360集團(tuán)近日發(fā)布《2017智能網(wǎng)聯(lián)汽車信息安全年度報(bào)告》(以下簡(jiǎn)稱《報(bào)告》)指出,“刷漏洞”已經(jīng)成為攻擊智能網(wǎng)聯(lián)汽車車的最新手段�����,汽車廠商應(yīng)該配備信息安全團(tuán)隊(duì)����,持續(xù)監(jiān)測(cè)漏洞。同時(shí)����,汽車信息安全標(biāo)準(zhǔn)亟待建立。
《報(bào)告》稱�����,以前汽車是孤立的����,物理隔離的,因此黑客很難遠(yuǎn)程入侵汽車內(nèi)部控制器�,除非進(jìn)行物理入侵�����,而這個(gè)是需要很高的犯罪成本�。一旦車聯(lián)網(wǎng)產(chǎn)品普及���,關(guān)于汽車被攻擊的現(xiàn)實(shí)案例就會(huì)出現(xiàn)并越來(lái)越多�����。
據(jù)國(guó)家發(fā)改委預(yù)測(cè)�,預(yù)計(jì)2020年���,中國(guó)智能網(wǎng)聯(lián)汽車新車占比將達(dá)到50%�����,達(dá)到千萬(wàn)級(jí)�����,中國(guó)成為智能網(wǎng)聯(lián)汽車第一大國(guó)�����。
汽車信息安全進(jìn)入“刷漏洞”時(shí)代“2017年���,汽車信息安全已進(jìn)入刷漏洞時(shí)代���。”360集團(tuán)智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室負(fù)責(zé)人劉健皓介紹,國(guó)內(nèi)外汽車信息研究人員發(fā)現(xiàn)的TCU和安全氣囊等漏洞也分別獲得到CVE漏洞編號(hào)�����,說(shuō)明智能汽車信息安全漏洞開(kāi)始受到普遍關(guān)注��。
《報(bào)告》稱�,目前已經(jīng)發(fā)現(xiàn)的漏洞涉及到TSP平臺(tái)����、APP應(yīng)用、Telematics Box(T-BOX)上網(wǎng)系統(tǒng)�����、車機(jī)IVI系統(tǒng)��、CAN-BUS車內(nèi)總線等��。有的漏洞可以遠(yuǎn)程控制汽車、有的漏洞可以對(duì)人身造成傷害����。
《報(bào)告》針對(duì)2017年關(guān)于汽車相關(guān)安全漏洞進(jìn)行了分析。比如TCU漏洞��,TCU/T-Box是一種調(diào)制解調(diào)器�,現(xiàn)在的汽車普遍用它來(lái)傳輸數(shù)據(jù)。利用這個(gè)模塊汽車之間可以互相通訊�����,還可以用web控制臺(tái)和手機(jī)app來(lái)遠(yuǎn)程控制手機(jī)����。
《報(bào)告》介紹,其中有的漏洞可以被遠(yuǎn)程利用����。而且想要遠(yuǎn)程利用漏洞未必需要2G網(wǎng)絡(luò),只需要購(gòu)買開(kāi)源的2G基站:“如果攻擊者自己設(shè)立惡意基站(偽基站)�,TCU就會(huì)去連接基站,這就可以觸發(fā)TMSI漏洞�。只要TCU開(kāi)著并且在尋找信號(hào)就會(huì)被黑。
還有的漏洞被利用是通過(guò)接入OBD連接器或者車內(nèi)CAN網(wǎng)路發(fā)送指令���。攻擊條件是車輛點(diǎn)火且車輛的速度必須小于6公里/小時(shí)��,通過(guò)獲得CAN指令訪問(wèn)權(quán)限以及OBD接口向車內(nèi)網(wǎng)絡(luò)發(fā)送UDS針對(duì)服務(wù)來(lái)對(duì)安全氣囊進(jìn)行攻擊����,可對(duì)車內(nèi)乘客造成物理傷害,該漏洞影響到2014年起制造的乘用車����。
《報(bào)告》稱,現(xiàn)代車輛由許多互聯(lián)的�����、基于軟件的IT部件組成���,為了避免出現(xiàn)安全問(wèn)題,需要進(jìn)行嚴(yán)格測(cè)試��?��?上驳氖?��,汽車廠商不斷加大汽車網(wǎng)絡(luò)安全的投入�,第三方和汽車廠商都建立了CVND等漏洞平臺(tái)���,目的是通過(guò)共享漏洞信息�����,提高汽車網(wǎng)絡(luò)安全領(lǐng)域的總體安全能力�����。
國(guó)內(nèi)外安全標(biāo)準(zhǔn)加快制定進(jìn)度
2017年���,國(guó)外、國(guó)內(nèi)的汽車信息安全標(biāo)準(zhǔn)制定工作也在積極進(jìn)行中���。國(guó)際ISO/SAE在進(jìn)行21434(道路車輛-信息安全工程)標(biāo)準(zhǔn)的制定�����,該標(biāo)準(zhǔn)主要從風(fēng)險(xiǎn)評(píng)估管理��、產(chǎn)品開(kāi)發(fā)��、運(yùn)行/維護(hù)����、流程審核等四個(gè)方面來(lái)保障汽車信息安全工程工作的開(kāi)展。
中國(guó)代表團(tuán)也積極參與此項(xiàng)標(biāo)準(zhǔn)的制定����,國(guó)內(nèi)幾家汽車信息安全企業(yè)、整車場(chǎng)��,也參與了該標(biāo)準(zhǔn)的討論�,該標(biāo)準(zhǔn)將于2019年下半年完成,預(yù)計(jì)滿足該標(biāo)準(zhǔn)進(jìn)行安全建設(shè)的車型于2023年完成����。
國(guó)內(nèi)標(biāo)準(zhǔn)制定方面,2017全國(guó)汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)已經(jīng)組織兩次汽車信息安全工作組會(huì)議�,全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)等各大國(guó)標(biāo)委�����、聯(lián)盟組織在積極研究汽車信息安全標(biāo)準(zhǔn)相關(guān)工作�,加快汽車信息安全標(biāo)準(zhǔn)的制定進(jìn)度�。
四大建議保護(hù)汽車信息安全
360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室根據(jù)過(guò)去一年與諸多廠商的安全實(shí)踐,提出了智能網(wǎng)聯(lián)汽車信息安全建設(shè)建議����。
汽車制造廠應(yīng)做好信息安全工作�����,培養(yǎng)專職的人員牽頭信息安全工作��,將后臺(tái)和前端放到一起共同協(xié)作解決信息安全問(wèn)題��,為全面防護(hù)打下良好的基礎(chǔ)��。
在沒(méi)有安全標(biāo)準(zhǔn)及規(guī)范的環(huán)境下���,最重要的關(guān)鍵環(huán)節(jié)是把控上線前的安全驗(yàn)收,將危害最嚴(yán)重����、影響范圍最廣的漏洞解決,可以達(dá)到一種相對(duì)安全的狀態(tài)�。后續(xù)依靠持續(xù)的漏洞監(jiān)測(cè),保障不會(huì)因?yàn)樾碌穆┒丛斐扇肭质录?/span>
同時(shí)���,安全人員認(rèn)為安全漏洞始終存在��,建立動(dòng)態(tài)防護(hù)體系����,針對(duì)攻擊能夠進(jìn)行動(dòng)態(tài)調(diào)整,才能夠做到攻防平衡���。
《報(bào)告》還建議各大汽車廠商��、供應(yīng)商���、安全公司貢獻(xiàn)自己智慧和能力,在國(guó)內(nèi)汽車智能科技領(lǐng)先的條件下��,引領(lǐng)國(guó)際標(biāo)準(zhǔn)����。
微信掃一掃
