汽車進入被盜高峰期?安全漏洞最坑人
[汽車之家 行業] 一個智商165的人,他是現實世界里的失敗者,卻是網絡中的頂尖黑客。他可以追蹤到任何一個人的信息,先后入侵國際金融系統和國家安全局。這就是電影《沒有絕對安全的系統》中所描述的情景。
現如今,汽車也正演變成一個漏洞越來越多的“系統”。2014年的黑客攻擊致克萊斯勒140萬輛汽車召回;2019年奔馳被發現19個安全漏洞,波及200多萬輛汽車。近段時間,大眾、福特、現代、豐田等接連被曝出存在安全漏洞。不幸的是,最壞的時候還沒有到來……有專家預測,2025年前后汽車網絡攻擊可能會大爆發。
30秒快速閱讀:
1、當前,數字鑰匙的安全漏洞問題最為嚴重。隨著自動駕駛、5G車聯等逐步成熟,汽車信息安全形勢日益嚴峻。
2、行業對汽車信息安全高度關注,用戶卻沒有明顯感知。手機被攻破頂多“傷財”,而汽車安全漏洞卻能“害命”。
3、比之海外品牌,現存的中國品牌汽車在信息安全方面相對偏弱。OTA(空中升級)將是“堵”漏洞的重要手段。
● 汽車“漏洞”越來越多,安全攻擊快速增長
汽車信息安全與車聯網關系密切,汽車越“獨立”,信息安全問題越小,反之越嚴重。2015年起,車企逐步深化網聯功能,汽車網絡入侵事件也日益增多。中國汽車技術研究中心曾對市面上的70余輛汽車進行信息安全能力測試,發現2000個以上數據漏洞。七大攻擊入口主要為:網絡架構、車載信息娛樂系統、T-BOX、云平臺、App、ECU及無線電。
當前,汽車數字鑰匙的安全漏洞問題最為嚴重。車主通過手機App就能解鎖車輛、啟動汽車或遙控泊車,然而整條鏈路的安全性并不“健壯”。2019年,有黑客僅用30秒就偷走一輛Model S(參數|詢價)。2019年前10個月,英國發生14000多起利用數字鑰匙漏洞盜竊汽車的案件,作案時間通常都不到30秒。
數字鑰匙漏洞還只是“冰山一角”。近一兩年,汽車網絡安全攻擊事件呈現出快速增長趨勢。有統計數據顯示,2019年公開報道的針對智能網聯汽車網絡安全攻擊的事件差不多是2018年的兩倍。
未來,汽車所面臨的信息安全處境有可能“更糟”。5G興起,加速汽車“觸網”;智能汽車的發展,堅定了車企走“軟件定義硬件”的道路。然而,越多的觸點意味著越多的風險,越多的代碼行段必然帶來越多的BUG(當前汽車軟件代碼量達上億行)。
『特斯拉Model S』
騰訊安全科恩實驗室安全技術專家范士雄稱,“車聯網安全還處在初期階段。如果手機的安全分數是100分,那么當前車聯網安全也就六七十分的水平。”另一位汽車信息安全專家表示,“未來,汽車安全漏洞會越來越多。”該人士認為,現在還沒有到真正爆發的時候,當自動駕駛汽車大規模起量時,形勢會更加嚴峻,時間節點可能是2025年前后。
● 用戶沒有明顯感知,汽車安全攻擊卻可“害命”
人們對汽車安全漏洞的關注似乎一直停留在B端,C端用戶好像并沒有明顯的感知。好比今天電腦和智能手機如此發達,用戶依然對網絡安全沒有切身感受。
面對如此現狀,從業者也在思考,汽車信息安全的需求到底是什么?任何一項功能、服務的應用,都是用戶有需求,車企才會去做部署。汽車信息安全,理論上也應是如此。
『2014年被入侵后失控的克萊斯勒汽車』
那么,為何C端用戶沒有感知呢?上述不具名安全專家認為,首先,當前智能網聯汽車的數量還不夠多,相較于存量傳統汽車而言可謂“九牛一毛”。其次,與手機/電腦相比,汽車安全攻擊門檻更高,黑客自己先要有車作為“研究”對象,同時還要足夠強的汽車專業知識。
