别让黑客攻击把汽车共享打回石器时代（三）

租车共享平台风险控制

现有的汽车共享平台一般有两个风险管理阶段。

1.用户审核（出租前）

由于没有健全的信用制度，无法对租客进行联网式的信誉评估，所以认证就需严格执行来弥补信誉制度的缺失。目前租车平台的用户注册，审核，和提车阶段的认证漏洞不少。比如，前文指出的汽车恶意抵押方式就利用了用户注册电话号码可以和提车（开车）时使用的电话号码不同的认证漏洞。客观条件上说，仅仅在车上安全一个智能盒子不能完善认证机制。智能盒子只能提供地理信息，而不能协调云管理平台对用户，用户手机和汽车做认证行为，使得认证过程不能形成完整的闭路。

2.风控系统（出租后）

车子出租出去后，对汽车的远程管控就尤其重要。除了保险手段，目前的方法是通过智能盒子回传的地理位置协同警方进行汽车追还。智能盒子无法对汽车的发动机，车门和刹车采取动作，如果发现租客可疑行为，也无法通过平台发指令给智能盒子控制汽车，比如关发动机，只能眼睁睁地让车主着急。目前虽然可以通过OBD合作操作汽车，但属于后装设备，租客很容易拔掉，而且不同的车型有不同的操作指令，很难统一。

目前的租车平台的技术手段很难提高完善的风险控制机制，所以租车共享最好从前装市场开始。

从技术层面上说，给租车共享平台解决技术问题，尤其是汽车安全问题的时间还会有2年左右。为什么是2年？2年后国内市场会出现All-in-One的车载系统，里面包括了潜在支持租车共享技术平台的功能模块。换句话说，将来出厂的新车本身就具备了云端认证，管控和出租共享的技术条件，只要集成到TSP服务平台，就可以作为出租车使用，省去了安装后装智能盒子的麻烦。

移动解决方案中，有一种模式叫BYOD，Bring Your Own Device，就是员工自带手机到企业工作，企业IT对这些手机进行管理，一旦手机丢失或者出现问题，能在第一时间获知并采取措施。租车共享的管理模式实际是BYOV（Bring Your Own Vehicle）。

汽车共享本身是一个平台并不拥有汽车，车主向平台提供汽车，租车公司就需要对这些出租出去的汽车进行管理，确保汽车本身的安全。BYOV的精髓是出租前对汽车注册和信息的认证，出租后对汽车的远程监控和风险策略部署执行。如果前装的车载系统提供这些服务API接口，BYOV比较容易部署起来。

车云小结：

汽车共享黑客攻击方式有三个阶段，目前汽车恶意抵押是属于第一个初级阶段，但是已经给租车公司造成不少的麻烦了。第三种远程大规模偷盗汽车攻击技术上不难实现，并且会给租车公司带来致命打击。

然而汽车共享公司安全状况是：自身缺乏安全技术团队，对租车平台的安全漏洞防护不重视，并且没有足够资源加固平台安全。另一方面，租车平台依赖的后装智能盒子不能提供闭环完善的认证和远程管控机制。但愿黑客不要让租车共享进入石器时代。