腾讯安全科恩实验室总监吕一平:智能网络时代,重新定义汽车安全
伴随着5G的到来,自动驾驶汽车可能是5G技术最早落地的一个应用,相应的5G时代意味着物与物的连接更多,将加剧自动驾驶信息安全的复杂性,从而增加受攻击的范围,导致黑客寻找漏洞的成功率更高,系统的安全系数会变低。
智能网联时代,汽车安全面临的挑战是什么?7月31日,腾讯第五届互联网安全领袖峰会上腾讯安全科恩实验室总监吕一平进行了关于智能网络时代下重新定义汽车安全的主题演讲,详解腾讯眼中的汽车安全观及方法论。
以下为吕一平演讲全文,雷锋网新智驾在不改变原意的基础上进行了编辑:
腾讯科恩实验室过去几年在智能网联汽车领域做了非常多的研究工作。今天会议主题是大交通,如刚刚讲到航空、高铁、智能网联汽车几大领域中,过去大家可能更关注的是功能安全。其实安全对应中文是一个词,但对应英文是两个词“safety”和“security”。两个安全定义完全不一样。
“safety”,代表汽车领域里被动安全;气囊、保险盖、保险带,是功能服务范畴;在联网以前其同信息安全完全没有交集,但联网以后两者产生了交集,而且产生了影响。科恩过去几年同行业的合作充分证明一点, 信息安全可以引发功能安全问题,即security问题可以引发safety问题。
汽车进入智能网联时代以后带来了新技术。从数据采集到融合,到控制执行,到汽车传统控制主线。相当多新技术引入以后,信息安全和功能安全相互融合。所以未来在考虑智能网联汽车安全时要考虑大安全概念,而不仅仅是功能安全概念。这个概念在铁路和航空领域也同样适用。
机场大量物联设备接入,各种各样智能化系统、信息化系统接入,与用户有很多交互,这是暴露出来的潜在攻击面。包括铁路也一样,很多物联设备引入后,也会带来很多安全问题。
最近四年(2016-2019年),在国际范围内比较有影响力的智能网联汽车研究都是腾讯科恩实验室做的,2018年针对宝马系列车型的网联安全,和2019年针对特斯拉自动驾驶的安全。
从车端到TSP,现在有越来越多汽车通过手机APP进行远程车控、车辆信息同步。同铁路一样,很多相关信息都会在手机端进行同步,总体来讲形成了一个非常复杂的技术架构。车端本身就已经很复杂了,增加大量网联模块,如娱乐系统现在是联网的。车载通讯模块,大量接口,如蓝牙、WiFi、USB、3G/4G网络等都是通过物理接触式、近场通讯、长距通讯,各种各样的信道都成为入侵入口。
大量互联网服务平台或面向公共服务的平台等越来越多的互联网接入进车,有更复杂的后台,包括应用端。
图上标的红点是有可能成为攻入汽车整体系统的一个入口。为什么要讲攻易守难?是因为攻一点就可以,防守要防所有点。当一个大的行业进入到新的数字化转型或进行互联网升级周期以后,面临的挑战也非常大。
汽车行业标准中,汽车行业原来有一个功能安全标准ISO26262。从2015年开始,国际汽车行业在做相应信息安全标准。把两个标准融合在一起,这是汽车行业的V字型工程模型。前面一半主要是设计和研发,后面一半主要是验证和测试。
从2015年开始,将信息安全和功能安全融合后,国际行业组织也把信息安全设计、研发、验证和测试过程融入到整个V字型工程模型里去。目前V字型模型是信息安全和功能安全整合、融合以后的模型。但目前在信息安全方面的一些实践比较简单,也是我们需要丰富的。
过去三/四年时间,科恩实验室评估超过20台有联网功能或有自动驾驶功能的整车,这些来自于不同厂商,有些是腾讯独立研究项目,如特斯拉、宝马项目;有一些是腾讯和厂商的合作项目。腾讯有一个统计数字:45%的问题是设计相关问题,55%问题是代码实现的问题。设计的问题占比例非常高,达到45%。反观现在的PC或移动,如苹果、微软、华为,设计层面的安全缺陷比例只有5%左右,大量问题可能是工程实现问题。
