撰文/ 錢亞光編輯/ 溫 莎設(shè)計(jì)/趙昊然題圖/ 杜 凱
隨著汽車電動(dòng)化、智能化���、網(wǎng)聯(lián)化進(jìn)程的深入,汽車電子電氣架構(gòu)在向集中化�、簡(jiǎn)單化發(fā)展,低階自動(dòng)駕駛的功能越來越完善����,應(yīng)用越來越普及,高精度地圖的商業(yè)化�,都讓汽車的聯(lián)網(wǎng)需求越來越大,而5G的漸入佳境����,更是讓人們對(duì)聯(lián)網(wǎng)汽車的未來充滿了憧憬。
與此同時(shí)����,智能網(wǎng)聯(lián)汽車領(lǐng)域的信息安全事件,也在呈現(xiàn)加速上升的趨勢(shì)��。從2016年-2019年���,智能網(wǎng)聯(lián)汽車安全事件發(fā)生率提升了7倍�����,2019年較2018年增長(zhǎng)99%�����。2019年�����,有82%的安全事件源于遠(yuǎn)程攻擊�。
在智能手機(jī)上有一些安全問題��,最多大家想到有錢被騙����,而智能網(wǎng)聯(lián)汽車如果出現(xiàn)了網(wǎng)絡(luò)安全問題,黑客攻擊不僅會(huì)造成數(shù)據(jù)和隱私泄露,還能通過接管和控制車輛駕駛系統(tǒng)��,給駕乘人員帶來重大的人身和財(cái)產(chǎn)安全隱患���,甚至?xí)泻诳涂刂栖囕v對(duì)社會(huì)秩序進(jìn)行攻擊的危險(xiǎn)���。
我國(guó)對(duì)于智能網(wǎng)聯(lián)汽車信息安全非常重視,在工信部出臺(tái)的《車聯(lián)網(wǎng)智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)發(fā)展行動(dòng)計(jì)劃》等政策文件中明確了強(qiáng)化管理����、保障安全的基本原則,并圍繞健全安全管理的體系�����,提升安全防護(hù)的能力����,推進(jìn)安全技術(shù)的手段建設(shè),落實(shí)企業(yè)主體責(zé)任等方面�,就車聯(lián)網(wǎng)、網(wǎng)絡(luò)安全作出了系統(tǒng)的部署�����。國(guó)內(nèi)智能網(wǎng)聯(lián)汽車標(biāo)準(zhǔn)數(shù)量,在2018年-2020年顯著增加����,2020年已經(jīng)超過30件。
在剛剛結(jié)束的2020世界智能網(wǎng)絡(luò)汽車大會(huì)上�����,中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院副總工程師安暉���,發(fā)布了智能網(wǎng)聯(lián)汽車信息安全滲透指標(biāo)體系及測(cè)試結(jié)果。
來自信息安全檢測(cè)機(jī)構(gòu)的指標(biāo)體系
智能網(wǎng)聯(lián)汽車信息安全滲透指標(biāo)體系包括車載信息交互安全���、車內(nèi)外通信安全�、APP安全以及接口安全四個(gè)方面�����。2020年9月-11月��,賽迪汽車測(cè)試工作的結(jié)果發(fā)現(xiàn)���,測(cè)試車輛主要在語音助手身份校驗(yàn)���、Wi-Fi�����、軟件升級(jí)安全校驗(yàn)�����、第三方應(yīng)用劫持篡改���、車載信息交互系統(tǒng)工程模式、OBD接口���、藍(lán)牙��、調(diào)試模式安全認(rèn)證�����、USB接口��、無線鑰匙等方面存在問題����。
分析本次測(cè)試中發(fā)現(xiàn)的典型缺陷,基于賽迪汽車車聯(lián)網(wǎng)安全漏洞管理平臺(tái)的漏洞評(píng)級(jí)辦法�����,從可利用性����、威脅影響程度、代碼成熟度等方面進(jìn)行了綜合評(píng)分���。
