360集團近日發布《2017智能網聯汽車信息安全年度報告》(以下簡稱《報告》)指出,“刷漏洞”已經成為攻擊智能網聯汽車車的最新手段,汽車廠商應該配備信息安全團隊,持續監測漏洞。同時,汽車信息安全標準亟待建立。
《報告》稱,以前汽車是孤立的,物理隔離的,因此黑客很難遠程入侵汽車內部控制器,除非進行物理入侵,而這個是需要很高的犯罪成本。一旦車聯網產品普及,關于汽車被攻擊的現實案例就會出現并越來越多。
據國家發改委預測,預計2020年,中國智能網聯汽車新車占比將達到50%,達到千萬級,中國成為智能網聯汽車第一大國。
汽車信息安全進入“刷漏洞”時代“2017年,汽車信息安全已進入刷漏洞時代。”360集團智能網聯汽車安全實驗室負責人劉健皓介紹,國內外汽車信息研究人員發現的TCU和安全氣囊等漏洞也分別獲得到CVE漏洞編號,說明智能汽車信息安全漏洞開始受到普遍關注。
《報告》稱,目前已經發現的漏洞涉及到TSP平臺、APP應用、Telematics Box(T-BOX)上網系統、車機IVI系統、CAN-BUS車內總線等。有的漏洞可以遠程控制汽車、有的漏洞可以對人身造成傷害。
《報告》針對2017年關于汽車相關安全漏洞進行了分析。比如TCU漏洞,TCU/T-Box是一種調制解調器,現在的汽車普遍用它來傳輸數據。利用這個模塊汽車之間可以互相通訊,還可以用web控制臺和手機app來遠程控制手機。
《報告》介紹,其中有的漏洞可以被遠程利用。而且想要遠程利用漏洞未必需要2G網絡,只需要購買開源的2G基站:“如果攻擊者自己設立惡意基站(偽基站),TCU就會去連接基站,這就可以觸發TMSI漏洞。只要TCU開著并且在尋找信號就會被黑。
還有的漏洞被利用是通過接入OBD連接器或者車內CAN網路發送指令。攻擊條件是車輛點火且車輛的速度必須小于6公里/小時,通過獲得CAN指令訪問權限以及OBD接口向車內網絡發送UDS針對服務來對安全氣囊進行攻擊,可對車內乘客造成物理傷害,該漏洞影響到2014年起制造的乘用車。
《報告》稱,現代車輛由許多互聯的、基于軟件的IT部件組成,為了避免出現安全問題,需要進行嚴格測試。可喜的是,汽車廠商不斷加大汽車網絡安全的投入,第三方和汽車廠商都建立了CVND等漏洞平臺,目的是通過共享漏洞信息,提高汽車網絡安全領域的總體安全能力。
國內外安全標準加快制定進度
2017年,國外、國內的汽車信息安全標準制定工作也在積極進行中。國際ISO/SAE在進行21434(道路車輛-信息安全工程)標準的制定,該標準主要從風險評估管理、產品開發、運行/維護、流程審核等四個方面來保障汽車信息安全工程工作的開展。
中國代表團也積極參與此項標準的制定,國內幾家汽車信息安全企業、整車場,也參與了該標準的討論,該標準將于2019年下半年完成,預計滿足該標準進行安全建設的車型于2023年完成。
國內標準制定方面,2017全國汽車標準化技術委員會已經組織兩次汽車信息安全工作組會議,全國信息安全標準化委員會、中國通信標準化協會等各大國標委、聯盟組織在積極研究汽車信息安全標準相關工作,加快汽車信息安全標準的制定進度。
四大建議保護汽車信息安全
360智能網聯汽車安全實驗室根據過去一年與諸多廠商的安全實踐,提出了智能網聯汽車信息安全建設建議。
汽車制造廠應做好信息安全工作,培養專職的人員牽頭信息安全工作,將后臺和前端放到一起共同協作解決信息安全問題,為全面防護打下良好的基礎。
在沒有安全標準及規范的環境下,最重要的關鍵環節是把控上線前的安全驗收,將危害最嚴重、影響范圍最廣的漏洞解決,可以達到一種相對安全的狀態。后續依靠持續的漏洞監測,保障不會因為新的漏洞造成入侵事件。
同時,安全人員認為安全漏洞始終存在,建立動態防護體系,針對攻擊能夠進行動態調整,才能夠做到攻防平衡。
《報告》還建議各大汽車廠商、供應商、安全公司貢獻自己智慧和能力,在國內汽車智能科技領先的條件下,引領國際標準。
責任編輯:靳玉鳳