(AWS)数据中心。”
宇通巴士目前在澳洲多个州和领地投入使用,包括堪培拉。
据堪培拉交通局(Transport Canberra)2023-2024年度报告显示,该局于2023年5月签订合同,采购90辆宇通E12电动巴士,首辆车已于2024年5月交付。目前ABC已联系堪培拉交通局寻求置评。
宇通澳洲官网显示,其在悉尼、墨尔本、布里斯班、珀斯、凯恩斯等澳洲主要城市均设有维修厂和经销商服务点。
专家呼吁:所有进口智能设备均需安全测试
阳光海岸大学网络安全专家Dennis Desmond表示,他对多个问题仍“高度关注”,包括软件“被推送至车辆进行更新或修复,尤其是固件层面的操作”。
他在邮件中解释道,“在我看来,除非能明确回答以下问题——收集哪些数据、收集频率如何、传输至何处(直接传输或通过Link Plus应用)、谁有权访问这些数据(无论加密与否),否则我会对使用这类车辆存在的风险感到担忧,尤其是在国家安全层面。”
(图片来源:ABC)
Desmond称,如果政府、国防、情报、执法部门或承包商队伍依赖这类车辆,那将构成“国家安全问题”。他补充道,这并非中国制造电动车独有的问题。
Desmond表示,任何进口并在澳洲使用的智能设备都应“全面评估其数据收集、存储和传输情况”。欧美企业也向澳洲供应电动巴士或相关零部件。
“澳洲人在各类设备(包括车辆)上对外国制造商的依赖度极高,却往往完全不了解其中涉及的数据收集和利用流程。”
“在签订任何官方政府合同前,对于任何物联网或智能设备,都应全面评估其对国家安全和个人隐私的潜在风险。”
宇通发言人在后续媒体声明中表示,公司“充分理解并高度重视公众对车辆安全和数据隐私保护的担忧”。
“宇通始终将车辆数据安全和客户隐私保护置于首位,高标准履行车辆网络安全管理和数据保护的相关承诺。”
VDI发言人补充道,尽管宇通车辆具备“空中下载”(OTA)功能,但在澳洲,VDI的常规做法是在获得客户同意后,在授权服务中心现场进行车辆软件更新,而非远程操作。