基于測(cè)評(píng),安暉提出四個(gè)方面的建議:首先��,政府部門需要加強(qiáng)完善智能網(wǎng)聯(lián)汽車政策法規(guī)�����,針對(duì)智能網(wǎng)聯(lián)汽車安全�,出臺(tái)指導(dǎo)性的文件;其次�,智能網(wǎng)聯(lián)汽車組織加強(qiáng)規(guī)范的建設(shè),共同加強(qiáng)網(wǎng)絡(luò)安全的防護(hù)�;第三,整車廠����、零部件供應(yīng)商要加強(qiáng)安全意識(shí)��,更加重視網(wǎng)絡(luò)信息安全,提高能力��;第四���,第三方機(jī)構(gòu)應(yīng)加強(qiáng)安全防護(hù)和安全測(cè)評(píng)能力的建設(shè)��,更好幫助企業(yè)提升安全保障的水平。
而參加大會(huì)“計(jì)算平臺(tái)與信息安全”主題峰會(huì)的三家網(wǎng)絡(luò)安全公司也從自身的研發(fā)����、實(shí)踐情況出發(fā)���,介紹對(duì)于智能網(wǎng)聯(lián)汽車信息安全的見解�,以及改善網(wǎng)絡(luò)安全的想法和建議����。
特斯拉成為汽車信息安全的“眾矢之的”
值得注意的是����,參加主題峰會(huì)的三家公司��,在做智能網(wǎng)聯(lián)汽車信息安全的研究時(shí)�����,無一例外��,把特斯拉汽車作為了的標(biāo)靶。作為汽車智能化技術(shù)的標(biāo)桿�����,特斯拉有著自己獨(dú)特的電子電氣架構(gòu)���,領(lǐng)先的自動(dòng)駕駛技術(shù)和實(shí)踐��,又率先實(shí)現(xiàn)了整車硬件和軟件的OTA升級(jí)��,成為眾多信息安全企業(yè)要解剖的“小麻雀”�����,也在情理之中。
2008年成立的上海銀基信息安全技術(shù)股份有限公司����,經(jīng)過對(duì)特斯拉的幾款車型的測(cè)試�����,找到了以下四個(gè)問題�����。第一,遠(yuǎn)程遙控特斯拉���,通過一些控制系統(tǒng)���,遠(yuǎn)程啟動(dòng)�,推動(dòng)車往前走��;第二�����,外來的信號(hào)和判斷會(huì)影響這臺(tái)自動(dòng)駕駛車可能發(fā)揮問題,比如虛擬的���、三維的影像會(huì)欺騙自動(dòng)駕駛的感知��;第三��,可以通過NFC卡打開特斯拉的車門���,并啟動(dòng)這臺(tái)車�;第四是可以遠(yuǎn)程開鎖��,通過掌控帳號(hào),破解數(shù)據(jù)安全�����,變成特斯拉的車主��。
上海銀基將漏洞提交特斯拉的安全團(tuán)隊(duì)����,得到特斯拉北美安全團(tuán)隊(duì)的感謝,同時(shí)收錄在國(guó)家漏洞里�����。
360公司的研發(fā)團(tuán)隊(duì)�,在2017年就對(duì)特斯拉的鑰匙和一系列車型做了破解,發(fā)現(xiàn)這是國(guó)內(nèi)某品牌的安全漏洞���,360公司通過獲取權(quán)限���,完成了控制車門、啟動(dòng)發(fā)動(dòng)機(jī)等一系列的動(dòng)作�,并將破解情況和相關(guān)車企做了通報(bào),通過與企業(yè)合作���,對(duì)相關(guān)的情況做了修復(fù)���。
騰訊公司的研發(fā)團(tuán)隊(duì)����,在2016年第一次在特斯拉上實(shí)現(xiàn)了對(duì)整車的遠(yuǎn)程非授權(quán)的控制�����,不光控制車身所有的功能,還能行車過程進(jìn)行一些控制����。這時(shí)騰訊對(duì)特斯拉的研究發(fā)現(xiàn)�����,更多的問題是設(shè)計(jì)層面上發(fā)生的���。
2017年,特斯拉的問題主要在網(wǎng)聯(lián)安全,騰訊團(tuán)隊(duì)通過近場(chǎng)Wi-Fi��、藍(lán)牙��,或通過物理接觸���,可進(jìn)行通訊劫持�,或通過軟件漏洞打進(jìn)車?yán)铩?/p>
到了2019年,特斯拉用自己的芯片形成了新一代的自動(dòng)駕駛體系,而騰訊則在試驗(yàn)中成功地用特殊圖片讓Model 3錯(cuò)誤打開雨刷;讓Autopilot錯(cuò)誤識(shí)別道路信息�,進(jìn)入反向車道;并利用游戲手柄遙控汽車輔助駕駛系統(tǒng)���。這表明自動(dòng)駕駛的算法安全�,引入了新的攻擊場(chǎng)景和新的攻擊手段��。
