就像手機、電腦會中病毒一樣,現在智能網聯汽車也出現了新型攻擊方式,不僅會造成信息洩露,我們的愛車還存在著被黑客批量操縱、盜竊甚至是違法犯罪等威脅。面對這種情況,我們還能放心地買車用車嗎?
一、美劇大片可能變現實
記得在《速度與激情8》剛上映的時候,我還和朋友聊裡面街頭車輛被反派批量操縱的場景,看似酷炫、科幻的美劇大片畫面,其實在現實中真的有可能會發生,並且有著極高的危險性。
在影片《速度與激情8》裡,反派為了劫持目標車輛,動用黑客黑入了城市街頭車輛的電腦,以及4S店展廳內的車輛,通過批量操縱這些車輛,讓它們朝著設定的方向自動行駛,甚至是去撞擊警車,做一些違法犯罪的事情。
看電影的時候被畫面場景所震撼,但是轉念一想,在智能網聯汽車和自動駕駛越來越普及的發展潮流下,這樣的場景有可能真的會發生!
如果是放到20年前,汽車還沒有太多的電子系統,動力、轉向、剎車等都是機械控制,沒有被黑客攻擊的可能。反觀現在的汽車,智能網聯繫統、電子換擋、電動助力轉向、剎車輔助,尤其是一些純電動汽車,完全有可能被黑客入侵電腦進行遠程啟動和操控。
二、智能網聯汽車成必然?
既然智能網聯汽車存在著風險,那我們是不是應該放棄呢?減少汽車上的電子系統和配置?當然不可能,其實結合智能網聯汽車的優勢和發展趨勢,未來智能網聯汽車是必然。
為什麼這樣說呢?首先在汽車產銷下滑和消費品質升級等前提下,汽車行業未來實現“新四化”是共識,即智能化、網聯化、電動化和共享化。只有這樣,我國的汽車行業才能由高速發展轉變為高質量發展,我們才能夠享受到更高品質的用車生活。
其次,在不考慮智能網聯汽車信息安全的情況下,其諸多的功能確實為我們帶來了很多便利。自動駕駛、人臉識別、互聯網車機、手機APP遠程操控、無人駕駛巴士,甚至是實現和家內電器萬物互聯。在5G的推動下,相信在不久的將來我們都可以享受到。
但是要實現高品質的用車生活,一定是在智能網聯汽車信息安全的前提下。否則的話,智能網聯汽車就很有可能像美劇大片中一樣,被黑客們批量操縱,甚至成為違法犯罪的作案工具。所以在汽車“新四化”的同時,智能網聯汽車信息安全也一定要重視起來。
三、你的愛車可能會受到新型攻擊
講到這裡,一定有朋友比較感興趣智能網聯汽車是怎樣受到黑客攻擊的呢?其實就像近期爆發的新型肺炎一樣,智能網聯汽車和自動駕駛技術也受到了新型攻擊,這讓許多汽車廠家猝不及防。
從360智能網聯汽車安全實驗室發佈的《2019智能網聯汽車信息安全年度報告》中我們得知,2019年車聯網出現了兩種新型的攻擊方式,一種是基於車載通信模組信息洩露的遠程控制劫持攻擊,另一種是基於生成式對抗網絡的自動駕駛算法攻擊。
首先第一種新型攻擊方式比較好理解一些,簡單來說就是黑客們通過私有APN網絡滲透到車廠的內部網絡,因為私有APN是運營商為廠商建立的一條專有網絡,安全級別高,但導致安全人員也會忽視了私有網絡連接的TSP服務器本身的安全問題。一旦黑客們可以隨意訪問到車企私有網絡的內部控制系統,就有可能實現批量遠程控制汽車。
另一種是基於生成式對抗網絡的自動駕駛算法攻擊,我們都知道現階段的自動駕駛技術基本都是基於毫米波雷達、激光雷達和攝像頭等作為傳感器,簡單來說如果通過使用噪音或者特定圖像等作為對抗樣本進行干擾的話,就能夠誤導自動駕駛系統,使車輛不該轉彎卻轉彎,或者該剎車卻沒剎車等。
當然“魔高一尺道高一丈”,針對這兩種新型的攻擊方法,專業的研究團隊也有著應對辦法和解決方案,我們在後面會介紹到。
愛車可能會受到新型攻擊
四、現實中已經發生了
前面說得那麼嚇人,現實中真的發生了嗎?其實雖然沒有發生過像美劇大片中汽車批量被操控的事情,但是汽車盜竊、用戶信息洩露等都真實發生了!
首先大家都聽到過的就是特斯拉被盜事件,這張圖片為英國的博勒姆伍德地區,兩個小偷在短短30秒內,使用中繼攻擊設備,在沒有鑰匙的情況下成功實現盜竊特斯拉Model S。
值得一提的是,中繼攻擊工具並不昂貴,而且便攜。小偷通過利用一箇中繼設備,先在屋子周圍嘗試尋找和靠近特斯拉的鑰匙,然後識別、放大車鑰匙和特斯拉之間的通訊信號,欺騙特斯拉Model S以為鑰匙就在附近,然後利用無鑰匙進入與啟動功能,盜賊可以解鎖車門、啟動車輛,最終偷走車輛。這個過程並未涉及破解鑰匙與車輛的認證算法等機制,中繼設備只是採集車鑰匙發送的信號,並不篡改信號內容,也沒有解密和破壞通信協議。
2019年4月,共享出行公司Car2Go在芝加哥有100輛車被盜,並臨時停止了在芝加哥地區的共享汽車服務。此次事件中共有21人遭到指控,被盜車輛還參與了違法犯罪活動,而事發的根源就是因為手機APP遭到了不法分子破解。
近幾年發生的案例不在少數,除了上述之外,Uber曾曝出存在賬號劫持漏洞,後裝汽車防盜系統存在漏洞,豐田汽車服務器遭到過入侵,寶馬也遭受過APT攻擊。這些都讓各大汽車廠商對於車聯網和自動駕駛系統的安全防護更加重視起來。
五、有什麼應對辦法?
