騰訊科恩實驗室近日宣佈,他們利用安全漏洞對特斯拉進行了無物理接觸遠程攻擊,實現了對特斯拉駐車狀態和行駛狀態下的遠程控制,並且宣稱拿到了全部控制權限。
這是全球範圍內第一次通過安全漏洞成功無物理接觸遠程攻入特斯拉車電網絡、並實現任意的車身和行車控制。
早在2015年,克萊斯勒公司的聯網汽車的車載信息系統也遭遇黑客的破解,進而導致重大安全隱患:黑客可以通過網絡對汽車進行遠程遙控。對此,克萊斯勒不得不緊急召回140萬輛汽車,面臨1.05億美元的民事責任賠償,以及數億美元的損失。
在兩名黑客的演示中,他們證明了可以從任何接入互聯網的地方,“遠程獲取汽車的關鍵功能操作權限,比如踩下剎車、讓引擎熄火、把車開下公路,並令所有電子設備宕機”。
汽車被控制駛離公路
汽車安全成為一個重要的問題,於是我們去探訪了汽車安全領域的創業公司——VisualThreat 創始人嚴威。
VisualThreat由清谷資本(TEEC Angel Fund)在2015年時第一輪融資進入,是清谷資本對未來汽車佈局的重要節點之一。
VisualThreat是一家汽車智能安全解決方案提供商,它的產品可以理解為“車裡的殺毒軟件”,而且有空中可以動態更新的汽車攻擊庫。
為什麼想到做汽車安全?
嚴威在安全領域做了十五年,覺得汽車安全是一塊非常主要的領域。
隨著車聯網的發展,汽車的數據、財產安全、車主的生命安全都非常主要,嚴威覺得這是一個潛在的市場。而且隨著汽車越來越智能化,新的車型也會有越來越多的安全隱患。但是,
原有的PC安全和手機安全應用都不能直接用在汽車安全上。汽車裡的嵌入式系統和PC或者手機相比存儲空間小,有其獨特的特點,就像“不能把大象裝在火材盒子裡”
汽車安全的隱患
黑客可以通過不同的行為組合來遠程或者近程來控制汽車,這些都可以被定義為“攻擊行為”,而汽車病毒更多是汽車內部系統上的一些破壞性應用,但其實危害更大的是汽車攻擊可以直接控制動力系統、剎車、轉向。
汽車的安全性和價格沒有直接關係,很多豪華車、進口車照樣有問題。越新的汽車、功能越多,安全隱患可能更大。
VisualThreat的產品是什麼樣的?
VisualThreat給出的解決方案是一套類似於電腦中殺毒軟件的應用程序。
嚴威演示了常見的汽車攻擊行為,黑客可以遠程控制剎車和車等,而在開啟了VisualThreat的保護後,黑客的攻擊失效了,並且這些可疑的行為都記錄了下來。VisualThreat 的實時監控網絡安全管理系統提供了一個清晰易懂的分析和報告界面。
VisualThreat的安全防禦體系採用先進的防火牆和安全策略更新機制,最大限度阻斷汽車攻擊,並利用分析攻擊事件的相關性和增量式安全空中更新OTA機制來確保智能汽車的安全要求。
為了建立更好的安全防禦體系,VisualThreat要和汽車廠商緊密密合作,他們團隊除了安全領域的人,團隊內也有汽車行業出身的人。
為你的未來備好鎧甲
車聯網安全問題如此嚴峻,當然會有人想要來解決。嚴威給出了幾家大公司所做出的解決方案。
德爾福把關注點主要放在了入侵網關方面,Denso 則主要是制定白名單,控制遠程攻擊,將可疑信息提前過濾,並且在 OBD 前端也做一個防火牆,用來認證和過濾。密歇根大學車聯網實驗室通過增加過濾器和 IDS(Intrusion Detection Systems,入侵檢測系統),以及組合網關來進行信息的過濾。
Harman的方案是通過設立網絡防火牆抵禦來自手機 App 方的病毒。嚴威表示,IDS 是美國現有的解決方案中最為通傳的法則,其實說簡單點兒,就是做好監控,不管誰來都一清二楚,遇到威脅還能發出警報。
和傳統企業的合作
嚴威在安全領域耕耘了很久,當問到做網絡安全和汽車安全有什麼不同時,嚴威表示一輛車的開發週期很長,經常一輛車從設計到正式生產需要接近4-5年的時間。所以和汽車廠商合作需要非常有耐心,有時不得不把步子放慢。嚴威說他們已經和多家中國和美國領先的汽車廠商在合作中,建立了信任事情就好做了。
無人駕駛時代
根據美國最近頒佈的自動駕駛政策指南,信息安全成為無人駕駛15項評分標準之一。
隨著無人駕駛技術的日益鄰近,無人駕駛領域的網絡安全問題的重要性會越發凸顯,無人駕駛汽車的智能系統可能遭到黑客攻擊,以及智能道路基礎設施出現故障等甚至有人認為網絡安全是無人駕駛汽車面臨的最大風險。
“這是一塊更大的市場”,嚴威表示,而VisualThreat也已經開始佈局。
閱讀更多 清谷逆創 的文章
