此時,很多人正在享受智能汽車帶給的便利,比如無需動手,輕聲細語的一句語音指令,愛車就自動開啟空調、天窗,選擇最愛的流行音樂……??墒侵悄芷囋谪S富用戶生活的同時,很可能也在威脅人身和財產安全。這一切的幕后黑手——智能網聯(lián)汽車系統(tǒng)漏洞。
目前已經發(fā)現(xiàn)的漏洞涉及到TSP平臺、APP應用、Telematics Box(T-BOX)上網系統(tǒng)、車機IVI系統(tǒng)、CAN-BUS車內總線等。由于專職信息安全員和汽車信息安全標準的缺失,導致很多智能網聯(lián)汽車處于安全裸奔的境地。當更多支付環(huán)境由手機轉移至車載終端上以后,必然會帶來攻擊行為的大幅上漲,因而有必要未雨綢繆,提高智能網聯(lián)汽車的信息安全水平。
四大經典案例 揭秘智能汽車安全殺手
對于一般用戶而言,在理解智能網聯(lián)汽車信息安全專業(yè)術語上存在很大門檻,為了讓大眾更好的認識、理解智能汽車可能存在的安全漏洞,360智能網聯(lián)汽車安全實驗室主任劉健皓向記者介紹了目前全球范圍內已破解的四大經典案例。
一、斯巴魯遙控鑰匙系統(tǒng)存在漏洞
“荷蘭電子工業(yè)設計師在多款斯巴魯汽車的鑰匙系統(tǒng)中發(fā)現(xiàn)了一個嚴重的安全設計缺陷,廠商目前還沒有修復這個漏洞,而該漏洞將會導致斯巴魯汽車被劫持?!眲⒔○┱f。據(jù)他介紹,用戶每用智能鑰匙開啟車門時都會生成一個含有滾動代碼的數(shù)據(jù)包,攻擊者在信號范圍內通過獲取數(shù)據(jù)包,推斷出該車輛鑰匙系統(tǒng)下一次生成的滾動代碼,使用該預測碼上鎖或解鎖車輛。
二、馬自達車機娛樂系統(tǒng)遭破解
馬自達車機系統(tǒng)漏洞最早是被Mazda 3 Revolution論壇用戶發(fā)現(xiàn)的,用戶在馬自達車機系統(tǒng)中插入優(yōu)盤,可復制系統(tǒng)信息腳本并進行篡改,以此在系統(tǒng)固件之上執(zhí)行惡意代碼,造成儀表顯示故障或失靈。
三、特斯拉汽車車聯(lián)網系統(tǒng)受到攻擊
為了方便用戶聯(lián)網,特斯拉汽車設置了一個默認功能,即車輛駛入4S店后會自動接入該4S店的WiFi無線網絡,正是這個功能給了黑客攻擊機會。黑客通過偽造WiFi入侵車聯(lián)網系統(tǒng),通過遠程方式發(fā)控制指令,對車輛進行遠程控制,如控制車輛的剎車、油門、天窗、車門等。
四、海豚音破譯車輛語音控制系統(tǒng)
隨著智能網聯(lián)技術的發(fā)展,為了進一步解放駕駛人的雙手,汽車越來越多的功能開始支持語音控制,而黑客通過發(fā)出語音信號可實現(xiàn)遠程控制車輛。其攻擊原理是,黑客通過使用超聲波作為載波信號,將其發(fā)送到語音識別系統(tǒng)的麥克風上,并通過放大器轉換為系統(tǒng)可識別的語音信號。由于超聲波超出人體感知范圍,因而即便人在車內,仍無法發(fā)現(xiàn)整個破解過程。
上述案例僅是智能汽車面臨眾多安全威脅的個案,在日常生活場景中,智能網聯(lián)汽車面臨的威脅將更為多樣化。
遠程升級 可幫助修補安全漏洞
用戶一個不經意的聯(lián)網行為很有可能讓車輛陷入安全威脅中,但值得注意的是,這些漏洞仍可進行修補,使智能網聯(lián)汽車脫離這些安全威脅,保證用戶的正常使用。近年來整車制造企業(yè)、零部件供應商以及國內安全科技公司不斷加深合作,推進智能汽車安全領域相關研究,提高智能汽車的“免疫力”。
和電腦、手機通過不斷升級系統(tǒng)、軟件來提高防御能力類似,智能網聯(lián)汽車也可以通過遠程升級來修補系統(tǒng)安全漏洞,而特斯拉正是通過遠程升級來修復潛在威脅?!疤厮估旧韼в羞h程升級功能,通過遠程升級我們可以對瀏覽器漏洞、系統(tǒng)本身內核漏洞進行修補,內置WIFI也可以通過遠程升級方式解決,因為這是軟接觸方面問題,只要通過升級系統(tǒng)就可以達到修復效果?!?60安全實驗室工程師嚴敏瑞解釋說。
當然,遠程升級更多的是出現(xiàn)問題后的解決方式,由于現(xiàn)代車輛由許多互聯(lián)的、基于軟件的IT部件組成,為了避免出現(xiàn)安全問題,整車制造商在每一輛車出廠前都會進行嚴格的安全測試,不斷加大汽車網絡安全的投入,與第三方建立了CVND等漏洞平臺,通過共享漏洞信息,提高汽車網絡安全領域的總體安全能力,為智能汽車建立主動安全屏障。
上海廣升信息技術股份有限公司車聯(lián)網事業(yè)部總經理芮亞楠接受記者采訪時,強調了安全性功能應在產品設計階段即納入考慮范圍內,整車廠在開發(fā)智能汽車的過程中,必須要考慮固件、應用和內容的管理與升級,保障智能汽車信息安全,從而促進產業(yè)長足發(fā)展。
掃一掃在手機上閱讀本文章