智能制造網APP
智能制造網手機站
智能制造網小程序
智能制造網官微
智能制造網服務號
智能控制
機器人
儀器儀表
物聯(lián)網
3D打印
工業(yè)軟件
回放
品牌
傾技
從2020年開始,聯(lián)網汽車比例將進入快速上升通道。由此帶來的巨大風險是,網絡安全將成為汽車制造商、軟件提供商的主要焦點。
近日,一些黑客透露,他們已經找到了大規(guī)模激活聯(lián)網汽車制動裝置的方法,使它們面臨被困在高速公路上的風險。一旦發(fā)現(xiàn)了一個漏洞,黑客就可以通過互聯(lián)網遠程啟動車輛。
目前,在路上行駛的大多數(shù)車輛還沒有聯(lián)網,當然也不是自動駕駛,但這個行業(yè)正在把我們帶向智能化、網聯(lián)化的方向。在20年內,道路上超過四分之一的汽車將具備自動駕駛能力(一些汽車制造商甚至已經為車輛配置了整車OTA,隨時升級高級別自動駕駛)。
這意味著,汽車行業(yè)就有責任確保車輛不受網絡攻擊。
越來越多具備收集數(shù)據能力的車輛利用該地區(qū)可用的蜂窩網絡將數(shù)據上傳到服務器,這些網絡已被證明容易受到入侵。許多專家表示,目前汽車常見的CAN總線很容易被黑客入侵。
近日一項國外機構的研究表明,黑客只需要通過讓小部分車輛熄火,就可以讓整個城市陷入癱瘓。僅僅是這樣的攻擊威脅——可能會帶來前所未有規(guī)模的道路事故,以及重大的經濟損失。
隨著智能網聯(lián)汽車新十年發(fā)展周期的到來,像這樣的潛在攻擊,可能會變得更加普遍。
一些汽車制造商已經開始行動。
通用汽車在去年底推出的全新一代電子架構平臺,就考慮了未來可能的黑客攻擊,“從一開始就考慮了網絡安全問題”,該公司負責人表示,比如利用汽車部件之間的消息認證,以確保發(fā)送或接收的通信來自合法的服務器。這家公司正在借助更多的內部測試和白帽黑客來監(jiān)測網絡中的漏洞。
豐田也在使用與黑客相同的工具。該公司已經開發(fā)出PASTA(一個具有適應性的便攜式汽車安全測試平臺),這是一個允許任何人——甚至是車主檢查聯(lián)網車輛ECU和搜索漏洞的系統(tǒng)。
制造商采取的措施是否足夠還有待觀察,但很明顯,網絡安全必須成為2020年開始的優(yōu)先事項,它能在黑客之前發(fā)現(xiàn)問題,并阻止他們利用這些漏洞??紤]到軟件定義汽車時代的到來,整車所搭載的代碼數(shù)量幾何級數(shù)增長,隱藏的漏洞會越來越多。
總部位于加州的消費者監(jiān)督機構發(fā)布了一份報告,敦促汽車制造商安裝“切斷開關”,讓汽車與互聯(lián)網進行手動斷開連接。該報告強調了許多之前發(fā)生的遠程車輛黑客事件,比如2015年的一輛切諾基在一條高速公路被黑客侵入,此次事件致使FCA緊急召回140萬輛隱患車型。
“運行相同軟件的數(shù)百萬輛汽車,意味著一個漏洞可以同時影響數(shù)百萬輛汽車。”該組織警告說,由于道路上此類車輛的數(shù)量不斷增加,潛在的安全漏洞正在增加。