在從多網(wǎng)絡(luò)安全公司的幫助下�����,特斯拉在網(wǎng)絡(luò)信息安全方面進(jìn)化速度很快�����,經(jīng)過短短不到一年的時(shí)間�,特斯拉在智能網(wǎng)聯(lián)汽車安全設(shè)計(jì)層面上���,已經(jīng)有了很大的進(jìn)步和飛躍����。
與此同時(shí)�,攻擊特斯拉的網(wǎng)絡(luò)安全公司也在汽車智能網(wǎng)聯(lián)信息的研究上有了自己的成果����,并找到了自己研發(fā)的方向。
網(wǎng)絡(luò)安全公司的汽車信息安全對(duì)策
上海銀基CEO單宏寅認(rèn)為:“從看整個(gè)智能網(wǎng)聯(lián)汽車在安全領(lǐng)域的考慮���,分四個(gè)維度�,第一�����,智能網(wǎng)聯(lián)汽車自己安全不安全�����;第二��,自動(dòng)駕駛是不是安全;第三���,車聯(lián)網(wǎng)應(yīng)用的安全��;第四�,非常核心的數(shù)據(jù)安全�,數(shù)據(jù)安全是驅(qū)動(dòng)前三個(gè)安全的基礎(chǔ),如果沒有辦法保護(hù)數(shù)據(jù)安全�����,做什么都沒有用���?�!?/p>
L3以上汽車安全挑戰(zhàn)大概分為兩個(gè)層次,從智能汽車自身的角度看�����,包括硬件安全��、固件安全�����、OS安全、通信安全�、移動(dòng)安全和云端安全等,過去發(fā)生的問題都是可以直接操控汽車的����,對(duì)于汽車的安全和駕駛都是致命的。
從網(wǎng)聯(lián)的角度看����,有通過硬件接口、OBD接口和有漏洞的ECU的接觸式攻擊�����,而更可怕的是通過Wi-Fi接口��、惡意網(wǎng)站��、入侵云端服務(wù)和移動(dòng)應(yīng)用進(jìn)行的遠(yuǎn)程攻擊�,向下攻擊汽車架構(gòu),向上攻擊云端管理中心���,可以多層次��、多線路對(duì)汽車信息安全形成挑戰(zhàn)��。
他認(rèn)為���,車聯(lián)網(wǎng)需要全面的安全防護(hù)體系�����,從端到端�,從車外到車內(nèi)��,從車端到云端���,做重點(diǎn)防護(hù)���,提升技術(shù),布置大量的安全防護(hù)和組件���,做好資源庫,形成全系列的安全�。
過去兩年,銀基做了典型車聯(lián)網(wǎng)應(yīng)用的產(chǎn)品——數(shù)據(jù)鑰匙����,來解決安全問題��。銀基數(shù)據(jù)鑰匙完全無感�����,駕駛員到了相應(yīng)的位置����,汽車就會(huì)自動(dòng)打開車門���,調(diào)整空調(diào)���,調(diào)整座位,并可基于數(shù)據(jù)鑰匙提供很多車聯(lián)網(wǎng)的服務(wù)�����,從數(shù)據(jù)的準(zhǔn)備���,到鑰匙的生成�、下發(fā)�、存儲(chǔ)使用�����,最后到鑰匙的消費(fèi)����,每個(gè)環(huán)節(jié)里面都有復(fù)雜的安全技術(shù)保障在里面�,讓安全變成用戶體驗(yàn)車聯(lián)網(wǎng)服務(wù)和應(yīng)用的保障。
360政企安全集團(tuán)副總裁����、工業(yè)互聯(lián)網(wǎng)及車聯(lián)網(wǎng)安全事業(yè)部總經(jīng)理李航表示,新技術(shù)應(yīng)用是一雙刃劍�����,從AI芯片�,到感知、融合�,到人工智能的決策,車路協(xié)同以及應(yīng)用�,都讓網(wǎng)絡(luò)安全和信息安全的風(fēng)險(xiǎn)極大提升。
360公司在智能網(wǎng)聯(lián)汽車信息安全上�,首先是硬件的拆解分析,包括對(duì)特斯拉����、奔馳、寶馬����、比亞迪等品牌的30多輛車進(jìn)行拆解,從不同場(chǎng)景���,不同的溫度開始做基本的研究����,包括硬件設(shè)計(jì)的合理性等�,找出一系列安全滲透或攻擊的手段。
