此時(shí),很多人正在享受智能汽車帶給的便利,比如無(wú)需動(dòng)手,輕聲細(xì)語(yǔ)的一句語(yǔ)音指令,愛車就自動(dòng)開啟空調(diào)、天窗,選擇最愛的流行音樂……??墒侵悄芷囋谪S富用戶生活的同時(shí),很可能也在威脅人身和財(cái)產(chǎn)安全。這一切的幕后黑手——智能網(wǎng)聯(lián)汽車系統(tǒng)漏洞。
目前已經(jīng)發(fā)現(xiàn)的漏洞涉及到TSP平臺(tái)、APP應(yīng)用、Telematics Box(T-BOX)上網(wǎng)系統(tǒng)、車機(jī)IVI系統(tǒng)、CAN-BUS車內(nèi)總線等。由于專職信息安全員和汽車信息安全標(biāo)準(zhǔn)的缺失,導(dǎo)致很多智能網(wǎng)聯(lián)汽車處于安全裸奔的境地。當(dāng)更多支付環(huán)境由手機(jī)轉(zhuǎn)移至車載終端上以后,必然會(huì)帶來(lái)攻擊行為的大幅上漲,因而有必要未雨綢繆,提高智能網(wǎng)聯(lián)汽車的信息安全水平。
四大經(jīng)典案例 揭秘智能汽車安全殺手
對(duì)于一般用戶而言,在理解智能網(wǎng)聯(lián)汽車信息安全專業(yè)術(shù)語(yǔ)上存在很大門檻,為了讓大眾更好的認(rèn)識(shí)、理解智能汽車可能存在的安全漏洞,360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室主任劉健皓向記者介紹了目前全球范圍內(nèi)已破解的四大經(jīng)典案例。
一、斯巴魯遙控鑰匙系統(tǒng)存在漏洞
“荷蘭電子工業(yè)設(shè)計(jì)師在多款斯巴魯汽車的鑰匙系統(tǒng)中發(fā)現(xiàn)了一個(gè)嚴(yán)重的安全設(shè)計(jì)缺陷,廠商目前還沒有修復(fù)這個(gè)漏洞,而該漏洞將會(huì)導(dǎo)致斯巴魯汽車被劫持?!眲⒔○┱f(shuō)。據(jù)他介紹,用戶每用智能鑰匙開啟車門時(shí)都會(huì)生成一個(gè)含有滾動(dòng)代碼的數(shù)據(jù)包,攻擊者在信號(hào)范圍內(nèi)通過(guò)獲取數(shù)據(jù)包,推斷出該車輛鑰匙系統(tǒng)下一次生成的滾動(dòng)代碼,使用該預(yù)測(cè)碼上鎖或解鎖車輛。
二、馬自達(dá)車機(jī)娛樂系統(tǒng)遭破解
馬自達(dá)車機(jī)系統(tǒng)漏洞最早是被Mazda 3 Revolution論壇用戶發(fā)現(xiàn)的,用戶在馬自達(dá)車機(jī)系統(tǒng)中插入優(yōu)盤,可復(fù)制系統(tǒng)信息腳本并進(jìn)行篡改,以此在系統(tǒng)固件之上執(zhí)行惡意代碼,造成儀表顯示故障或失靈。
三、特斯拉汽車車聯(lián)網(wǎng)系統(tǒng)受到攻擊
為了方便用戶聯(lián)網(wǎng),特斯拉汽車設(shè)置了一個(gè)默認(rèn)功能,即車輛駛?cè)?S店后會(huì)自動(dòng)接入該4S店的WiFi無(wú)線網(wǎng)絡(luò),正是這個(gè)功能給了黑客攻擊機(jī)會(huì)。黑客通過(guò)偽造WiFi入侵車聯(lián)網(wǎng)系統(tǒng),通過(guò)遠(yuǎn)程方式發(fā)控制指令,對(duì)車輛進(jìn)行遠(yuǎn)程控制,如控制車輛的剎車、油門、天窗、車門等。
四、海豚音破譯車輛語(yǔ)音控制系統(tǒng)