專家們一致認為,通過復雜的信息娛樂設備將安全關鍵組件連接到互聯(lián)網是一個安全缺陷。這種設計允許黑客控制車輛的操作和接管數(shù)據通訊。
報告特別指出,汽車制造商越來越多地采用無線更新(OTA)技術,這種技術提供了在線更新軟件的能力,可能會修復漏洞,使系統(tǒng)更加安全,但該功能也可能帶來新的漏洞。這種無線更新還提供了一種避免向監(jiān)管機構通報問題的方式,來代替?zhèn)鹘y(tǒng)的召回報告制。
目前,特斯拉、戴姆勒、福特、通用和寶馬等多家汽車制造商已向投資者披露了網絡風險。
比如,梅賽德斯-奔馳計劃在2020年發(fā)起聚焦安全的“漏洞報告獎勵”(Bug Bounty)項目,旨在幫助和鼓勵有關研究團隊協(xié)助梅賽德斯-奔馳提升其互聯(lián)安全服務。
此前,梅賽德斯-奔馳研究人員同360智能網聯(lián)汽車安全實驗室的Sky-Go團隊合作,修復了19個與網聯(lián)汽車有關的潛在漏洞。隨后,雙方宣布達成合作,將通過安全大腦共同提升汽車信息安全能力。
Auto-ISAC是由汽車制造商在2015年成立的,為了促進供應商和汽車制造商在汽車網絡安全問題上合作的組織。其重點是促進合作,以降低網絡攻擊的風險,并創(chuàng)建一個安全、高效、靈活的聯(lián)網汽車生態(tài)系統(tǒng)。
Auto-ISAC的一項重要行動是發(fā)布汽車網絡安全實踐指南,涵蓋汽車網絡安全的組織和技術方面。除了網絡漏洞,隨著技術的不斷進步,儲存在汽車內的個人數(shù)據會越來越多,這產生另一個安全風險——個人隱私。
基于用戶信息、聯(lián)網、支付、導航、定位等數(shù)據,未來汽車汽車制造商或者云端服務提供商可能會知道你住在哪里、在哪里工作、孩子在哪里上學、周末喜歡在哪里吃早餐,這些關鍵信息的記錄存儲都將變得越來越普遍。
用戶在享用便利的同時,卻已經處于個人隱私被竊取的境地。這其中的危險之處在于,許多人并沒有意識到一輛車可能會有多少關于他們的數(shù)據。
Auto-ISAC在去年進行的一項調查顯示,涉及12家汽車制造商的近400多款車,有超過一半的車輛上存儲有個人信息,而這些車輛終流向了二手車交易市場。另外一個隱私泄露風險來自于車聯(lián)網數(shù)據及定位服務商,尤其是越來越多的新車開始啟用類似手機的用戶注冊制,用戶信息與日常使用服務的數(shù)據進行的關聯(lián)越來越緊密。
比如,近谷歌宣布加入了Auto-ISAC,為旗下服務汽車行業(yè)的Android Auto™和Android Automotive OS尋求更多的網絡安全支持。考慮到已經有一部分車企開始搭載Android Automotive OS,確保數(shù)據受到保護已經是當務之急。
正如一句中國古話:千里之堤,毀于蟻穴。那么,聯(lián)網汽車安全風險是否聳人聽聞?
一家云計算汽車網絡安全解決方案提供商Upstream Security上個月發(fā)布的《2020年汽車網絡安全報告》,分享了對過去十年中367起公開報告的汽車網絡事件的深入分析和統(tǒng)計數(shù)據,以及2019年發(fā)現(xiàn)的新漏洞。
“隨著針對聯(lián)網汽車的攻擊迅速增加,汽車制造商和服務供應商需要盡快部署設計適當?shù)木W聯(lián)安全架構。”Upstream Security營銷副總裁Oded Yarkoni表示,整個行業(yè)面臨的安全威脅是真實存在的,而且越來越普遍。
1、聯(lián)網汽車已經開始占領主流市場,目前存量車有3.3億輛已經聯(lián)網(包括3G、4G),其中大部分汽車制造商已經宣布,到2020年只有聯(lián)網汽車才會上市銷售。僅這一點就會成倍地增加每次攻擊的潛在傷害。
2、汽車網絡安全事故數(shù)量大幅增加,自2016年以來,發(fā)生的汽車網絡安全事故數(shù)量增加了605%,僅去年一年就增加了一倍多。
3、三分之一的安全事件涉及無鑰匙進入攻擊,過去十年的前三名攻擊載體是無鑰匙進入系統(tǒng)(30%)、后端服務器(27%)和移動應用程序(13%)。
4、三分之一的事件導致了汽車被盜竊,在過去十年中,汽車盜竊(31%)、汽車系統(tǒng)控制(27%)和數(shù)據/隱私侵犯(23%)是主要的三個影響。
5、2019年的絕大多數(shù)安全事件涉及遠程攻擊,其中高達82%的事件涉及短程或遠程攻擊,這些攻擊不需要對車輛進行物理訪問,可以在世界任何地方進行。
6、隨著越來越多的汽車制造商采用bug發(fā)現(xiàn)獎勵作為尋找漏洞的一種方式。此外,政府主管部門和消費者正在要求制定相關的聯(lián)網汽車安全法規(guī)來保護免受攻擊和個人隱私泄露。
與此同時,人工智能、機器學習、物聯(lián)網、基于云的平臺和智能設備都使得連接復雜性增大,也為網絡攻擊提供了催化劑。尤其是自動駕駛汽車在未來5到10年涌入市場,制造商和運營商必須解決的大問題將是車輛安全。
比如,著名的吉普切諾基失控事件,雨刷被打開、網絡傳輸中斷、加速剎車失靈,這一切都發(fā)生在幾分鐘之內。值得慶幸的是,這次黑客攻擊只是一次試驗。
由于自動駕駛汽車依賴于軟件和網絡連接,它們很容易受到簡單的黑客攻擊。自動化技術仍處于初級階段。
因此,沒有足夠的數(shù)據來量化大規(guī)模黑客攻擊的影響。如果說,過去十年消費者對于自動駕駛車輛的擔憂來自于是否有能力達到甚至超過人工司機的駕駛水平,未來十年擔憂將逐步演變?yōu)槭欠袢菀妆缓诳涂刂啤?br />
以具代表性的特斯拉為例,過去數(shù)年這家公司都在不斷嘗試如何應對網絡威脅,包括數(shù)年贊助Pwn2Own白帽黑客大賽等活動,給破解其汽車系統(tǒng)的人支付高獎金。
盡管這種對第三方滲透測試的公開邀請并非常態(tài),但至少這是目前為止幫助汽車制造商識別、分析和糾正系統(tǒng)中漏洞的好方式之一。
那么,防止網絡安全風險的難度有多大?
在Waymo的自動駕駛汽車設計中,安全關鍵方面,例如,方向盤、剎車、控制器都與外界隔絕。例如,決定車輛運動的安全關鍵計算和車上的3D地圖都是屏蔽聯(lián)網的,不受車輛的無線連接和系統(tǒng)的影響。
Waymo還考慮了其無線通信的安全性。Waymo車輛不依賴于固定連接來安全運行。在路上,運營中心和車輛之間的所有通信都是加密的,包括Waymo運營支持人員和乘客之間的通信。Waymo車輛可以與運營中心進行通信,以收集更多的路況信息,而Waymo車輛則始終負責駕駛任務。
這些保護措施有助于防止任何人對Waymo車輛的物理訪問受限,無論是乘客還是附近的惡意行為者,損害或改變車輛的安全性。Waymo有不同的機制來注意異常行為和分析這些事件的內部過程。
如果Waymo發(fā)現(xiàn)有人試圖破壞其車輛安全的跡象,Waymo將啟動其全公司范圍的事故響應程序,包括影響評估、遏制、恢復和補救。
由此可見,從2020年開始,聯(lián)網汽車的安全問題將成為新十年周期的新焦點,尤其是在聯(lián)網已經成為新車的基礎功能配置的大背景下。
浙公網安備 33010602000006號
智能制造網APP
智能制造網小程序
微信公眾號
