大家都喜欢的车联网汽车,真的安全吗?
“解决汽车网络信息安全问题迫在眉睫。”
随着智能网联汽车的高速发展,越来越多的车企都把智能网联功能作为一大卖点来对外宣传。如今车企推出一款新车如果没有拿的上台面的智能网联功能,似乎都不太好意思是这是最新款。
但是在智能网联功能的背后,也暴露出了很多问题。
大家有没有想过,现在大多数汽车的智能网联系统是可以操控车辆的,如果你购买的汽车被恶性网络攻击了,你的汽车安全甚至是人身安全该如何保障。
另一方面,汽车厂商宣称为了给你提供更好的个性化服务,所以在你使用智能网联系统之前就已经收集到了你的大量信息,如果不法分子入侵到你的车机系统中窃取了这些数据,你的个人隐私也将全盘暴露。
而在汽车的网络安全领域,可以看到,目前我国仍然缺少相应标准法规支撑,也未形成统一安全设计方案。在这样的情况下,汽车网络安全更应该被重视。
近日,中国汽车信息安全共享分析中心(C-Auto-ISAC)发布了近两年的研究成果,同时还对其中国标准汽车信息安全标准等法规起草工作、汽车信息安全测试体系构建、漏洞数据库建设、认证评价体系研究和测试工具体系构建等工作进行了解读。
十大汽车网络信息安全风险
其实众多汽车品牌都遭遇了汽车网络安全事故。早在2015年,美国黑客利用克莱斯勒车联网系统Uconnect漏洞实现了对JEEP自由光的远程操控,该漏洞直接导致菲亚特·克莱斯勒公司宣布召回140万辆汽车。
此外,在宝马数字服务系统遭入侵事件中,黑客利用漏洞以远程无线的方式侵入车辆内部,并打开车门。在特斯拉Model S遭入侵事件中,研究人员通过Model S存在的漏洞打开车门并将车开走,同时还能向Model S发送“自杀”命令,在车辆正常行驶中突然关闭系统引擎。
因此,一旦别有用心的人攻击了私人车辆,不仅仅是造成车内财物丢失或者车辆被盗,还极有可能危及到司机和乘客的生命安全。
而这些,都只是汽车网络信息安全的冰山一角。
中国汽车技术研究中心数据资源中心软件测试部的部长张亚楠介绍道,截止目前,共享中心已经完成70余辆汽车的信息安全能力测试,其中国产车型占56%、合资车型占35%、进口车型占9%,测试发现存在数据漏洞高达2000个以上。
测试涵盖整车信息安全七大攻击入口:网络构架、车载娱乐系统、T-Box、云平台、App、ECU及无线电。
通过测试发现,当前只有少部分车型进行了信息安全防护且防护水平偏低。车内网络防护策略不足,车联网部件的防护可靠性低,需要加设车联网安全策略,配备相应的信息安全防护产品。
测试的结果是进口车信息安全水平最高,合资车型次之,国产车安全水平最低,网络架构安全隐患较大。但国产车型APP安全水平高于其他车型,90%进行了APP加固。
在此次研讨会上,共享中心还发布了汽车信息安全的十大风险,包括不安全的云端接口、未经授权的访问、系统存在的后门、不安全的车载通讯、车载网络未做安全隔离、系统固件可被提取及逆向、不安全的第三方组件、敏感信息泄漏、不安全的加密和不安全的配置。
这十大风险是汽车信息安全中最常见的一些风险,汽车厂商和零部件供应商如果规避了这些风险,也就能够规避绝大多数风险。
风险如何防范
首先针对最常见的十大风险,共享中心给出了一些防范的建议:设置访问控制,对操作用户进行身份验证,防止越权操作;删除本地硬编码存储的临时账号密码;使用高版本的蓝牙协议;Wi-Fi初始密码设置为强口令;钥匙信号加入滚动码来进行身份认证;使用定制型加密芯片,保护固件;对敏感信息存储目录进行访问控制管理;使用安全的加密算法等。
除此之外,各家车企应该将现有车型进行信息安全测试分析,针对漏洞问题进行针对性防护,比如配置文件加密存储、服务器和客户端做双向验证、安装包和刷机包进行完整性校验、通信数据采用加密协议传输等安全防护手段。
同时,在整车正向开发过程中应融入信息安全概念与需求,设计安全可靠的电子网络架构。
为了促进汽车行业信息安全的整体升级,共享中心已经联合会员单位研究并发布整车信息安全认证评价规程,从整车信息安全设计、测试验证、智能化水平和应急响应能力等维度全方位制定汽车信息安全测试评价体系。共享中心今年也启动了关键零部件的信息安全认证评价规程的制定和研究。
在标准研究方面,中汽中心正参与制定国内信息安全标准,目前已经牵头了3项标准的起草工作,并预研1项国家推荐型标准。
随着汽车新四化的不断发展,智能网联汽车成了标配,而在这一过程中保障汽车信息安全显得尤为重要。不仅是主管部门需要制定相应政策体系和技术标准,车企也应该拿出自己的汽车信息安全防护措施。