隨著智能網(wǎng)聯(lián)技術(shù)的發(fā)展,為了進(jìn)一步解放駕駛?cè)说碾p手,汽車越來(lái)越多的功能開始支持語(yǔ)音控制,而黑客通過(guò)發(fā)出語(yǔ)音信號(hào)可實(shí)現(xiàn)遠(yuǎn)程控制車輛。其攻擊原理是,黑客通過(guò)使用超聲波作為載波信號(hào),將其發(fā)送到語(yǔ)音識(shí)別系統(tǒng)的麥克風(fēng)上,并通過(guò)放大器轉(zhuǎn)換為系統(tǒng)可識(shí)別的語(yǔ)音信號(hào)。由于超聲波超出人體感知范圍,因而即便人在車內(nèi),仍無(wú)法發(fā)現(xiàn)整個(gè)破解過(guò)程。
上述案例僅是智能汽車面臨眾多安全威脅的個(gè)案,在日常生活場(chǎng)景中,智能網(wǎng)聯(lián)汽車面臨的威脅將更為多樣化。
遠(yuǎn)程升級(jí) 可幫助修補(bǔ)安全漏洞
用戶一個(gè)不經(jīng)意的聯(lián)網(wǎng)行為很有可能讓車輛陷入安全威脅中,但值得注意的是,這些漏洞仍可進(jìn)行修補(bǔ),使智能網(wǎng)聯(lián)汽車脫離這些安全威脅,保證用戶的正常使用。近年來(lái)整車制造企業(yè)、零部件供應(yīng)商以及國(guó)內(nèi)安全科技公司不斷加深合作,推進(jìn)智能汽車安全領(lǐng)域相關(guān)研究,提高智能汽車的“免疫力”。
和電腦、手機(jī)通過(guò)不斷升級(jí)系統(tǒng)、軟件來(lái)提高防御能力類似,智能網(wǎng)聯(lián)汽車也可以通過(guò)遠(yuǎn)程升級(jí)來(lái)修補(bǔ)系統(tǒng)安全漏洞,而特斯拉正是通過(guò)遠(yuǎn)程升級(jí)來(lái)修復(fù)潛在威脅。“特斯拉本身帶有遠(yuǎn)程升級(jí)功能,通過(guò)遠(yuǎn)程升級(jí)我們可以對(duì)瀏覽器漏洞、系統(tǒng)本身內(nèi)核漏洞進(jìn)行修補(bǔ),內(nèi)置WIFI也可以通過(guò)遠(yuǎn)程升級(jí)方式解決,因?yàn)檫@是軟接觸方面問(wèn)題,只要通過(guò)升級(jí)系統(tǒng)就可以達(dá)到修復(fù)效果?!?60安全實(shí)驗(yàn)室工程師嚴(yán)敏瑞解釋說(shuō)。
當(dāng)然,遠(yuǎn)程升級(jí)更多的是出現(xiàn)問(wèn)題后的解決方式,由于現(xiàn)代車輛由許多互聯(lián)的、基于軟件的IT部件組成,為了避免出現(xiàn)安全問(wèn)題,整車制造商在每一輛車出廠前都會(huì)進(jìn)行嚴(yán)格的安全測(cè)試,不斷加大汽車網(wǎng)絡(luò)安全的投入,與第三方建立了CVND等漏洞平臺(tái),通過(guò)共享漏洞信息,提高汽車網(wǎng)絡(luò)安全領(lǐng)域的總體安全能力,為智能汽車建立主動(dòng)安全屏障。
上海廣升信息技術(shù)股份有限公司車聯(lián)網(wǎng)事業(yè)部總經(jīng)理芮亞楠接受記者采訪時(shí),強(qiáng)調(diào)了安全性功能應(yīng)在產(chǎn)品設(shè)計(jì)階段即納入考慮范圍內(nèi),整車廠在開發(fā)智能汽車的過(guò)程中,必須要考慮固件、應(yīng)用和內(nèi)容的管理與升級(jí),保障智能汽車信息安全,從而促進(jìn)產(chǎn)業(yè)長(zhǎng)足發(fā)展。
掃一掃在手機(jī)上閱讀本文章