360集团近日发布《2017智能网联汽车信息安全年度报告》(以下简称《报告》)指出,“刷漏洞”已经成为攻击智能网联汽车车的最新手段,汽车厂商应该配备信息安全团队,持续监测漏洞。同时,汽车信息安全标准亟待建立。
《报告》称,以前汽车是孤立的,物理隔离的,因此黑客很难远程入侵汽车内部控制器,除非进行物理入侵,而这个是需要很高的犯罪成本。一旦车联网产品普及,关于汽车被攻击的现实案例就会出现并越来越多。
据国家发改委预测,预计2020年,中国智能网联汽车新车占比将达到50%,达到千万级,中国成为智能网联汽车第一大国。
汽车信息安全进入“刷漏洞”时代“2017年,汽车信息安全已进入刷漏洞时代。”360集团智能网联汽车安全实验室负责人刘健皓介绍,国内外汽车信息研究人员发现的TCU和安全气囊等漏洞也分别获得到CVE漏洞编号,说明智能汽车信息安全漏洞开始受到普遍关注。
《报告》称,目前已经发现的漏洞涉及到TSP平台、APP应用、Telematics Box(T-BOX)上网系统、车机IVI系统、CAN-BUS车内总线等。有的漏洞可以远程控制汽车、有的漏洞可以对人身造成伤害。
《报告》针对2017年关于汽车相关安全漏洞进行了分析。比如TCU漏洞,TCU/T-Box是一种调制解调器,现在的汽车普遍用它来传输数据。利用这个模块汽车之间可以互相通讯,还可以用web控制台和手机app来远程控制手机。
《报告》介绍,其中有的漏洞可以被远程利用。而且想要远程利用漏洞未必需要2G网络,只需要购买开源的2G基站:“如果攻击者自己设立恶意基站(伪基站),TCU就会去连接基站,这就可以触发TMSI漏洞。只要TCU开着并且在寻找信号就会被黑。
还有的漏洞被利用是通过接入OBD连接器或者车内CAN网路发送指令。攻击条件是车辆点火且车辆的速度必须小于6公里/小时,通过获得CAN指令访问权限以及OBD接口向车内网络发送UDS针对服务来对安全气囊进行攻击,可对车内乘客造成物理伤害,该漏洞影响到2014年起制造的乘用车。
《报告》称,现代车辆由许多互联的、基于软件的IT部件组成,为了避免出现安全问题,需要进行严格测试。可喜的是,汽车厂商不断加大汽车网络安全的投入,第三方和汽车厂商都建立了CVND等漏洞平台,目的是通过共享漏洞信息,提高汽车网络安全领域的总体安全能力。
国内外安全标准加快制定进度
2017年,国外、国内的汽车信息安全标准制定工作也在积极进行中。国际ISO/SAE在进行21434(道路车辆-信息安全工程)标准的制定,该标准主要从风险评估管理、产品开发、运行/维护、流程审核等四个方面来保障汽车信息安全工程工作的开展。
中国代表团也积极参与此项标准的制定,国内几家汽车信息安全企业、整车场,也参与了该标准的讨论,该标准将于2019年下半年完成,预计满足该标准进行安全建设的车型于2023年完成。
国内标准制定方面,2017全国汽车标准化技术委员会已经组织两次汽车信息安全工作组会议,全国信息安全标准化委员会、中国通信标准化协会等各大国标委、联盟组织在积极研究汽车信息安全标准相关工作,加快汽车信息安全标准的制定进度。
四大建议保护汽车信息安全
360智能网联汽车安全实验室根据过去一年与诸多厂商的安全实践,提出了智能网联汽车信息安全建设建议。
汽车制造厂应做好信息安全工作,培养专职的人员牵头信息安全工作,将后台和前端放到一起共同协作解决信息安全问题,为全面防护打下良好的基础。
在没有安全标准及规范的环境下,最重要的关键环节是把控上线前的安全验收,将危害最严重、影响范围最广的漏洞解决,可以达到一种相对安全的状态。后续依靠持续的漏洞监测,保障不会因为新的漏洞造成入侵事件。
同时,安全人员认为安全漏洞始终存在,建立动态防护体系,针对攻击能够进行动态调整,才能够做到攻防平衡。
《报告》还建议各大汽车厂商、供应商、安全公司贡献自己智慧和能力,在国内汽车智能科技领先的条件下,引领国际标准。
责任编辑:靳玉凤