如果黑客可以解锁、发动、定位、追踪我的车……
智能网联汽车的安全有多重要?
近年因自动驾驶发生的安全事故合计超已过15宗,这引起了业内外人士对智能汽车安全问题的持续关注。
由于汽车的联网性,一旦黑客破解车联网远程控制账户,车主的财产安全也会受到威胁。2016年,来自挪威安全公司Promon的专家在入侵用户手机的情况下,获取特斯拉App账户用户名和密码,通过登录特斯拉车联网服务平台可以随时对车辆进行定位、追踪,并解锁、启动车辆,最终导致车辆被盗,造成用户的财产损失。
今年1月,中国发改委发布的《智能汽车创新发展战略》中指出,智能汽车新车占比将于2020年达到50%,其中更是将安全问题放在了首位。毫无疑问,车联网网络安全保障已成为当务之急。
在中国信息通信研究院华东院网络与安全事业部副主任王潇潇看来,在大数据和人工智能的推动下,现在的车更加智能化,因为有更多的软件在迭代。
网联汽车的安全不仅对车主存在威胁,对车企也会产生致命的伤害。腾讯科恩实验室项目总监朱新新表示,相对而言,特斯拉的反应速度是比较快的,“2016年,科恩发现了特斯拉的一个漏洞,他们在1.5个小时内就响应,确认安全问题的速度是1天,修复速度10天。而在2015年,我们同样把一个漏洞发给fca jeep,仅确认安全问题就用了超过一周,修复则用了1个月以上,损失超过4亿美元。”
根据Garter报告显示,到2020年,联网汽车数量将达到1.5亿,其中60%~70%将具备消费,创建共享WEB数据的功能。2035年,路上行驶的自动驾驶汽车将2100万辆,车联网安全规模即使只达到智能汽车市场规模的1%,也将是10亿级的巨大市场。
车联网作为物联网在智能交通领域的典型应用,涵盖了元器件供应商、设备生产商、整车厂商、软硬件技术提供商、通信服务商等,由于车联网产业链较长,且网络安全防护对象多样,安全防护环节众多,不可避免地在产业链的某一环节上,无法在产品中实现足够的安全防护措施,导致存在薄弱环节。
目前,车-云通信在车联网安全中占据重要地位,成为车联网攻击的主要方式,面临的主要威胁是中间人等攻击。攻击者通过伪基站、DNS劫持等手段劫持T-BOX会话,监听通信数据,一方面可以用于通信协议破解,另一方面也可窃取汽车敏感数据,如汽车标识VIN,带来的直接后果是攻击者可以给予中间人伪造协议而实施对汽车动力系统的非法控制。
王潇潇说,在未来车联网的应用场景中,直联模式的车-车通信将成为路况信息床底、路障报警的重要途径,车联网中网联汽车将面临节点频繁的接入与推出,但是现阶段LTE-V2X的网络接入与退出管理中,不能有效实施对车辆节点的安全接入控制,对不可信或失控节点的隔离与惩罚机制还未完善,一旦出现恶意节点入侵,会破坏车-车通信消息的真实性,影响路况信息的传递。
虽然车联网复杂的应用场景和技术实现让车联网安全还没有达到固若金汤的程度,但不少互联网企业、车企、研究机构正在积极研究防护措施。
王潇潇表示,智能网联汽车安全的主要责任主体是整车厂商,目前以“黑盒防护”为主线,逐步建立以安全绳命周期管理为基础,以软硬件安全防护为保障的防护体系。“目前,不同整车厂商采用的车辆技术方案不同,通常为自行研发或者采用Tier 1供应商提供的解决方案,系统的技术实现、接口和通信协议也存在差异,整车厂商习惯隐藏技术细节,关闭调试借口,增加攻击者分析难度,将保护对象藏在‘黑盒’中保护起来。”
如果把车联网安全拆解,可以分为车内网和车外网,在智能网联汽车硬件安全模块尚未规模部署的情况下,软件安全防护正在成为保障智能网联汽车安全的替代方案,比如搭建自由OTA更新服务,提供智能网联汽车才做系统、固件、应用等软件服务的远程升级更新;用软件形式实现防火墙及访问控制功能,对智能网联汽车进出流量进行控制、过滤,典型做法是在T-BOX中配置安全策略,限定网络可访问地址、通信端口等。
此外,很多整车厂商与安全公司合作,一方面通过代码混淆、加密、反调试等方式对车联网移动应用进行加固,另一方面让安全公司对应用进行渗透测试,寻找漏洞并进行修复。
编辑:挨踢妹
来源:《IT时报》公众号vittimes