混蛋的人與混蛋的事情
許多小時候鐘情于玩遙控航模的70後讀者,都會記得當年的遙控設備上可以自行更換的晶體振蕩器,也就是模友口中的晶振。為了能友好地跟模友們一起好好玩耍,大家都會墨守成規地遵循着,玩耍之前先溝通協調,通過更換不同頻率的晶振,懸挂好自己設備頻率的号牌,避免與他人的遙控“撞頻”。可總有那麼一些混蛋的人會默默地從衣服兜裡掏出一把涵蓋所有頻段的晶振,然後奸笑着塞進遙控器使壞。正是因為這種混蛋的人幹出混蛋的事情,遙控器廠家不斷更新遙控加密技術,設置更多的頻點,将遙控技術升級至PCM、2.4G頻段甚至5G頻段,把這看作早期的黑客入侵與封堵設備漏洞一點都不為過。
時代在變,領域也在變,就連混蛋的人可能也變老了,唯一不變混蛋的事情仍存在。随着互聯網、人工智能、雲計算和大數據等技術的應用,汽車已經不再像以前一樣僅僅被人們當成是交通工具,如今汽車正慢慢走進人們的生活,成為生活的一部分。人們對汽車與各個設備之間信息互通的要求越來越高。車内設備不僅要與手機等智能設備連接,同時還需要方便地接入互聯網,與交通管理系統、周邊其他車輛進行信息共享,即車聯網。汽車中使用的智能聯網系統沿襲了既有的計算和聯網架構,所以也繼承了這些系統天然的安全缺陷。随着汽車中ECU和連接的增加,也大大增加了黑客對汽車的攻擊面,尤其是汽車通過通信網絡接入互聯網連接到雲端之後,每個計算、控制和傳感單元,每個連接路徑都有可能因存在安全漏洞而被黑客利用,從而實現對汽車的攻擊和控制。一旦被黑客控制,不僅會造成駕駛者的個人信息和隐私被洩露,還會直接帶來人身傷害和财産損失,同時還會導緻品牌和聲譽受損,甚至上升成為危及國家安全的社會問題。
“刷漏洞”時代的到來
從360集團發布《2017智能網聯汽車信息安全年度報告》來看,2017年,汽車信息安全已進入刷漏洞時代。智能網聯汽車确實存在衆多漏洞,黑客一旦通過漏洞攻擊,将會給用戶帶來巨大人身、财産安全危害。目前已經發現的漏洞涉及到TSP平台、APP應用、TelematicsBox(T-BOX)上網系統、車機IVI系統、CAN-BUS車内總線等。報告對2017年度汽車信息安全漏洞進行了詳細解析,有的漏洞可以遠程控制汽車、有的漏洞可以對人身造成傷害。國内外汽車信息研究人員發現的TCU和安全氣囊等漏洞也分别獲得到CVE漏洞編号,說明智能汽車信息安全漏洞開始受到普遍關注。
正所謂不知者無畏,其實黑客入侵智能汽車的事件一直都在發生,區别僅限于先由白帽子發現還是先有黑帽子掌握罷了。譬如荷蘭電子工業設計師TomWimmenhove在多款斯巴魯汽車的鑰匙系統中發現了一個嚴重的安全設計缺陷,攻擊者通過截獲鑰匙系統在對車輛進行上鎖、解鎖或其他操作時所使用的序列碼。破解算法并計算出下一個序列碼将能輕易劫持車輛,而劫持工具成本僅大約15到30美元之間。再如360智能網聯汽車安全實驗室連同浙江大學徐文淵教授團隊針對引起外媒廣泛關注的“海豚攻擊”的研究成果,通過市面上主流智能汽車榮威eRX5的進行測試驗證。實驗人員成功使用了“海豚音”對車載語音助手進行了攻擊測試,實現了可以在人耳聽不到的情況下,通過超聲波對車載語音助手下達指令,達到開啟天窗、控制空調、導航等功能。
國内外安全标準加快制定與企業建議
過去幾年,國内外的汽車信息安全标準制定工作也在持續進行中。國際組織(ISO/SAE)正進行21434(道路車輛-信息安全工程)标準的制定。該标準主要從風險評估管理、産品開發、運行、維護、流程審核等四個方面來保障汽車信息安全工程工作的開展。中國代表團也積極參與此項标準的制定,國内幾家汽車信息安全企業、整車廠,也參與了該标準的讨論,該标準将于2019年下半年完成,預計滿足該标準進行安全建設的車型于2023年完成。國内标準制定方面,2017全國汽車标準化技術委員會已經組織兩次汽車信息安全工作組會議,全國信息安全标準化委員會、中國通信标準化協會等各大國标委,聯盟組織在積極研究汽車信息安全标準相關工作,加快汽車信息安全标準的制定進度。
編輯感言
根據2017年智能網聯汽車信息安全領域所發現的漏洞以及破解案例看來,目前汽車信息安全已處于一個穩定期。各廠家都已經注意并重視汽車信息安全風險帶來的隐患,行業内部也開始制定相關标準解決此類問題。但目前态勢還是安全建設滞後于安全研究的,所以組建信息安全團隊或組織、進行合理有效的威脅分析、控制上線前産品安全驗收、關注标準建設和法律法規将成為車企急需解決的四大防範措施。