其次是研究系統(tǒng)級(jí)網(wǎng)絡(luò)化的安全��,包括無線安全�、自動(dòng)駕駛。360在南京與一汽簽約����,建立聯(lián)合實(shí)驗(yàn)室成為其網(wǎng)聯(lián)汽車的合作伙伴;與梅賽德斯奔馳合作�,對(duì)其智能網(wǎng)聯(lián)相關(guān)車型做了研究。
研究發(fā)現(xiàn)�����,網(wǎng)絡(luò)安全已經(jīng)成為木桶效應(yīng),在智能網(wǎng)聯(lián)汽車與周邊大量網(wǎng)絡(luò)設(shè)備協(xié)同的場(chǎng)景下���,網(wǎng)絡(luò)安全出現(xiàn)很小的問題����,可能會(huì)有很大的影響���。李航認(rèn)為�����,問題是技術(shù)問題����,而解決問題是要從體系著手��。
車企對(duì)設(shè)計(jì)����、工程研發(fā)、制造有很強(qiáng)的質(zhì)量管控,但在網(wǎng)絡(luò)安全方面沒有建立相關(guān)的體系���。360希望和車企共同努力���,從設(shè)計(jì)開始��,就把整個(gè)安全能力放進(jìn)車?yán)?���;通過車載軟件將各種數(shù)據(jù)打通,再通過云端進(jìn)行遠(yuǎn)程數(shù)據(jù)調(diào)取和車載信息調(diào)取�,進(jìn)行遠(yuǎn)程管控,形成網(wǎng)絡(luò)安全體系����,最終保證全生命周期內(nèi)的安全運(yùn)營(yíng)能力。
據(jù)李航稱�,其團(tuán)隊(duì)基本上已經(jīng)把頭幾年破解測(cè)試的能力,轉(zhuǎn)變?yōu)橄窨蛻籼峁┓?wù)的能力�,并正在把整個(gè)安全能力落在智能網(wǎng)聯(lián)汽車核心業(yè)務(wù)上做深度的融合。
騰訊安全產(chǎn)業(yè)安全運(yùn)營(yíng)部總經(jīng)理呂一平認(rèn)為�����,智能網(wǎng)聯(lián)汽車安全需要有全局思維��,高度協(xié)同和前瞻性。
騰訊與國(guó)際車企���、國(guó)內(nèi)車企�����,造車新勢(shì)力展開合作����,在電子電氣架構(gòu)上做不斷升級(jí)�,算力集中,控制體系集中��,用軟件彌補(bǔ)硬件的分散化���,做到集中算力����,集中控制和集成技術(shù)的平臺(tái)化�����。
未來隨著軟件定義汽車的趨勢(shì)越來越明顯,包括對(duì)智能網(wǎng)聯(lián)汽車軟件迭代速度也會(huì)越來越快��,未來需要考慮更加適應(yīng)快速迭代研發(fā)流程安全管理和技術(shù)體系��。
他認(rèn)為���,汽車行業(yè)是非常關(guān)注質(zhì)量控制和質(zhì)量體系的行業(yè)���,信息安全作為新興的類別��,應(yīng)該納入爭(zhēng)整車研發(fā)質(zhì)量控制體系里面去�����,應(yīng)該成為質(zhì)量體系的一部分�����。
騰訊將配合車企設(shè)計(jì)更合理的�、更安全的智能網(wǎng)聯(lián)汽車技術(shù)架構(gòu),更好地規(guī)避工程開發(fā)階段面臨的風(fēng)險(xiǎn)����,把關(guān)注點(diǎn)從設(shè)計(jì)的完備性,安全的完備性,逐步轉(zhuǎn)移到工程開發(fā)實(shí)驗(yàn)中���,怎么讓研發(fā)團(tuán)隊(duì)做得更好�,怎么更好地管控供應(yīng)鏈��。
來源:第一電動(dòng)網(wǎng)
作者:汽車商業(yè)評(píng)論
本文地址:http://autopag.com/kol/132330
返回第一電動(dòng)網(wǎng)首頁 >
文中圖片源自互聯(lián)網(wǎng)�����,如有侵權(quán)請(qǐng)聯(lián)系admin#d1ev.com(#替換成@)刪除���。
京公網(wǎng)安備
11010502033163號(hào)
