清新汽车-谁来保卫智能汽车信息安全?
客户端
关注微信

谁来保卫智能汽车信息安全?

文 / 向东 2018-12-04 17:15

《速度与激情8》里有这样一幕情节:由于黑客入侵,正在行驶的近千辆汽车进入了自动驾驶系统,如同“丧尸”袭来……

《速度与激情8》里有这样一幕情节:由于黑客入侵,正在行驶的近千辆汽车进入了自动驾驶系统,如同“丧尸”袭来……

11月14日,百度和中汽中心在天津举行了“汽车信息安全联合实验室”揭牌仪式。未来,双方将在汽车信息安全技术领域展开合作。

这是百度在今年成立的第二个有关汽车信息安全的实验室。自动驾驶的快速发展,让信息安全问题日益凸显。我们不得不面对一个重要问题:带有自动驾驶功能的智能网联车究竟潜藏了多少信息安全隐患?

以最近五年为例,菲亚特、大众、通用、特斯拉等上百家车企都曾不止一次遭遇信息安全威胁——有的被远程操控,成了可能随时熄火的“遥控玩具”;有的数据泄露,车主通话记录、行程信息悉数曝光……

一次次高危事件给智能网联汽车的研发敲响警钟。然而,保障信息安全对于汽车而言并非易事。因为汽车一旦联网后,每一个对内对外的连接点——譬如,T-BOX、IVI、终端升级、车载OS、车载诊断接口、传感器……就连在充电桩充一次电,都有可能“感染”病毒。

根据知名市场研究公司BIIntelligence预测,到2020年,全球联网汽车的市场保有量将达3.8亿辆。谁来保卫如此数量级的智能网联汽车信息安全?专家学者的观点是:顶层设计上,法律、标准不能缺席,技术研发层面,车企应建立攻击测试、漏洞共享及应急响应机制。

小心!你的爱车可能已被远程操控

2017年中国年度票房第二的电影《速度与激情8》里有这样一幕情节:由于黑客入侵,正在行驶的、停车库里的、4S店待售的近千辆汽车进入了自动驾驶系统,“排山倒海”地涌上街头,如同“丧尸”袭来……

电影虽然是艺术化的表达与创作,但类似的案例已经开始在生活里“上演”。

2015年7月,两名黑客在美国对一辆行驶中的Jeep自由光进行入侵,远程通过软件向该系统发送指令,包括减速、关闭发动机、制动或让制动失灵。同时控制了车上GPS设备,获取坐标及车速等参数。

当年,菲亚特克莱斯勒宣布召回包含Jeep自由光在内的140万辆汽车,这是汽车行业首次因黑客侵入风险大规模召回车辆。

电动车新贵特斯拉也难逃“被黑”的命运。2014年,上海的信息安全团队在一次世界安全比赛上,公开演示了对特斯拉的控制,并在行驶中迫使其倒车。2016年和2017年,腾讯科恩实验室两次实现了对特斯拉的远程攻击。

汽车被远程操控固然可怕,车辆及车主信息不知不觉中被泄露更让人“细思极恐”。

去年2月,卡巴斯基爆出多款汽车App存在安全漏洞,黑客可以很轻易远程控制app窃取用户个人信息及车辆的控制权;今年4月,大众汽车集团的信息娱乐系统(哈曼品牌)同样被发现了这样的漏洞。

今年7月,网络安全公司 UpGuard 发布报告称,100 多家车厂的机密数据遭到了泄露,其中包括通用汽车、菲亚特克莱斯勒、福特、特斯拉、丰田、大众等。

中国汽车技术研究中心汽车信息安全实验室主任王羽总结说:智能汽车信息安全隐患主要分为两大方向:一个是远程控制,通过黑客攻击可以接手汽车发动关停等功能。一个是隐私泄露,个人的信息、家庭信息以及主机厂商都可能被泄露。

一辆智能汽车背后,潜藏12项信息安全隐患

去年,在由中国汽车工程学会、北京航空航天大学等发布的《智能网联汽车信息安全白皮书》中总结提出,当前智能网联汽车主要面临来自节点(T-BOX、IVI、终端升级、车载OS、车载诊断系统接口、车内无线传感器)、网络传输、云平台、外部互联生态安全4个层面的12大安全威胁。

图片来源:《智能网联汽车信息安全白皮书》

从节点层面来看:T-BOX的功能是实现车内网和车际网之间的通信,负责将数据发送到云服务器。但恶意攻击者通过分析固件内部代码能够轻易获取加密方法和密钥,实现对消息会话内容的破解。

IVI是基于车身总线系统和互联网服务形成的车载综合信息娱乐系统,可以实现包括三维导航、实时路况、IPTV、辅助驾驶、故障检测、车辆信息、车身控制、移动办公等一系列应用。因其高集成度使其所有接口都可能成为黑客的攻击节点。

特斯拉主打的卖点就是OTA软件自动升级服务。然而,智能网联汽车在OTA升级中,也面临着篡改升级包控制系统、升级包被劫持、云端服务器被攻击等多重威胁.

为了实现自动驾驶汽车感知环境的传感器也存在通讯信息被窃听、被中断、被注入等潜在威胁,甚至通过干扰传感器通信设备还会造成无人驾驶汽车偏行、紧急停车等危险动作。

网络传输安全威胁指车联网终端与网络中心的双向数据传输安全威胁,主要存在认证风险、传输风险、协议风险三大风险。

从云平台角度来看:目前大部分车联网数据使用分布式技术进行存储,主要面临的安全威胁包括黑客对数据恶意窃取和篡改、敏感数据被非法访问等。

外部互联生态安全主要来自于APP的下载和充电桩。通过APP一键打开车内空调曾经成为不少车型的卖点。然而,目前市场上大多数智能网联汽车远程控制App甚至连最基础的软件防护和安全保障都不具备。黑客只需对那些没有进行保护的App进行逆向分析挖掘,就可以窃取用户个人信息。

电桩是电动汽车服务运营的重要基础设施。然而,一旦黑客通过互联网入侵,就可以控制充电桩的电压,甚至可以随意修改充电金额等数据。

没有网络安全,智能汽车时代不会真正到来

智能网联汽车已经被推倒了前所未有的战略高度。

去年,工业和信息化部部长苗圩曾在一次演讲中表示,智能网联汽车是我国抢占汽车产业未来战略的制高点,是国家汽车产业由大变强的重要突破口。下一步将重点在加强顶层设计、制定标准法规、突破关键技术、升级基础设施、加强国际交流、提升信息安全等几方面开展工作。

信息安全对于智能网联汽车如此重要,众多专家学者认为,应从技术、法规、标准等多个维度发力。

“没有网络安全也就没有所谓的智能网联和智能网联的量产车。”广汽硅谷研发中心CEO、清华大学汽车工程系客座研究员尚进在CICV2018的年会中曾这样说道。

为此,尚进给出了这样的建议:对于汽车行业,防护体系需要考虑车边界、车内网、车内ECU、云车通信、及云内安全等;作为生态圈,车企必须建立自己甚至行业共享的攻击测试、漏洞共享及应急响应机制。

清华大学教授、中国智能网联汽车产业创新联盟专家委员会主任李克强表示,应从标准体系、安全架构、检测技术、监测技术、监控平台等方面,开展智能网联汽车端到端的安全防护及“云‐管‐端”三层纵深防御体系。

时下最火热的区块链技术也将被引入汽车行业以提升数据安全。

据介绍,因区块链技术在智能网联汽车中有丰富的应用场景:例如可访问车辆中的特定数据,大幅提高支付、无钥匙访问、汽车共享、按需服务、优化保护及自动驾驶等场景的便利性、安全性。不久前,德国半导体制造商英飞凌已和区块链企业XAIN签署合作。

在法规和标准层面,国内对汽车信息安全的标准制定也在全力推进。

在2016年公布的《国家网络安全法》中,重点保护领域就包括了交通运输。2017年12月,工信部、国家标准化管理委员会联合发布《国家车联网产业标准体系建设指南》,确定了智能网联汽车信息安全相关的标准体系。

图片来源:《国家车联网产业标准体系建设指南》

推进该标准制定的具体工作包括:汽车信息安全通用技术、车载网关、信息交互系统、电动汽车远程管理与服务、电动汽车充电等5项基础通用标准的立项工作;启动汽车信息安全风险评估、安全漏洞与应急响应、软件升级及整车信息安全测试评价等4项国家标准项目的预研和立项。

图片来源:《国家车联网产业标准体系建设指南》

与此同时,中国通信标准化协会、全国信息技术安全标准化技术委员会(TC260)、车载信息服务产业应用联盟、中国智能网联汽车产业创新联盟等国内相关标准化机构、汽车产业联盟自2016年下半年开始,也纷纷启动开展了车联网、智能网联汽车相关标准体系的建设工作。

来自产、学、研各界已经开始由“单打独斗”走向联合,共同打造汽车信息安全的坚实壁垒。

2016年4月,由中国汽车工程学会指导,智能网联汽车联盟联合北京航空航天大学、360、北汽、一汽、比亚迪、大众、宝马等国内外近百家单位发起的国内首个汽车信息安全工作组在北京成立。

今年7月,中汽中心与360集团联手共建“中汽中心-360集团智能网联汽车信息安全联合实验室”专注于汽车网络安全技术研究及安全攻防体系建设。

11月14日,百度和中汽中心在天津顺利举行了“汽车信息安全联合实验室”揭牌仪式。未来,双方将在汽车信息安全技术领域展开合作。

“没有网络安全,就没有智能汽车时代的真正到来。”360集团董事长兼CEO周鸿祎在一次演讲中说道。

清新汽车,依托清华大学,着眼未来世界,深耕汽车科技,打造创新型信息服务平台。敬请关注清新汽车微信公共号:tsingauto



微信