许晖
混蛋的人与混蛋的事情
许多小时候钟情于玩遥控航模的70后读者,都会记得当年的遥控设备上可以自行更换的晶体振荡器,也就是模友口中的晶振。为了能友好地跟模友们一起好好玩耍,大家都会墨守成规地遵循着,玩耍之前先沟通协调,通过更换不同频率的晶振,悬挂好自己设备频率的号牌,避免与他人的遥控“撞频”。可总有那么一些混蛋的人会默默地从衣服兜里掏出一把涵盖所有频段的晶振,然后奸笑着塞进遥控器使坏。正是因为这种混蛋的人干出混蛋的事情,遥控器厂家不断更新遥控加密技术,设置更多的频点,将遥控技术升级至PCM、2.4G 频段甚至5G频段,把这看作早期的黑客入侵与封堵设备漏洞一点都不为过。
时代在变,领域也在变,就连混蛋的人可能也变老了,唯一不变混蛋的事情仍存在。随着互联网、人工智能、云计算和大数据等技术的应用,汽车已经不再像以前一样仅仅被人们当成是交通工具,如今汽车正慢慢走进人们的生活,成为生活的一部分。人们对汽车与各个设备之间信息互通的要求越来越高。车内设备不仅要与手机等智能设备连接,同时还需要方便地接入互联网,与交通管理系统、周边其他车辆进行信息共享,即车联网。汽车中使用的智能联网系统沿袭了既有的计算和联网架构,所以也继承了这些系统天然的安全缺陷。随着汽车中ECU和连接的增加,也大大增加了黑客对汽车的攻击面,尤其是汽车通过通信网络接入互联网连接到云端之后,每个计算、控制和传感单元,每个连接路径都有可能因存在安全漏洞而被黑客利用,从而实现对汽车的攻击和控制。一旦被黑客控制,不仅会造成驾驶者的个人信息和隐私被泄露,还会直接带来人身伤害和财产损失,同时还会导致品牌和声誉受损,甚至上升成为危及国家安全的社会问题。
“刷漏洞”时代的到来
从360集团发布《2017智能网联汽车信息安全年度报告》来看,2017年,汽车信息安全已进入刷漏洞时代。智能网联汽车确实存在众多漏洞,黑客一旦通过漏洞攻击,将会给用户带来巨大人身、财产安全危害。目前已经发现的漏洞涉及到TSP平台、APP应用、Telematics Box(T-BOX)上网系统、车机IVI系统、CAN-BUS车内总线等。报告对2017年度汽车信息安全漏洞进行了详细解析,有的漏洞可以远程控制汽车、有的漏洞可以对人身造成伤害。国内外汽车信息研究人员发现的TCU和安全气囊等漏洞也分别获得到CVE漏洞编号,说明智能汽车信息安全漏洞开始受到普遍关注。
正所谓不知者无畏,其实黑客入侵智能汽车的事件一直都在发生,区别仅限于先由白帽子发现还是先有黑帽子掌握罢了。譬如荷兰电子工业设计师Tom Wimmenhove在多款斯巴鲁汽车的钥匙系统中发现了一个严重的安全设计缺陷,攻击者通过截获钥匙系统在对车辆进行上锁、解锁或其他操作时所使用的序列码。破解算法并计算出下一个序列码将能轻易劫持车辆,而劫持工具成本仅大约15到30美元之间。再如360智能网联汽车安全实验室连同浙江大学徐文渊教授团队针对引起外媒广泛关注的“海豚攻击”的研究成果,通过市面上主流智能汽车荣威eRX5的进行测试验证。实验人员成功使用了“海豚音”对车载语音助手进行了攻击测试,实现了可以在人耳听不到的情况下,通过超声波对车载语音助手下达指令,达到开启天窗、控制空调、导航等功能。
国内外安全标准加快制定与企业建议
过去几年,国内外的汽车信息安全标准制定工作也在持续进行中。国际组织(ISO/SAE)正进行21434(道路车辆-信息安全工程)标准的制定。该标准主要从风险评估管理、产品开发、运行、维护、流程审核等四个方面来保障汽车信息安全工程工作的开展。中国代表团也积极参与此项标准的制定,国内几家汽车信息安全企业、整车厂,也参与了该标准的讨论,该标准将于2019年下半年完成,预计满足该标准进行安全建设的车型于2023年完成。国内标准制定方面,2017全国汽车标准化技术委员会已经组织两次汽车信息安全工作组会议,全国信息安全标准化委员会、中国通信标准化协会等各大国标委,联盟组织在积极研究汽车信息安全标准相关工作,加快汽车信息安全标准的制定进度。
编辑感言
根据2017年智能网联汽车信息安全领域所发现的漏洞以及破解案例看来,目前汽车信息安全已处于一个稳定期。各厂家都已经注意并重视汽车信息安全风险带来的隐患,行业内部也开始制定相關标准解决此类问题。但目前态势还是安全建设滞后于安全研究的,所以组建信息安全团队或组织、进行合理有效的威胁分析、控制上线前产品安全验收、关注标准建设和法律法规将成为车企急需解决的四大防范措施。
