[爱卡汽车 用车 原创]
就像手机、电脑会中病毒一样,现在智能网联汽车也出现了新型攻击方式,不仅会造成信息泄露,我们的爱车还存在着被黑客批量操纵、盗窃甚至是违法犯罪等威胁。面对这种情况,我们还能放心地买车用车吗?
一、美剧大片可能变现实
记得在《速度与激情8》刚上映的时候,我还和朋友聊里面街头车辆被反派批量操纵的场景,看似酷炫、科幻的美剧大片画面,其实在现实中真的有可能会发生,并且有着极高的危险性。
在影片《速度与激情8》里,反派为了劫持目标车辆,动用黑客黑入了城市街头车辆的电脑,以及4S店展厅内的车辆,通过批量操纵这些车辆,让它们朝着设定的方向自动行驶,甚至是去撞击警车,做一些违法犯罪的事情。
看电影的时候被画面场景所震撼,但是转念一想,在智能网联汽车和自动驾驶越来越普及的发展潮流下,这样的场景有可能真的会发生!
如果是放到20年前,汽车还没有太多的电子系统,动力、转向、刹车等都是机械控制,没有被黑客攻击的可能。反观现在的汽车,智能网联系统、电子换挡、电动助力转向、刹车辅助,尤其是一些纯电动汽车,完全有可能被黑客入侵电脑进行远程启动和操控。
二、智能网联汽车成必然?
既然智能网联汽车存在着风险,那我们是不是应该放弃呢?减少汽车上的电子系统和配置?当然不可能,其实结合智能网联汽车的优势和发展趋势,未来智能网联汽车是必然。
为什么这样说呢?首先在汽车产销下滑和消费品质升级等前提下,汽车行业未来实现“新四化”是共识,即智能化、网联化、电动化和共享化。只有这样,我国的汽车行业才能由高速发展转变为高质量发展,我们才能够享受到更高品质的用车生活。
其次,在不考虑智能网联汽车信息安全的情况下,其诸多的功能确实为我们带来了很多便利。自动驾驶、人脸识别、互联网车机、手机APP远程操控、无人驾驶巴士,甚至是实现和家内电器万物互联。在5G的推动下,相信在不久的将来我们都可以享受到。
但是要实现高品质的用车生活,一定是在智能网联汽车信息安全的前提下。否则的话,智能网联汽车就很有可能像美剧大片中一样,被黑客们批量操纵,甚至成为违法犯罪的作案工具。所以在汽车“新四化”的同时,智能网联汽车信息安全也一定要重视起来。
三、你的爱车可能会受到新型攻击
讲到这里,一定有朋友比较感兴趣智能网联汽车是怎样受到黑客攻击的呢?其实就像近期爆发的新型肺炎一样,智能网联汽车和自动驾驶技术也受到了新型攻击,这让许多汽车厂家猝不及防。
从360智能网联汽车安全实验室发布的《2019智能网联汽车信息安全年度报告》中我们得知,2019年车联网出现了两种新型的攻击方式,一种是基于车载通信模组信息泄露的远程控制劫持攻击,另一种是基于生成式对抗网络的自动驾驶算法攻击。
首先第一种新型攻击方式比较好理解一些,简单来说就是黑客们通过私有APN网络渗透到车厂的内部网络,因为私有APN是运营商为厂商建立的一条专有网络,安全级别高,但导致安全人员也会忽视了私有网络连接的TSP服务器本身的安全问题。一旦黑客们可以随意访问到车企私有网络的内部控制系统,就有可能实现批量远程控制汽车。
另一种是基于生成式对抗网络的自动驾驶算法攻击,我们都知道现阶段的自动驾驶技术基本都是基于毫米波雷达、激光雷达和摄像头等作为传感器,简单来说如果通过使用噪音或者特定图像等作为对抗样本进行干扰的话,就能够误导自动驾驶系统,使车辆不该转弯却转弯,或者该刹车却没刹车等。
当然“魔高一尺道高一丈”,针对这两种新型的攻击方法,专业的研究团队也有着应对办法和解决方案,我们在后面会介绍到。
四、现实中已经发生了
前面说得那么吓人,现实中真的发生了吗?其实虽然没有发生过像美剧大片中汽车批量被操控的事情,但是汽车盗窃、用户信息泄露等都真实发生了!
