撰文/ 錢亞光編輯/ 溫 莎設(shè)計(jì)/趙昊然題圖/ 杜 凱
隨著汽車電動(dòng)化、智能化、網(wǎng)聯(lián)化進(jìn)程的深入,汽車電子電氣架構(gòu)在向集中化、簡(jiǎn)單化發(fā)展,低階自動(dòng)駕駛的功能越來越完善,應(yīng)用越來越普及,高精度地圖的商業(yè)化,都讓汽車的聯(lián)網(wǎng)需求越來越大,而5G的漸入佳境,更是讓人們對(duì)聯(lián)網(wǎng)汽車的未來充滿了憧憬。
與此同時(shí),智能網(wǎng)聯(lián)汽車領(lǐng)域的信息安全事件,也在呈現(xiàn)加速上升的趨勢(shì)。從2016年-2019年,智能網(wǎng)聯(lián)汽車安全事件發(fā)生率提升了7倍,2019年較2018年增長(zhǎng)99%。2019年,有82%的安全事件源于遠(yuǎn)程攻擊。
在智能手機(jī)上有一些安全問題,最多大家想到有錢被騙,而智能網(wǎng)聯(lián)汽車如果出現(xiàn)了網(wǎng)絡(luò)安全問題,黑客攻擊不僅會(huì)造成數(shù)據(jù)和隱私泄露,還能通過接管和控制車輛駕駛系統(tǒng),給駕乘人員帶來重大的人身和財(cái)產(chǎn)安全隱患,甚至?xí)泻诳涂刂栖囕v對(duì)社會(huì)秩序進(jìn)行攻擊的危險(xiǎn)。
我國(guó)對(duì)于智能網(wǎng)聯(lián)汽車信息安全非常重視,在工信部出臺(tái)的《車聯(lián)網(wǎng)智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)發(fā)展行動(dòng)計(jì)劃》等政策文件中明確了強(qiáng)化管理、保障安全的基本原則,并圍繞健全安全管理的體系,提升安全防護(hù)的能力,推進(jìn)安全技術(shù)的手段建設(shè),落實(shí)企業(yè)主體責(zé)任等方面,就車聯(lián)網(wǎng)、網(wǎng)絡(luò)安全作出了系統(tǒng)的部署。國(guó)內(nèi)智能網(wǎng)聯(lián)汽車標(biāo)準(zhǔn)數(shù)量,在2018年-2020年顯著增加,2020年已經(jīng)超過30件。
在剛剛結(jié)束的2020世界智能網(wǎng)絡(luò)汽車大會(huì)上,中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院副總工程師安暉,發(fā)布了智能網(wǎng)聯(lián)汽車信息安全滲透指標(biāo)體系及測(cè)試結(jié)果。
來自信息安全檢測(cè)機(jī)構(gòu)的指標(biāo)體系
智能網(wǎng)聯(lián)汽車信息安全滲透指標(biāo)體系包括車載信息交互安全、車內(nèi)外通信安全、APP安全以及接口安全四個(gè)方面。2020年9月-11月,賽迪汽車測(cè)試工作的結(jié)果發(fā)現(xiàn),測(cè)試車輛主要在語音助手身份校驗(yàn)、Wi-Fi、軟件升級(jí)安全校驗(yàn)、第三方應(yīng)用劫持篡改、車載信息交互系統(tǒng)工程模式、OBD接口、藍(lán)牙、調(diào)試模式安全認(rèn)證、USB接口、無線鑰匙等方面存在問題。
分析本次測(cè)試中發(fā)現(xiàn)的典型缺陷,基于賽迪汽車車聯(lián)網(wǎng)安全漏洞管理平臺(tái)的漏洞評(píng)級(jí)辦法,從可利用性、威脅影響程度、代碼成熟度等方面進(jìn)行了綜合評(píng)分。
基于測(cè)評(píng),安暉提出四個(gè)方面的建議:首先,政府部門需要加強(qiáng)完善智能網(wǎng)聯(lián)汽車政策法規(guī),針對(duì)智能網(wǎng)聯(lián)汽車安全,出臺(tái)指導(dǎo)性的文件;其次,智能網(wǎng)聯(lián)汽車組織加強(qiáng)規(guī)范的建設(shè),共同加強(qiáng)網(wǎng)絡(luò)安全的防護(hù);第三,整車廠、零部件供應(yīng)商要加強(qiáng)安全意識(shí),更加重視網(wǎng)絡(luò)信息安全,提高能力;第四,第三方機(jī)構(gòu)應(yīng)加強(qiáng)安全防護(hù)和安全測(cè)評(píng)能力的建設(shè),更好幫助企業(yè)提升安全保障的水平。
而參加大會(huì)“計(jì)算平臺(tái)與信息安全”主題峰會(huì)的三家網(wǎng)絡(luò)安全公司也從自身的研發(fā)、實(shí)踐情況出發(fā),介紹對(duì)于智能網(wǎng)聯(lián)汽車信息安全的見解,以及改善網(wǎng)絡(luò)安全的想法和建議。
特斯拉成為汽車信息安全的“眾矢之的”
值得注意的是,參加主題峰會(huì)的三家公司,在做智能網(wǎng)聯(lián)汽車信息安全的研究時(shí),無一例外,把特斯拉汽車作為了的標(biāo)靶。作為汽車智能化技術(shù)的標(biāo)桿,特斯拉有著自己獨(dú)特的電子電氣架構(gòu),領(lǐng)先的自動(dòng)駕駛技術(shù)和實(shí)踐,又率先實(shí)現(xiàn)了整車硬件和軟件的OTA升級(jí),成為眾多信息安全企業(yè)要解剖的“小麻雀”,也在情理之中。
2008年成立的上海銀基信息安全技術(shù)股份有限公司,經(jīng)過對(duì)特斯拉的幾款車型的測(cè)試,找到了以下四個(gè)問題。第一,遠(yuǎn)程遙控特斯拉,通過一些控制系統(tǒng),遠(yuǎn)程啟動(dòng),推動(dòng)車往前走;第二,外來的信號(hào)和判斷會(huì)影響這臺(tái)自動(dòng)駕駛車可能發(fā)揮問題,比如虛擬的、三維的影像會(huì)欺騙自動(dòng)駕駛的感知;第三,可以通過NFC卡打開特斯拉的車門,并啟動(dòng)這臺(tái)車;第四是可以遠(yuǎn)程開鎖,通過掌控帳號(hào),破解數(shù)據(jù)安全,變成特斯拉的車主。
上海銀基將漏洞提交特斯拉的安全團(tuán)隊(duì),得到特斯拉北美安全團(tuán)隊(duì)的感謝,同時(shí)收錄在國(guó)家漏洞里。
360公司的研發(fā)團(tuán)隊(duì),在2017年就對(duì)特斯拉的鑰匙和一系列車型做了破解,發(fā)現(xiàn)這是國(guó)內(nèi)某品牌的安全漏洞,360公司通過獲取權(quán)限,完成了控制車門、啟動(dòng)發(fā)動(dòng)機(jī)等一系列的動(dòng)作,并將破解情況和相關(guān)車企做了通報(bào),通過與企業(yè)合作,對(duì)相關(guān)的情況做了修復(fù)。
騰訊公司的研發(fā)團(tuán)隊(duì),在2016年第一次在特斯拉上實(shí)現(xiàn)了對(duì)整車的遠(yuǎn)程非授權(quán)的控制,不光控制車身所有的功能,還能行車過程進(jìn)行一些控制。這時(shí)騰訊對(duì)特斯拉的研究發(fā)現(xiàn),更多的問題是設(shè)計(jì)層面上發(fā)生的。
2017年,特斯拉的問題主要在網(wǎng)聯(lián)安全,騰訊團(tuán)隊(duì)通過近場(chǎng)Wi-Fi、藍(lán)牙,或通過物理接觸,可進(jìn)行通訊劫持,或通過軟件漏洞打進(jìn)車?yán)铩?/p>