区别在哪儿?技术架构上的安全缺陷很难修复,或者修复成本相当高。举例,汽车上通讯模块的板子,在量产时调试接口就没有封掉,如果一个研究者介入这个接口,可以直接拿到这个系统最高权限的。这是一个非常简单粗暴的方法,即可快速拿到汽车非常高的权限。
这种情况怎么修复?要替换零部件、召回,所以成本很高。现在国内单台车召回成本达上千,与腾讯合作的一些德系车企召回成本在500欧元左右,差不多为三/四千元人民币,成本非常高。这就是大家为什么非常重视设计缺陷上的问题,因为汽车远程功能都是可以迭代。
如图,2016、2017年腾讯研究特斯拉的过程,通过车载娱乐系统浏览器拿到了车载娱乐系统复杂的特斯拉中控最高权限,最后攻击了车联网关,攻入到汽车核心网络,并且对车联网上核心的控制单元、电子单元进行控制。腾讯得到的比较好的认可,目前同特斯拉在安全方面有紧密的合作。
如图,2018年腾讯研究宝马系列的案例:通过远程模式可以攻入到汽车,通过宝马通讯模块最后攻击到网关,能拿到车的控制权。这个事件影响力很大。因为腾讯研究成果基本覆盖宝马全系车型,当时预估在千万级的量级,这影响到全球范围内的车,包括北美、欧洲、亚太、中国地区所有有联网功能的2012年以后的车都有该隐患的。所以宝马也进行了大量的工作进行修复。宝马对腾讯评价非常高。大家可以想像一下,宝马有一套自己定义的私有化协议“NGTP”,不开放,通过腾讯的研究可以完整逆向这套协议,宝马非常震惊。所以前者给腾讯颁发了一个集团大奖。这也是宝马集团第一个数字化和IT研发技术奖。
马斯克曾想像一个场景:自动驾驶完全引入以后,特别是高程度自动驾驶引入以后,汽车可以被黑客遥控,很多车都跑到某个岛。2019年3月份该场景被证明技术上是可行的。腾讯于今年3月份发布了特斯拉Autopilot高级辅助驾驶的安全研究成果,公布了3个。
这是特斯拉架构图,自动驾驶决策系统APE技术架构。APE到最后连接了大量核心的车联网络对车进行控制。高级辅助驾驶以后,大量的判断决策交给汽车和系统,而非人在操控,所以会和汽车的核心网络、汽车的动力、转向、油门、刹车等车辆组件进行交互,这是非常高权限的一个架构。
腾讯进行了三个不同的演示,来自于两个不同的维度。而且腾讯在2019年研究中开辟一个新的攻击产品,对人工智能视觉对车的安全造成影响。
特斯拉有一个车道转换功能。腾讯研究了算法逻辑以后,在地面上部署了几个干扰点,可以导致这辆车驶向逆向车道。因为特斯拉自动驾驶决策大量依靠视觉的部分,基本上围绕车身十几个摄像头进行驾驶决策,是唯一一个依靠视觉传感器比较多的厂商。这也是视觉自动驾驶人工智能算法对抗的实际案例,真正能影响到功能安全。
2016、2017年更多研究网联模块,2019年深入到了自动驾驶决策模块,完整地控制了特斯拉自动驾驶完整模块、决策模块。最后的效果是腾讯可以用一个游戏手柄去控制特斯拉的驾驶。这个场景对所有特斯拉都有效,而且遥控过程不需要在车旁边,在看不到这辆车的情况下即可进行遥控。可以证明车辆安全多么重要。
据雷锋网
(公众号:雷锋网)
新智驾了解,腾讯做了一些分析,发现未来信息安全的能力对一个车企非常重要。因为直接影响到了车辆的品牌、成本各个方面。
未来信息安全将成为智能网联汽车产品关键的属性,从功能安全,人身安全、行车安全、公共安全,包括法律要求。车上会有大量个人隐私信息,因为互联服务越来越丰富,该部分也会有一些强监管的要求。目前汽车相关的黑产还没有起来,但腾讯预计在未来几年随着智能网联汽车广泛上市,面向智能网联汽车的黑产也会起来。
腾讯一直认为信息安全将成为智能网联汽车产品质量非常关键的一个元素。如何建立汽车信息安全能力?从专业的团队引入到技术工程方法、保护机制和策略,都要快速响应,这同航空理念非常相似。据雷锋网新智驾了解,腾讯科恩实验室目前和20多家车厂有合作关系。在物联安全,特别是终端安全领域已有深入的理解。
。