首先大家都听到过的就是特斯拉被盗事件,这张图片为英国的博勒姆伍德地区,两个小偷在短短30秒内,使用中继攻击设备,在没有钥匙的情况下成功实现盗窃特斯拉Model S(参数|询价)。
值得一提的是,中继攻击工具并不昂贵,而且便携。小偷通过利用一个中继设备,先在屋子周围尝试寻找和靠近特斯拉的钥匙,然后识别、放大车钥匙和特斯拉之间的通讯信号,欺骗特斯拉Model S以为钥匙就在附近,然后利用无钥匙进入与启动功能,盗贼可以解锁车门、启动车辆,最终偷走车辆。这个过程并未涉及破解钥匙与车辆的认证算法等机制,中继设备只是采集车钥匙发送的信号,并不篡改信号内容,也没有解密和破坏通信协议。
2019年4月,共享出行公司Car2Go在芝加哥有100辆车被盗,并临时停止了在芝加哥地区的共享汽车服务。此次事件中共有21人遭到指控,被盗车辆还参与了违法犯罪活动,而事发的根源就是因为手机APP遭到了不法分子破解。
近几年发生的案例不在少数,除了上述之外,Uber曾曝出存在账号劫持漏洞,后装汽车防盗系统存在漏洞,丰田汽车服务器遭到过入侵,宝马也遭受过APT攻击。这些都让各大汽车厂商对于车联网和自动驾驶系统的安全防护更加重视起来。
五、有什么应对办法?
为了能够提高车联网和自动驾驶系统的安全防护工作,各大车企首先能做的就是和专业团队合作,进行定期渗透测试和防护升级,让专业的人干专业的事。
术业有专攻,前不久奔驰和来自360的汽车安全团队合作,共计发现硬件和软件的漏洞19个。通过利用多个漏洞形成的攻击链,可实现对梅赛德斯-奔驰的非接触式控制,例如未授权的远程解锁车门、启动发动机等操作。当然360汽车安全团队也针对漏洞进行了修复方案,并获得了奔驰的认可和奖项。
除此之外,为了应对可能发生的信息安全问题,特斯拉和上汽通用等车企都与专业团队进行过合作。对于车企来说,这也是最高效的解决方案。毕竟如果组建自己的研究团队的话,还要耗费大量的财力和时间,而选择专业和经验丰富的汽车安全研究团队,事情会变得更简单一些。
针对于智能网联汽车信息安全存在的两种新型攻击威胁,汽车安全团队有什么应对方法呢?首先在360汽车安全团队的研究中,通过对传统通信模组进行升级改造,通过主动防御的方式,抵御新型车联网攻击。
360汽车安全团队在原有模组的基础架构之上,增加了安全芯片建立安全存储机制。集成了TEE环境保护关键应用服务在安全环境中运行,并嵌入了入侵检测与防护模块,提供在TCU端侧上的安全监控,检测异常行为,跟攻击者进行动态的攻防对抗。
针对基于生成式对抗网络的自动驾驶算法攻击,也可以通过提高样本数据覆盖率、修改网络和对输入数据进行预处理或转换方法,提高对于对抗样本的发现能力和防御能力。
在具体产品方面,可以像手机和电脑一样,推出车机版安全管家。比如360车机管家能针对各类基于Android系统的车载娱乐系统,通过云端安全运营平台支撑,提供智能恶意程序识别防护、防ROOT功能、流量监测、一键优化以及存储管理功能。再加上车载入侵检测与防御系统和360汽车防火墙,组成层次化的主动防御系统。
除了安装在客户端的防护软件以外,360汽车安全大脑还提供三大技术支持,分别是汽车信息安全评估、车联网安全监测服务和车联网安全体系建设。通过渗透测试,帮助车企识别车联网和关键零部件中潜在风险、威胁和漏洞,了解车联网威胁、风险和脆弱性。通过监测车端安全数据,结合云端大数据进行分析,实时感知威胁车联网系统安全的攻击手段,并评估应对方法。通过提供涵盖了关键组件、内外部通信、云端等安全防护方案,建设起纵深防御的车联网安全体系。
从汽车厂家来说,要建立供应商关键环节的安全责任体系。简单来说就是从质量体系,技术能力和管理水平等多方面综合评估供应商,从供应链的源头保证汽车网络安全。
汽车的数字钥匙可用于远程召唤,自动泊车等新兴应用场景,在给我们带来便捷的同时,也埋下了安全隐患。数字车钥匙的“短板效应”显著,身份认证、加密算法、密钥存储、数据包传输等任一环节遭受黑客入侵,则会导致整个数字车钥匙安全系统瓦解。
利用数字钥匙漏洞打开的不止是车门,也打开了“潘多拉盒子”,不法分子可利用此类攻击实施盗窃,抢劫,安装窃听装置,定位装置,甚至对用户的车内行为进行监控等,可利用车辆进行违法犯罪活动。
对于车主们来说,在使用数字钥匙的同时,要做好谨慎防护。首先不要使用ROOT过的电子设备安装汽车数字钥匙,这样无异于为不法分子打开了“大门”。另外不要在连接一些未知WiFi网络的情况下使用数字钥匙,因为不法分子也有可能通过WiFi网络来窃取数字钥匙信息。
编辑点评:毫无疑问的是,车联网和自动驾驶技术都为我们的用车生活带来了更多的便捷,必将是未来的发展趋势。不过伴随着智能网联汽车的普及,带来的信息安全问题一定要得到重视。相信在各大汽车厂商和专业的汽车安全研究团队的共同合作下,我们目前担心的问题,在未来万物互联的用车生活中将不是问题。
往期精彩内容回顾: