联网系统频遭破解 看不见的安全漏洞成智能汽车最大威胁

来源:中国汽车报

2018-04-19 08:58

此时,很多人正在享受智能汽车带给的便利,比如无需动手,轻声细语的一句语音指令,爱车就自动开启空调、天窗,选择最爱的流行音乐……。可是智能汽车在丰富用户生活的同时,很可能也在威胁人身和财产安全。这一切的幕后黑手——智能网联汽车系统漏洞。

目前已经发现的漏洞涉及到TSP平台、APP应用、Telematics Box(T-BOX)上网系统、车机IVI系统、CAN-BUS车内总线等。由于专职信息安全员和汽车信息安全标准的缺失,导致很多智能网联汽车处于安全裸奔的境地。当更多支付环境由手机转移至车载终端上以后,必然会带来攻击行为的大幅上涨,因而有必要未雨绸缪,提高智能网联汽车的信息安全水平。

■四大经典案例 揭秘智能汽车安全杀手

对于一般用户而言,在理解智能网联汽车信息安全专业术语上存在很大门槛,为了让大众更好的认识、理解智能汽车可能存在的安全漏洞,360智能网联汽车安全实验室主任刘健皓向记者介绍了目前全球范围内已破解的四大经典案例。

一、斯巴鲁遥控钥匙系统存在漏洞。“荷兰电子工业设计师在多款斯巴鲁汽车的钥匙系统中发现了一个严重的安全设计缺陷,厂商目前还没有修复这个漏洞,而该漏洞将会导致斯巴鲁汽车被劫持。”刘健皓说。据他介绍,用户每用智能钥匙开启车门时都会生成一个含有滚动代码的数据包,攻击者在信号范围内通过获取数据包,推断出该车辆钥匙系统下一次生成的滚动代码,使用该预测码上锁或解锁车辆。

二、马自达车机娱乐系统遭破解。马自达车机系统漏洞最早是被Mazda 3 Revolution论坛用户发现的,用户在马自达车机系统中插入优盘,可复制系统信息脚本并进行篡改,以此在系统固件之上执行恶意代码,造成仪表显示故障或失灵。

三、特斯拉汽车车联网系统受到攻击。为了方便用户联网,特斯拉汽车设置了一个默认功能,即车辆驶入4S店后会自动接入该4S店的WiFi无线网络,正是这个功能给了黑客攻击机会。黑客通过伪造WiFi入侵车联网系统,通过远程方式发控制指令,对车辆进行远程控制,如控制车辆的刹车、油门、天窗、车门等。

四、海豚音破译车辆语音控制系统。随着智能网联技术的发展,为了进一步解放驾驶人的双手,汽车越来越多的功能开始支持语音控制,而黑客通过发出语音信号可实现远程控制车辆。其攻击原理是,黑客通过使用超声波作为载波信号,将其发送到语音识别系统的麦克风上,并通过放大器转换为系统可识别的语音信号。由于超声波超出人体感知范围,因而即便人在车内,仍无法发现整个破解过程。

上述案例仅是智能汽车面临众多安全威胁的个案,在日常生活场景中,智能网联汽车面临的威胁将更为多样化。

■远程升级 可帮助修补安全漏洞

用户一个不经意的联网行为很有可能让车辆陷入安全威胁中,但值得注意的是,这些漏洞仍可进行修补,使智能网联汽车脱离这些安全威胁,保证用户的正常使用。近年来整车制造企业、零部件供应商以及国内安全科技公司不断加深合作,推进智能汽车安全领域相关研究,提高智能汽车的“免疫力”。

和电脑、手机通过不断升级系统、软件来提高防御能力类似,智能网联汽车也可以通过远程升级来修补系统安全漏洞,而特斯拉正是通过远程升级来修复潜在威胁。“特斯拉本身带有远程升级功能,通过远程升级我们可以对浏览器漏洞、系统本身内核漏洞进行修补,内置WIFI也可以通过远程升级方式解决,因为这是软接触方面问题,只要通过升级系统就可以达到修复效果。”360安全实验室工程师严敏瑞解释说。

当然,远程升级更多的是出现问题后的解决方式,由于现代车辆由许多互联的、基于软件的IT部件组成,为了避免出现安全问题,整车制造商在每一辆车出厂前都会进行严格的安全测试,不断加大汽车网络安全的投入,与第三方建立了CVND等漏洞平台,通过共享漏洞信息,提高汽车网络安全领域的总体安全能力,为智能汽车建立主动安全屏障。上海广升信息技术股份有限公司车联网事业部总经理芮亚楠接受记者采访时,强调了安全性功能应在产品设计阶段即纳入考虑范围内,整车厂在开发智能汽车的过程中,必须要考虑固件、应用和内容的管理与升级,保障智能汽车信息安全,从而促进产业长足发展。

责任编辑:谢珊珊
汽车
观察者APP,更好阅读体验

“我们美国说要做的事,中国人已经做到了”

荷兰“拼了”:阿斯麦,别走!

“嫌犯从乌克兰获大量资金和加密货币,有确凿数据”

美方对俄隐瞒了部分信息?克宫回应

这条中马“一带一路”重点铁路项目 “或延伸至泰国”