更關鍵的原因在于,當前汽車網絡攻擊的“黑色產業鏈”尚未成熟。“黑產利用”的商業價值有限,可能還不如“黑”手機/電腦勒索錢財來得更直接。范士雄表示,當前汽車網絡攻擊多以車企的云數據平臺為主,這比起入侵單獨的一輛汽車來說非法獲利空間大多了。
手機/電腦被攻破頂多“傷財”,汽車安全漏洞卻可能“害命”,這才是問題的關鍵所在。汽車信息安全所面臨的“威脅”主要體現在兩方面:一是影響范圍,比如通過云平臺漏洞可以批量控制多少車;二是影響程度,入侵信息娛樂系統的危害有限,但如果底層控制系統(如剎車、轉向、動力等)被攻破,就能夠“害命”。假如“范圍”和“程度”兩個條件同時滿足,有可能造成“群死群傷”。
好的一面是,我國對互聯網的管理非常嚴格,同時車企極其注重汽車產品安全,未來汽車信息安全問題不一定就像說得那么嚴重。糟糕的一面是,車聯網方興未艾,不清楚安全漏洞將如何被黑客利用,黑暗勢力依然隱藏在背后。控制汽車作為政治暗殺工具,或脅迫高速行駛的自動駕駛汽車勒索比特幣,這些情景不是沒人暢想過。
● 中國品牌車是“軟柿子”,但安全問題正快速改善
當前所暴露出來的汽車安全漏洞入侵問題,其根源往往在數年前。因為汽車開發周期通常需要3-5年,而當時車企在進行開發時可能壓根就沒有預埋網絡安全設計。
在范士雄看來,上述情況是現如今汽車信息安全所面臨的最大挑戰。他認為,“三五年前所開發的汽車并不完全是針對智能網聯設計的,也沒有考慮太多信息安全性,還認為汽車只是一個相對‘獨立’的空間。現在為了實現網聯功能,可能做小幅改動后就讓汽車去聯網,這相當于把一個有很多漏洞的系統直接暴露在了網絡上。”
在存量車中,中國品牌國產車的信息安全問題最為突出。“中國品牌汽車就好像‘軟柿子’,屬于誰都能捏的那種。”上述不具名安全專家稱,依據他們所做的測試研究,美系車很早就涉足車聯網,信息安全基礎比較好。日系講究精細化,加密做得特別好,即便車被‘黑’了你也控制不了。德系秉承‘工匠精神’,信息安全中規中矩,非常規范化。
不過,這種情況正在快速好轉,主要是車企對信息安全越來越重視,人才、預算等資源傾斜力度不斷加大。同時,專業的互聯網公司也在幫助車企建設信息安全能力。比如,騰訊安全科恩實驗室已經與國內外眾多車企展開密切的安全合作。他們一方面幫助車企建立安全評估和自治能力;另一方面也把技術能力轉換成自動化工具,為車企提供安全服務,解決安全問題。
『通用凱迪拉克CT5全新電子電氣架構』
除了不斷加大資源投入外,車企也針對未來智能汽車進行產品開發。大眾、吉利、凱迪拉克等都陸續推出基于新電子電氣架構的車型,在云端、通信鏈路、車端都會部署安全解決方案。以車端為例,將內部網絡分區隔離,并采取嚴格的身份認證,即便某一模塊被攻破,也不至于擴散到整車或其他車輛。而OTA技術的應用,則使得未來的汽車能像手機一樣,通過不斷“打補丁”的方式堵住漏洞。
全文總結:
所謂道高一尺,魔高一丈。汽車信息安全永遠處在“攻”與“防”的動態平衡中。攻要能突破防御才有存在的意義,防要能抵擋攻擊才能證明其價值。暫且不論汽車安全漏洞給用戶帶來的人身安全威脅,隱私數據保護必將面臨更大挑戰。智能汽車就是一個時刻在收集數據的“傳感器”,不管是個人行為數據、企業商業機密,還是國家層面的地理信息數據,都存在巨大的泄漏風險。(文/汽車之家 鮑彬斌)
收藏
+1
贊
+1
踩
推薦閱讀
最新文章
加載中
好評理由:
差評理由: