汽车黑客参与“拯救”汽车 车联网安全联盟已上路
随着智能、联网成为汽车发展的新趋势和新方向,汽车正处于一个技术创新的引爆点,创新不再局限于汽车的机械部件,电子及信息系统在一些汽车总体成本中的占比已经了50%,甚至一些起车中会运行超过1亿行代码,而这一切也将引发汽车新的安全隐忧。
美国的一份报告显示,60-70%的汽车召回是由于软件故障。汽车运行有电脑网络、无线连接和电子控制单元组成,这就为黑客提供了攻击汽车控制系统,进而控制汽车的制动和转向成为可能。尤其是现代汽车很容易连接到智能设备和互联网,这些连接也可能将汽车关键控制系统暴露给黑客,这可能会导致远程攻击汽车的巡航控制系统、刹车系统和其他安全关键操作。
不仅新的汽车容易受到黑客的攻击。越来越多老汽车也会连接使用的智能设备,插入车辆诊断端口,并与智能手机连接。一旦智能手机被连接到汽车的网络,汽车的基本安全和司机的个人信息可能被损害,所以安全性已经成为汽车软件开发的关注重点。
今天汽车行业因此面临着PC和互联网领域一样日趋恶劣的信息安全形势,黑客攻击、安全漏洞、汽车破解和劫持开始频繁跟汽车关联。尤其近两年,就发生过多起汽车安全漏洞事件:
2014年7月,360宣布发现了特斯拉应用程序的缺陷,攻击者利用这个漏洞,可远程控制车辆,实现开锁、鸣笛、闪灯、开启天窗等操作;
2015年2月,美国通用汽车公司OnStar系统被曝安全漏洞,黑客可以利用来远程操控汽车;
2015年6月,乌云漏洞平台、360补天漏洞平台曾曝光比亚迪云服务存在严重安全漏洞,车辆可完全被黑客控制,紧接着比亚迪官方确认漏洞存在。
2015年7月,美国著名黑客查理 米勒和克里斯 瓦拉塞克利用车载信息服务系统“UConnect”成功从十英里以外入侵了一辆在高速公路上行驶的吉普切诺基,导致汽车行驶途中失灵,翻到了沟里。在此之后,克莱斯勒公司宣布召回约140万辆存在软件漏洞的汽车,这也是首例汽车制造商因为黑客风险而召回汽车的事件。
2015年10月,三位国外“黑客”利用汽车的第三方软件0day漏洞,成功攻击奥迪TT汽车的安全气囊系统,使其关闭。
频发的安全漏洞和黑客攻击事件是一种警醒:汽车的信息系统安全正在直接影响汽车安全,危及公共安全、人身和财产安全。
汽车车制造商和他们的供应商正在努力适应他们的硬件和软件架构,改善他们的代码和设计流程来应对影响汽车安全的新的威胁,如同互联网行业一样,吸引第三方安全研究人员加入,正在成为汽车解决信息系统安全问题的一个方向。
国内外一些汽车厂商也邀请黑客为汽车安全进行“把关”。比如,加拿大军方的合同就包括黑客对于2015年的轻型皮卡车系统的破解分析,合同中明确提到黑客们必须找出其中的漏洞,并展示汽车是如何被黑客入侵的。
通过这种方式,如果能够提前发现系统漏洞,并且及时修复,那么有心做坏事的黑客就没法利用这个漏洞损害企业以及用户利益了。
去年美国汽车制造商联盟(AAA)就首次达成协议,将制定抵制黑客侵袭的隐私保护政策。预计今年年底,由美国汽车制造商联盟和全球汽车制造商协会牵头,美国多家汽车厂商也将联合成立信息分享和分析中心(Information Sharing and Analysis Center,简称ISAC),以共同对抗汽车黑客攻击。
在国内,我们也看到了这样一种机构诞生的苗头,在10月28日举行的智能网联汽车联盟2015年度工作会议上,来自360攻防实验室的安全专家刘健皓介绍了车联网安全的最新形势以及由车联网安全引发的汽车安全挑战,得到与会的高校、研究机构、汽车厂商的专家们的共鸣,会上就汽车行业与网络安全行业合作解决车联网安全问题达成了共识。
日前360总裁齐向东曾透露,360目前正在联合多家机构和车企,筹备成立中国车联网安全联盟,想要集合全社会的网络安全能力,共同面对和解决汽车的信息系统安全,吸收和帮助第三方的安全研究人员一起参与汽车信息系统安全问题的研究和解决。