為了能夠提高車聯網和自動駕駛系統的安全防護工作,各大車企首先能做的就是和專業團隊合作,進行定期滲透測試和防護升級,讓專業的人幹專業的事。
術業有專攻,前不久奔馳和來自360的汽車安全團隊合作,共計發現硬件和軟件的漏洞19個。通過利用多個漏洞形成的攻擊鏈,可實現對梅賽德斯-奔馳的非接觸式控制,例如未授權的遠程解鎖車門、啟動發動機等操作。當然360汽車安全團隊也針對漏洞進行了修復方案,並獲得了奔馳的認可和獎項。
除此之外,為了應對可能發生的信息安全問題,特斯拉和上汽通用等車企都與專業團隊進行過合作。對於車企來說,這也是最高效的解決方案。畢竟如果組建自己的研究團隊的話,還要耗費大量的財力和時間,而選擇專業和經驗豐富的汽車安全研究團隊,事情會變得更簡單一些。
針對於智能網聯汽車信息安全存在的兩種新型攻擊威脅,汽車安全團隊有什麼應對方法呢?首先在360汽車安全團隊的研究中,通過對傳統通信模組進行升級改造,通過主動防禦的方式,抵禦新型車聯網攻擊。
360汽車安全團隊在原有模組的基礎架構之上,增加了安全芯片建立安全存儲機制。集成了TEE環境保護關鍵應用服務在安全環境中運行,並嵌入了入侵檢測與防護模塊,提供在TCU端側上的安全監控,檢測異常行為,跟攻擊者進行動態的攻防對抗。
針對基於生成式對抗網絡的自動駕駛算法攻擊,也可以通過提高樣本數據覆蓋率、修改網絡和對輸入數據進行預處理或轉換方法,提高對於對抗樣本的發現能力和防禦能力。
在具體產品方面,可以像手機和電腦一樣,推出車機版安全管家。比如360車機管家能針對各類基於Android系統的車載娛樂系統,通過雲端安全運營平臺支撐,提供智能惡意程序識別防護、防ROOT功能、流量監測、一鍵優化以及存儲管理功能。再加上車載入侵檢測與防禦系統和360汽車防火牆,組成層次化的主動防禦系統。
除了安裝在客戶端的防護軟件以外,360汽車安全大腦還提供三大技術支持,分別是汽車信息安全評估、車聯網安全監測服務和車聯網安全體系建設。通過滲透測試,幫助車企識別車聯網和關鍵零部件中潛在風險、威脅和漏洞,瞭解車聯網威脅、風險和脆弱性。通過監測車端安全數據,結合雲端大數據進行分析,實時感知威脅車聯網系統安全的攻擊手段,並評估應對方法。通過提供涵蓋了關鍵組件、內外部通信、雲端等安全防護方案,建設起縱深防禦的車聯網安全體系。
從汽車廠家來說,要建立供應商關鍵環節的安全責任體系。簡單來說就是從質量體系,技術能力和管理水平等多方面綜合評估供應商,從供應鏈的源頭保證汽車網絡安全。
汽車的數字鑰匙可用於遠程召喚,自動泊車等新興應用場景,在給我們帶來便捷的同時,也埋下了安全隱患。數字車鑰匙的“短板效應”顯著,身份認證、加密算法、密鑰存儲、數據包傳輸等任一環節遭受黑客入侵,則會導致整個數字車鑰匙安全系統瓦解。
利用數字鑰匙漏洞打開的不止是車門,也打開了“潘多拉盒子”,不法分子可利用此類攻擊實施盜竊,搶劫,安裝竊聽裝置,定位裝置,甚至對用戶的車內行為進行監控等,可利用車輛進行違法犯罪活動。
對於車主們來說,在使用數字鑰匙的同時,要做好謹慎防護。首先不要使用ROOT過的電子設備安裝汽車數字鑰匙,這樣無異於為不法分子打開了“大門”。另外不要在連接一些未知WiFi網絡的情況下使用數字鑰匙,因為不法分子也有可能通過WiFi網絡來竊取數字鑰匙信息。
編輯點評:毫無疑問的是,車聯網和自動駕駛技術都為我們的用車生活帶來了更多的便捷,必將是未來的發展趨勢。不過伴隨著智能網聯汽車的普及,帶來的信息安全問題一定要得到重視。相信在各大汽車廠商和專業的汽車安全研究團隊的共同合作下,我們目前擔心的問題,在未來萬物互聯的用車生活中將不是問題。
往期精彩內容回顧:
愛卡用車課 怎樣買車險才划算又放心?
《愛卡修車鋪》自己動手清理汽車排雨槽
愛卡修車鋪 可視清洗機除頑固空調異味
專業的人幹專業的事
閱讀更多 愛卡用車常識 的文章
關鍵字: 原汁原味的德系SUV 黑客
