汽车厂商梅赛德斯-奔驰将与网络安全企业360集团在RSA 2020 “Security Strategy & Architecture”(安全策略与架构)会议上共同探讨智能汽车的安全风险和隐患。
智能网联汽车面对7类安全风险
车联网、自动驾驶技术发展给汽车带来便利,如汽车应用可以向支付、社交、娱乐等更多场景扩展,但同时也增加相应的信息安全威胁。360 Sky-Go团队专注于对汽车的智能网联化功能、自动驾驶、车载网络安全进行研究,该团队分析指出,从端-网-云的角度看智能汽车安全风险,主要存在越权攻击、渗透攻击、DNS劫持、升级包篡改、漏洞攻击、总线攻击、恶意应用这7大类安全风险。
可以说,车与外部的每一个接口都可能被利用,每一个控制单元都可能被攻击。究其原因,智能网联汽车相对于传统汽车,涉及更多的车载软件代码(上亿行代码)、更多的联网电子控制单元(70+ECU)、更多的传感器,硬件及软件功能扩展过程中本身蕴含可以优化的漏洞。
黑客攻击智能网联汽车4个入口
2018年1月,国家发改委发布了《智能汽车创新发展战略(征求意见稿)》,其中要求智能汽车的新车占比要达到50%,中高级别智能汽车实现市场化应用。智能网联越来越成为车企研发新车的标准。但随着智能网联汽车的普及,其信息安全愈来愈受到企业和用户的重视。事实上,汽车的信息安全事件确实时有发生,360 Sky-Go团队盘点了2010年到2018年汽车攻击事件。
360 Sky-Go团队通过对攻击事件的剖析,发现黑客对攻击技术手段的钻研程度越发深入,智能网联化带来的应用场景需要新的软硬件模块作支撑,往往正是这些软硬件模块的集成应用,破露出潜在的攻击面,引入了新的安全风险,遭到黑客的利用,从而导致用户的财产和生命安全受到威胁。
智能网联汽车持续面临敏感数据泄露和未授权控车的风险,这两点是智能网联汽车安全的重中之重,也是攻击者最关注的地方。黑客可从动力系统、车身控制、智能驾驶、信息娱乐系统等四个方面危及汽车信息安全。
动力系统:该系统受到恶意指令的干扰,可能会出现交通事故;
车身控制:黑客可模拟、干扰钥匙信号,利用云端漏洞远程解锁车辆,造车财产损失;
智能驾驶:传感器漏洞、V2X恶意信号等,都会影响车辆智能驾驶决策系统,导致大面积交通事故;
信息娱乐系统:其自身的系统漏洞可为黑客提供攻击入口,同时泄漏车辆驾驶、轨迹、车主等信息。
守护智能网联汽车安全的3大建议
大多数智能汽车的攻击事件都是以车载智能系统为入口进入车载网络,实现车辆的深度控制。现在,系统攻击面已从汽车终端转向了云端。360 Sky-Go团队为汽车厂商、供应商、服务提供商提出了三点建议:
第一,多方面考虑数据安全,防止数据泄露。加强对数据安全的考量与投入,至少从访问控制、身份认证、数据加密与脱敏、容灾备份与恢复、安全审计等五个方面考虑数据安全。
第二,企业建立自身信息安全标准,准守信息安全开发流程。目前,国际或者国内的安全标准仍处于建设时期,智能网联汽车仍处于没有安全标准及规范的状态,企业应严格遵守开发流程并建立自身信息安全标准。
第三,建立动态安全实施监测机制,及时发现并处理。汽车使用周期较长,应持续对其进行动态监测,及时对潜在安全威胁进行分析、评估、处置,通过修改配置、安装补丁、访问控制等安全措施,修复潜在漏洞,提升安全防御能力,达到智能网联汽车的攻防平衡。还可对潜在安全问题或安全事件进行预研,提前部署相应解决对策。
RSAC2020会议上360将与奔驰联袂演讲
在过去几年中,360 Sky-Go团队专注于联网汽车的研究、评估和防御,研究案例包括特斯拉、比亚迪的联网功能安全研究成果、特斯拉自动驾驶系统欺骗与干扰等。2019年,360 Sky-Go团队针对梅赛德斯-奔驰联网汽车的安全研究项目发现多达19个安全漏洞,去年12月,奔驰宣布与360携手合作,共同提高行业联网汽车信息安全能力。
美国时间2月28日,梅赛德斯-奔驰将与360集团在RSA 2020 “Security Strategy & Architecture”(安全策略与架构)会议中亮相,360 Sky-Go安全研究员陈元恺还将在此次会议中,与奔驰研发中心产品安全负责人盖·哈帕克共同进行“梅萨德斯-奔驰携手360集团,与安全社区共同护卫高档车型”的主题演讲,他们又将分享怎样最新的研究成果和新锐观点,我们不妨拭目以待。
关键词: 懂智能网联汽车