廣州熱線

　　依據(jù)中國(guó)汽車技術(shù)研究中心2020年2月發(fā)布的報(bào)告，此次新冠肺炎疫情對(duì)智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)的影響積極面更大，無(wú)接觸等疫情防護(hù)手段將從側(cè)面推動(dòng)自動(dòng)駕駛汽車受到政府與公眾進(jìn)一步認(rèn)可。這就意味著智能網(wǎng)聯(lián)技術(shù)、無(wú)人駕駛技術(shù)將離人們的日常生活更近一步。

　　不過(guò)，我們還應(yīng)意識(shí)到，汽車信息安全是智能網(wǎng)聯(lián)汽車發(fā)展的先決條件，只有實(shí)現(xiàn)汽車的信息安全才能保障智能網(wǎng)聯(lián)汽車的健康發(fā)展。美國(guó)時(shí)間2月28日，汽車廠商梅賽德斯-奔馳將與網(wǎng)絡(luò)安全企業(yè)360集團(tuán)在RSA 2020 “Security Strategy & Architecture”(安全策略與架構(gòu))會(huì)議上共同探討智能汽車的安全風(fēng)險(xiǎn)和隱患。

　　智能網(wǎng)聯(lián)汽車面對(duì)7類安全風(fēng)險(xiǎn)

　　車聯(lián)網(wǎng)、自動(dòng)駕駛技術(shù)發(fā)展給汽車帶來(lái)便利，如汽車應(yīng)用可以向支付、社交、娛樂(lè)等更多場(chǎng)景擴(kuò)展，但同時(shí)也增加相應(yīng)的信息安全威脅。360 Sky-Go團(tuán)隊(duì)專注于對(duì)汽車的智能網(wǎng)聯(lián)化功能、自動(dòng)駕駛、車載網(wǎng)絡(luò)安全進(jìn)行研究，該團(tuán)隊(duì)分析指出，從端-網(wǎng)-云的角度看智能汽車安全風(fēng)險(xiǎn)，主要存在越權(quán)攻擊、滲透攻擊、DNS劫持、升級(jí)包篡改、漏洞攻擊、總線攻擊、惡意應(yīng)用這7大類安全風(fēng)險(xiǎn)。

　　可以說(shuō)，車與外部的每一個(gè)接口都可能被利用，每一個(gè)控制單元都可能被攻擊。究其原因，智能網(wǎng)聯(lián)汽車相對(duì)于傳統(tǒng)汽車，涉及更多的車載軟件代碼(上億行代碼)、更多的聯(lián)網(wǎng)電子控制單元(70+ECU)、更多的傳感器，硬件及軟件功能擴(kuò)展過(guò)程中本身蘊(yùn)含可以優(yōu)化的漏洞。

　　黑客攻擊智能網(wǎng)聯(lián)汽車4個(gè)入口

　　2018年1月，國(guó)家發(fā)改委發(fā)布了《智能汽車創(chuàng)新發(fā)展戰(zhàn)略(征求意見稿)》，其中要求智能汽車的新車占比要達(dá)到50%，中高級(jí)別智能汽車實(shí)現(xiàn)市場(chǎng)化應(yīng)用。智能網(wǎng)聯(lián)越來(lái)越成為車企研發(fā)新車的標(biāo)準(zhǔn)。但隨著智能網(wǎng)聯(lián)汽車的普及，其信息安全愈來(lái)愈受到企業(yè)和用戶的重視。事實(shí)上，汽車的信息安全事件確實(shí)時(shí)有發(fā)生，360 Sky-Go團(tuán)隊(duì)盤點(diǎn)了2010年到2018年汽車攻擊事件。

　　360 Sky-Go團(tuán)隊(duì)通過(guò)對(duì)攻擊事件的剖析，發(fā)現(xiàn)黑客對(duì)攻擊技術(shù)手段的鉆研程度越發(fā)深入，智能網(wǎng)聯(lián)化帶來(lái)的應(yīng)用場(chǎng)景需要新的軟硬件模塊作支撐，往往正是這些軟硬件模塊的集成應(yīng)用，破露出潛在的攻擊面，引入了新的安全風(fēng)險(xiǎn)，遭到黑客的利用，從而導(dǎo)致用戶的財(cái)產(chǎn)和生命安全受到威脅。

　　智能網(wǎng)聯(lián)汽車持續(xù)面臨敏感數(shù)據(jù)泄露和未授權(quán)控車的風(fēng)險(xiǎn)，這兩點(diǎn)是智能網(wǎng)聯(lián)汽車安全的重中之重，也是攻擊者最關(guān)注的地方。黑客可從動(dòng)力系統(tǒng)、車身控制、智能駕駛、信息娛樂(lè)系統(tǒng)等四個(gè)方面危及汽車信息安全。

