0
對于安全行業從業者來說,找洞算是日常工作了。
近日,在美國舊金山 Moscone Center 舉行的安全會議 RSAC 2020 上,360 Sky-Go 團隊表示,他們又挖到了 19 個漏洞,研究人員通過利用多個漏洞形成的攻擊鏈,可實現對梅賽德斯-奔馳的非接觸式控制,例如未授權的遠程解鎖車門、啟動引擎等操作。而這 19 個漏洞將影響 200 萬輛奔馳汽車。
簡直闊怕。
萬物互聯時代,車聯網作為智能網聯的重要組成部分,代表著傳統汽車行業觸手可及的未來,擁有著很大的發展空間和市場潛力。
2018 世界智能網聯汽車大會上,工業和信息化部部長苗圩曾表示:“預計至 2020 年,我國智能網聯汽車的市場規模可達到千億元以上,車聯網是一種市場趨向”。
2020 年,一場突如其來的疫情讓網聯汽車意外迎來了春天。
2 月 24 日,11 部委聯合出臺《智能汽車創新發展戰略》該戰略的提出意味著車聯網產業將在中國獲得高速發展重大機遇。具體表現在:
智能網聯汽車成為汽車產業應對嚴峻挑戰的突破口之一。
汽車電子產業發展獲得智能、網聯、安全新契機。
車路協同核心之一的智慧道路將呈現爆發式建設。
汽車產業新商業模式和數據開放模式成為重要方向。
其中,智能、網聯、安全的汽車電子產品國產化是新契機,未來智能化、網聯化、安全化不僅作用在車載電子裝置上,用于提高汽車附加值,也將作用在電子控制系統上,直接影響汽車的整車性能、安全性和舒適性。在提升汽車的安全性方面,要搭建多層縱深防御、軟硬件結合的安全防護體系,加強車載芯片、操作系統、應用軟件等安全可靠性設計,開展車載信息系統、服務平臺及關鍵電子零部件安全監測,強化遠程軟件更新、監控服務等安全管理。實施統一身份權限認證管理。建立北斗系統抗干擾和防欺騙安全防護體系。按照國家網絡安全等級保護相關標準規范,建設智能汽車網絡安全態勢感知平臺,提升應急處置能力。
可見,網聯汽車的安全性將是接下來工作的重中之重。
看過《 速度與激情 8》的童鞋們應該都記得,電影里通過遠程控制汽車的片段吧,驚險又刺激,但如果這一幕發生在現實生活中就不那么好玩了,這就是拿生命開玩笑。
想象一下,你駕車行駛在某座城市的主干道上,旁邊就是地價高得嚇人的 CBD。在這樣一條繁華的道路上,你的車突然失去了控制,原本在自動駕駛模式里打游戲的你被兩車的沖撞驚到,彈出的安全氣囊包裹了你。然后你聽到了充滿金錢的碰撞聲——砰!砰!
數輛汽車的沖撞和追尾讓整個交通陷入了癱瘓。汽車的滴滴聲,叫罵聲,電話里吵架的聲音綿延不絕。而所有的駕駛員都感到奇怪,為什么突然之間,我的車就失控了呢?
原因是,你可能被黑客攻擊了。
如果說可以實現完全自主能力的汽車是發展的未來,那么針對這樣的系統的黑客,將成為汽車領域網絡安全的主要焦點。畢竟,如果能遠程控制車輛的行駛,對于整個城市都會是巨大的安全隱患。
我們不妨來看幾個例子。
2015 年著名的“白帽黑客”Charlie Miller 和 Chris Valasek 聯手,利用克萊斯勒 Uconnect 車載系統的漏洞為一輛切諾基刷入了帶有病毒的固件,向 CAN 總線發指令遠程接管了車輛的加速、制動和轉向。如此嚴重的安全漏洞迫使克萊斯勒全球緊急召回 140 萬輛車,也是汽車圈內第一起由于黑客隱患發起的大規模召回。
2016 年黑客通過 Uber 工程師發布在代碼共享網站上的密鑰獲得了 Uber 用戶和駕駛員數據,導致全球 5700 萬用戶的個人信息被暴露。出事后 Uber 第一時間想到的不是報警,而是直接付給了黑客 10 萬美元讓對方刪掉信息,這件事直到 2018 年才被曝光。
不過,即便給黑客交了贖金,汽車安全的事件依舊層出不群。
2019 年也爆出過一些黑客入侵汽車系統的案件,比如 7 月有匿名黑客向福布斯宣稱,只需按一個按鈕就可以關閉 25000 輛汽車的引擎,并公開了其發現的漏洞,事后汽車公司隨即進行了一系列補救。
但是這跟辦公計算機中病毒不一樣,畢竟人和汽車的結合不是單純的計算機系統,一旦被黑可能就再也沒有機會重啟了。
那么,在車企交了贖金也沒辦法阻止汽車安全事件發生時,車企要怎么辦呢?
