360智能網(wǎng)聯(lián)汽車信息安全報告:警惕車聯(lián)網(wǎng)漏洞
2018-04-04 17:29:47
來源: 21世紀經(jīng)濟報道 熱度:
360集團近日發(fā)布《2017智能網(wǎng)聯(lián)汽車信息安全年度報告》(以下簡稱《報告》)指出,“刷漏洞”已經(jīng)成為攻擊智能網(wǎng)聯(lián)汽車車的最新手段,汽車廠商應(yīng)該配備信息安全團隊,持續(xù)監(jiān)測漏洞。同時,汽車信息安全標準亟待建立。
《報告》稱,以前汽車是孤立的,物理隔離的,因此黑客很難遠程入侵汽車內(nèi)部控制器,除非進行物理入侵,而這個是需要很高的犯罪成本。一旦車聯(lián)網(wǎng)產(chǎn)品普及,關(guān)于汽車被攻擊的現(xiàn)實案例就會出現(xiàn)并越來越多。
據(jù)國家發(fā)改委預(yù)測,預(yù)計2020年,中國智能網(wǎng)聯(lián)汽車新車占比將達到50%,達到千萬級,中國成為智能網(wǎng)聯(lián)汽車第一大國。
汽車信息安全進入“刷漏洞”時代“2017年,汽車信息安全已進入刷漏洞時代。”360集團智能網(wǎng)聯(lián)汽車安全實驗室負責人劉健皓介紹,國內(nèi)外汽車信息研究人員發(fā)現(xiàn)的TCU和安全氣囊等漏洞也分別獲得到CVE漏洞編號,說明智能汽車信息安全漏洞開始受到普遍關(guān)注。
《報告》稱,目前已經(jīng)發(fā)現(xiàn)的漏洞涉及到TSP平臺、APP應(yīng)用、Telematics Box(T-BOX)上網(wǎng)系統(tǒng)、車機IVI系統(tǒng)、CAN-BUS車內(nèi)總線等。有的漏洞可以遠程控制汽車、有的漏洞可以對人身造成傷害。
《報告》針對2017年關(guān)于汽車相關(guān)安全漏洞進行了分析。比如TCU漏洞,TCU/T-Box是一種調(diào)制解調(diào)器,現(xiàn)在的汽車普遍用它來傳輸數(shù)據(jù)。利用這個模塊汽車之間可以互相通訊,還可以用web控制臺和手機app來遠程控制手機。
《報告》介紹,其中有的漏洞可以被遠程利用。而且想要遠程利用漏洞未必需要2G網(wǎng)絡(luò),只需要購買開源的2G基站:“如果攻擊者自己設(shè)立惡意基站(偽基站),TCU就會去連接基站,這就可以觸發(fā)TMSI漏洞。只要TCU開著并且在尋找信號就會被黑。
還有的漏洞被利用是通過接入OBD連接器或者車內(nèi)CAN網(wǎng)路發(fā)送指令。攻擊條件是車輛點火且車輛的速度必須小于6公里/小時,通過獲得CAN指令訪問權(quán)限以及OBD接口向車內(nèi)網(wǎng)絡(luò)發(fā)送UDS針對服務(wù)來對安全氣囊進行攻擊,可對車內(nèi)乘客造成物理傷害,該漏洞影響到2014年起制造的乘用車。
《報告》稱,現(xiàn)代車輛由許多互聯(lián)的、基于軟件的IT部件組成,為了避免出現(xiàn)安全問題,需要進行嚴格測試??上驳氖?,汽車廠商不斷加大汽車網(wǎng)絡(luò)安全的投入,第三方和汽車廠商都建立了CVND等漏洞平臺,目的是通過共享漏洞信息,提高汽車網(wǎng)絡(luò)安全領(lǐng)域的總體安全能力。
國內(nèi)外安全標準加快制定進度
2017年,國外、國內(nèi)的汽車信息安全標準制定工作也在積極進行中。國際ISO/SAE在進行21434(道路車輛-信息安全工程)標準的制定,該標準主要從風險評估管理、產(chǎn)品開發(fā)、運行/維護、流程審核等四個方面來保障汽車信息安全工程工作的開展。
中國代表團也積極參與此項標準的制定,國內(nèi)幾家汽車信息安全企業(yè)、整車場,也參與了該標準的討論,該標準將于2019年下半年完成,預(yù)計滿足該標準進行安全建設(shè)的車型于2023年完成。
國內(nèi)標準制定方面,2017全國汽車標準化技術(shù)委員會已經(jīng)組織兩次汽車信息安全工作組會議,全國信息安全標準化委員會、中國通信標準化協(xié)會等各大國標委、聯(lián)盟組織在積極研究汽車信息安全標準相關(guān)工作,加快汽車信息安全標準的制定進度。
四大建議保護汽車信息安全
360智能網(wǎng)聯(lián)汽車安全實驗室根據(jù)過去一年與諸多廠商的安全實踐,提出了智能網(wǎng)聯(lián)汽車信息安全建設(shè)建議。
汽車制造廠應(yīng)做好信息安全工作,培養(yǎng)專職的人員牽頭信息安全工作,將后臺和前端放到一起共同協(xié)作解決信息安全問題,為全面防護打下良好的基礎(chǔ)。
在沒有安全標準及規(guī)范的環(huán)境下,最重要的關(guān)鍵環(huán)節(jié)是把控上線前的安全驗收,將危害最嚴重、影響范圍最廣的漏洞解決,可以達到一種相對安全的狀態(tài)。后續(xù)依靠持續(xù)的漏洞監(jiān)測,保障不會因為新的漏洞造成入侵事件。
同時,安全人員認為安全漏洞始終存在,建立動態(tài)防護體系,針對攻擊能夠進行動態(tài)調(diào)整,才能夠做到攻防平衡。
《報告》還建議各大汽車廠商、供應(yīng)商、安全公司貢獻自己智慧和能力,在國內(nèi)汽車智能科技領(lǐng)先的條件下,引領(lǐng)國際標準。
責任編輯:靳玉鳳