動(dòng)力系統(tǒng)：該系統(tǒng)受到惡意指令的干擾，可能會(huì)出現(xiàn)交通事故；

　　車身控制：黑客可模擬、干擾鑰匙信號(hào)，利用云端漏洞遠(yuǎn)程解鎖車輛，造車財(cái)產(chǎn)損失；

　　智能駕駛：傳感器漏洞、V2X惡意信號(hào)等，都會(huì)影響車輛智能駕駛決策系統(tǒng)，導(dǎo)致大面積交通事故；

　　信息娛樂(lè)系統(tǒng)：其自身的系統(tǒng)漏洞可為黑客提供攻擊入口，同時(shí)泄漏車輛駕駛、軌跡、車主等信息。

　　守護(hù)智能網(wǎng)聯(lián)汽車安全的3大建議

　　大多數(shù)智能汽車的攻擊事件都是以車載智能系統(tǒng)為入口進(jìn)入車載網(wǎng)絡(luò)，實(shí)現(xiàn)車輛的深度控制?，F(xiàn)在，系統(tǒng)攻擊面已從汽車終端轉(zhuǎn)向了云端。360 Sky-Go團(tuán)隊(duì)為汽車廠商、供應(yīng)商、服務(wù)提供商提出了三點(diǎn)建議：

　　第一，多方面考慮數(shù)據(jù)安全，防止數(shù)據(jù)泄露。加強(qiáng)對(duì)數(shù)據(jù)安全的考量與投入，至少?gòu)脑L問(wèn)控制、身份認(rèn)證、數(shù)據(jù)加密與脫敏、容災(zāi)備份與恢復(fù)、安全審計(jì)等五個(gè)方面考慮數(shù)據(jù)安全。

　　第二，企業(yè)建立自身信息安全標(biāo)準(zhǔn)，準(zhǔn)守信息安全開發(fā)流程。目前，國(guó)際或者國(guó)內(nèi)的安全標(biāo)準(zhǔn)仍處于建設(shè)時(shí)期，智能網(wǎng)聯(lián)汽車仍處于沒(méi)有安全標(biāo)準(zhǔn)及規(guī)范的狀態(tài)，企業(yè)應(yīng)嚴(yán)格遵守開發(fā)流程并建立自身信息安全標(biāo)準(zhǔn)。

　　第三，建立動(dòng)態(tài)安全實(shí)施監(jiān)測(cè)機(jī)制，及時(shí)發(fā)現(xiàn)并處理。汽車使用周期較長(zhǎng)，應(yīng)持續(xù)對(duì)其進(jìn)行動(dòng)態(tài)監(jiān)測(cè)，及時(shí)對(duì)潛在安全威脅進(jìn)行分析、評(píng)估、處置，通過(guò)修改配置、安裝補(bǔ)丁、訪問(wèn)控制等安全措施，修復(fù)潛在漏洞，提升安全防御能力，達(dá)到智能網(wǎng)聯(lián)汽車的攻防平衡。還可對(duì)潛在安全問(wèn)題或安全事件進(jìn)行預(yù)研，提前部署相應(yīng)解決對(duì)策。

　　RSAC 2020 會(huì)議上360將與奔馳聯(lián)袂演講

　　在過(guò)去幾年中，360 Sky-Go團(tuán)隊(duì)專注于聯(lián)網(wǎng)汽車的研究、評(píng)估和防御，研究案例包括特斯拉、比亞迪的聯(lián)網(wǎng)功能安全研究成果、特斯拉自動(dòng)駕駛系統(tǒng)欺騙與干擾等。2019年，360 Sky-Go團(tuán)隊(duì)針對(duì)梅賽德斯-奔馳聯(lián)網(wǎng)汽車的安全研究項(xiàng)目發(fā)現(xiàn)多達(dá)19個(gè)安全漏洞，去年12月，奔馳宣布與360攜手合作，共同提高行業(yè)聯(lián)網(wǎng)汽車信息安全能力。

　　美國(guó)時(shí)間2月28日，梅賽德斯-奔馳將與360集團(tuán)在RSA 2020 “Security Strategy & Architecture”(安全策略與架構(gòu))會(huì)議中亮相，360 Sky-Go安全研究員陳元愷還將在此次會(huì)議中，與奔馳研發(fā)中心產(chǎn)品安全負(fù)責(zé)人蓋?哈帕克共同進(jìn)行“梅薩德斯-奔馳攜手360集團(tuán)，與安全社區(qū)共同護(hù)衛(wèi)高檔車型”的主題演講，他們又將分享怎樣最新的研究成果和新銳觀點(diǎn)，我們不妨拭目以待。

　　【編輯:陳海峰】