顯然,安全企業這時就變成了車企的“保護神”,有人研究盾就有人研究矛。
2019 年,奔馳率先與 360 達成合作,攜手修復了 19 個奔馳智能網聯汽車有關的潛在漏洞,并向漏洞發現團隊 360 Sky-Go 頒發卓越獎。受此啟發,奔馳計劃在 2020 年發起聚焦安全的“漏洞報告獎勵”(Bug Bounty)項目,鼓勵為其提供漏洞報告的安全研究員及團隊。
值得一提的是,目前,360 已與國內 70% 的主流汽車廠商合作,也是全球唯一能提供整套智能汽車安全產品方案的企業,覆蓋汽車制造的設計、開發、測試、運營各個階段,有超 30 萬輛路面上行駛的汽車接入 360 汽車安全大腦,獲得實時防護。截至目前,360 汽車安全大腦共攔截攻擊 35000 次,為車廠提供安全評估,累積發現車聯網超 500 個安全問題,影響 450 萬輛智能汽車。
那么,360 汽車安全大腦是什么?它能為車企做什么呢?
據360 介紹,360 汽車安全大腦是一套針對智能網聯車輛網絡安全風險的完整解決方案,由“車載-云”端到端的安全產品體系組成,構建能夠感知、分析、響應汽車網絡攻擊的縱深防御體系。通過部署在車端的軟硬件安全產品,將安全相關的數據收集到云端平臺,感知汽車網絡安全風險。云端通過汽車安全大腦提供的分析引擎、知識庫和專業的分析人員,對車端的數據進行自動化分析、溯源,發現并處理攻擊事件,從而消除攻擊帶來的影響,免疫同類攻擊再次發生。
基于安全大數據構建的車聯網異常行為檢測引擎,可以有效收集車聯網系統中的情報數據,控制數據和狀態數據,通過大數據和人工智能算法,有效發現車聯網系統中的異常行為。汽車安全大腦結合了 360 安全大腦安全大數據、威脅情報庫、知識庫等關鍵能力,深度關注汽車從零部件至整車的安全風險,有效應對新型攻擊,保護智能汽車的網絡安全。同時,360 汽車安全大腦可根據車廠的不同安全需求,為車廠提供定制化的安全管理需求,滿足設備資產管控、漏洞管理、安全事件管理、態勢感知等要求。
從端-網-云的角度看,智能汽車安全風險主要存在 7 大類安全風險,分別是越權攻擊、滲透攻擊、DNS(域名解析)劫持、升級包篡改、漏洞攻擊、總線攻擊、惡意應用。
簡單的說,就是車與外部的每一個接口都可能被利用,每一個控制單元都可能被攻擊。因為,與傳統汽車相比,智能網聯汽車涉及更多的車載軟件代碼(上億行代碼)、更多的聯網電子控制單元( 70+ECU )、更多的傳感器,硬件及軟件功能擴展過程中本身蘊含可以優化的漏洞。
黑客可以使用這些相同的物聯網連接無人駕駛汽車,通過藍牙、WiFi、輪胎壓力傳感器以及通過汽車的 CAN 總線連接幾乎任何外部切入點一旦黑客控制了 CAN 總線,攻擊 AI 系統是最常見的手段,同時突破自動駕駛汽車的網絡防御。比如黑客可能試圖通過汽車傳感器/網絡,讓車載人工智能認為是真實的方式注入虛假數據,從而導致人工智能做出錯誤決定并使人員或貨物處于危險之中。
目前來看,黑客的攻擊入口主要集中在車載娛樂系統、數據傳輸通道和 T-Box(車載終端系統)三個層面,其中最容易被攻擊的是 T-Box 。
而 360 汽車安全大腦則體現了“軟硬兼施+動態防御”的安全理念。
360 汽車安全大腦針對汽車這個“終端”上容易遭受攻擊的點——車載聯網終端、車載中央網關、車載娛樂系統、車聯網 APP 等,打造了智能汽車的“裝甲”,包括終端防護軟件汽車衛士,硬件層面的“車載聯網防火墻”等。360 還與紫光共同研發了汽車專用安全芯片,既從硬件層面保障安全,也能支持云端安全策略實時更新。
同時,針對車聯網的安全問題,360 還推出了 360 車機管家、車載入侵檢測與防御系統(車載IDPS)、360 汽車防火墻、車聯網安全運營平臺等產品,全方位保護汽車安全。
安全的問題,往往都是道高一尺魔高一丈。近日,在美國舊金山剛剛落下帷幕的 RSAC 2020 會議上,通用汽車公司首席執行官 Mary Barra 也談到了推出自動駕駛汽車和生物識別增強車載交互技術的重大風險,在這些領域,一個網絡安全事件可能會破壞新興汽車技術數百億美金的研發投入。
她預計,到 2022 年,全球汽車行業網絡安全領域的職位空缺估計在 180 萬到近 400 萬個之間。“如果沒有合適的人和合適的工具,在這個互聯的世界里,汽車安全風險將會成倍增加。”
因此,對于車企來說,找到專業的安全企業做安全的守護,是目前的最好辦法。 雷鋒網雷鋒網雷鋒網
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