到了2019年,特斯拉用自己的芯片形成了新一代的自動(dòng)駕駛體系,而騰訊則在試驗(yàn)中成功地用特殊圖片讓Model 3錯(cuò)誤打開雨刷;讓Autopilot錯(cuò)誤識(shí)別道路信息,進(jìn)入反向車道;并利用游戲手柄遙控汽車輔助駕駛系統(tǒng)。這表明自動(dòng)駕駛的算法安全,引入了新的攻擊場(chǎng)景和新的攻擊手段。
在從多網(wǎng)絡(luò)安全公司的幫助下,特斯拉在網(wǎng)絡(luò)信息安全方面進(jìn)化速度很快,經(jīng)過短短不到一年的時(shí)間,特斯拉在智能網(wǎng)聯(lián)汽車安全設(shè)計(jì)層面上,已經(jīng)有了很大的進(jìn)步和飛躍。
與此同時(shí),攻擊特斯拉的網(wǎng)絡(luò)安全公司也在汽車智能網(wǎng)聯(lián)信息的研究上有了自己的成果,并找到了自己研發(fā)的方向。
網(wǎng)絡(luò)安全公司的汽車信息安全對(duì)策
上海銀基CEO單宏寅認(rèn)為:“從看整個(gè)智能網(wǎng)聯(lián)汽車在安全領(lǐng)域的考慮,分四個(gè)維度,第一,智能網(wǎng)聯(lián)汽車自己安全不安全;第二,自動(dòng)駕駛是不是安全;第三,車聯(lián)網(wǎng)應(yīng)用的安全;第四,非常核心的數(shù)據(jù)安全,數(shù)據(jù)安全是驅(qū)動(dòng)前三個(gè)安全的基礎(chǔ),如果沒有辦法保護(hù)數(shù)據(jù)安全,做什么都沒有用?!?/p>
L3以上汽車安全挑戰(zhàn)大概分為兩個(gè)層次,從智能汽車自身的角度看,包括硬件安全、固件安全、OS安全、通信安全、移動(dòng)安全和云端安全等,過去發(fā)生的問題都是可以直接操控汽車的,對(duì)于汽車的安全和駕駛都是致命的。
從網(wǎng)聯(lián)的角度看,有通過硬件接口、OBD接口和有漏洞的ECU的接觸式攻擊,而更可怕的是通過Wi-Fi接口、惡意網(wǎng)站、入侵云端服務(wù)和移動(dòng)應(yīng)用進(jìn)行的遠(yuǎn)程攻擊,向下攻擊汽車架構(gòu),向上攻擊云端管理中心,可以多層次、多線路對(duì)汽車信息安全形成挑戰(zhàn)。
他認(rèn)為,車聯(lián)網(wǎng)需要全面的安全防護(hù)體系,從端到端,從車外到車內(nèi),從車端到云端,做重點(diǎn)防護(hù),提升技術(shù),布置大量的安全防護(hù)和組件,做好資源庫,形成全系列的安全。
過去兩年,銀基做了典型車聯(lián)網(wǎng)應(yīng)用的產(chǎn)品——數(shù)據(jù)鑰匙,來解決安全問題。銀基數(shù)據(jù)鑰匙完全無感,駕駛員到了相應(yīng)的位置,汽車就會(huì)自動(dòng)打開車門,調(diào)整空調(diào),調(diào)整座位,并可基于數(shù)據(jù)鑰匙提供很多車聯(lián)網(wǎng)的服務(wù),從數(shù)據(jù)的準(zhǔn)備,到鑰匙的生成、下發(fā)、存儲(chǔ)使用,最后到鑰匙的消費(fèi),每個(gè)環(huán)節(jié)里面都有復(fù)雜的安全技術(shù)保障在里面,讓安全變成用戶體驗(yàn)車聯(lián)網(wǎng)服務(wù)和應(yīng)用的保障。
360政企安全集團(tuán)副總裁、工業(yè)互聯(lián)網(wǎng)及車聯(lián)網(wǎng)安全事業(yè)部總經(jīng)理李航表示,新技術(shù)應(yīng)用是一雙刃劍,從AI芯片,到感知、融合,到人工智能的決策,車路協(xié)同以及應(yīng)用,都讓網(wǎng)絡(luò)安全和信息安全的風(fēng)險(xiǎn)極大提升。
360公司在智能網(wǎng)聯(lián)汽車信息安全上,首先是硬件的拆解分析,包括對(duì)特斯拉、奔馳、寶馬、比亞迪等品牌的30多輛車進(jìn)行拆解,從不同場(chǎng)景,不同的溫度開始做基本的研究,包括硬件設(shè)計(jì)的合理性等,找出一系列安全滲透或攻擊的手段。
其次是研究系統(tǒng)級(jí)網(wǎng)絡(luò)化的安全,包括無線安全、自動(dòng)駕駛。360在南京與一汽簽約,建立聯(lián)合實(shí)驗(yàn)室成為其網(wǎng)聯(lián)汽車的合作伙伴;與梅賽德斯奔馳合作,對(duì)其智能網(wǎng)聯(lián)相關(guān)車型做了研究。
研究發(fā)現(xiàn),網(wǎng)絡(luò)安全已經(jīng)成為木桶效應(yīng),在智能網(wǎng)聯(lián)汽車與周邊大量網(wǎng)絡(luò)設(shè)備協(xié)同的場(chǎng)景下,網(wǎng)絡(luò)安全出現(xiàn)很小的問題,可能會(huì)有很大的影響。李航認(rèn)為,問題是技術(shù)問題,而解決問題是要從體系著手。
車企對(duì)設(shè)計(jì)、工程研發(fā)、制造有很強(qiáng)的質(zhì)量管控,但在網(wǎng)絡(luò)安全方面沒有建立相關(guān)的體系。360希望和車企共同努力,從設(shè)計(jì)開始,就把整個(gè)安全能力放進(jìn)車?yán)?;通過車載軟件將各種數(shù)據(jù)打通,再通過云端進(jìn)行遠(yuǎn)程數(shù)據(jù)調(diào)取和車載信息調(diào)取,進(jìn)行遠(yuǎn)程管控,形成網(wǎng)絡(luò)安全體系,最終保證全生命周期內(nèi)的安全運(yùn)營(yíng)能力。
據(jù)李航稱,其團(tuán)隊(duì)基本上已經(jīng)把頭幾年破解測(cè)試的能力,轉(zhuǎn)變?yōu)橄窨蛻籼峁┓?wù)的能力,并正在把整個(gè)安全能力落在智能網(wǎng)聯(lián)汽車核心業(yè)務(wù)上做深度的融合。
騰訊安全產(chǎn)業(yè)安全運(yùn)營(yíng)部總經(jīng)理呂一平認(rèn)為,智能網(wǎng)聯(lián)汽車安全需要有全局思維,高度協(xié)同和前瞻性。
騰訊與國(guó)際車企、國(guó)內(nèi)車企,造車新勢(shì)力展開合作,在電子電氣架構(gòu)上做不斷升級(jí),算力集中,控制體系集中,用軟件彌補(bǔ)硬件的分散化,做到集中算力,集中控制和集成技術(shù)的平臺(tái)化。
未來隨著軟件定義汽車的趨勢(shì)越來越明顯,包括對(duì)智能網(wǎng)聯(lián)汽車軟件迭代速度也會(huì)越來越快,未來需要考慮更加適應(yīng)快速迭代研發(fā)流程安全管理和技術(shù)體系。
他認(rèn)為,汽車行業(yè)是非常關(guān)注質(zhì)量控制和質(zhì)量體系的行業(yè),信息安全作為新興的類別,應(yīng)該納入爭(zhēng)整車研發(fā)質(zhì)量控制體系里面去,應(yīng)該成為質(zhì)量體系的一部分。
騰訊將配合車企設(shè)計(jì)更合理的、更安全的智能網(wǎng)聯(lián)汽車技術(shù)架構(gòu),更好地規(guī)避工程開發(fā)階段面臨的風(fēng)險(xiǎn),把關(guān)注點(diǎn)從設(shè)計(jì)的完備性,安全的完備性,逐步轉(zhuǎn)移到工程開發(fā)實(shí)驗(yàn)中,怎么讓研發(fā)團(tuán)隊(duì)做得更好,怎么更好地管控供應(yīng)鏈。
來源:第一電動(dòng)網(wǎng)
作者:汽車商業(yè)評(píng)論
本文地址:http://autopag.com/kol/132330
文中圖片源自互聯(lián)網(wǎng),如有侵權(quán)請(qǐng)聯(lián)系admin#d1ev.com(#替換成@)刪除。