伴随汽车向网联化、智能化方向发展,车辆触网已是不可逆的趋势。伴随而至的汽车信息安全也已成为未来汽车不可忽视的问题,智能网联汽车中的信息安全漏洞一旦被攻击,将会对用户造成巨大的财产损失甚至生命危险。
去年4月,我国发布《汽车产业中长期发展规划》将智能汽车作为重点内容,明确了不同等级智能驾驶系统,并提出新车装配率要求。预计到2020年,中国智能网联汽车新车占比将达到50%。
当前智能汽车的信息安全问题仍旧没有引起车企和公众足够的重视,车辆被攻击破解的新闻时有发生,近日网易汽车与360智能网联汽车安全实验室负责人刘健皓就汽车安全问题进行了一次对话,也让我们有机会揭开了360智能网联汽车安全实验室的神秘面纱。
破解特斯拉第一人是刘健皓身上的光环,而他现在名片抬头是360智能网联汽车安全实验室负责人。“汽车漏洞会永远存在,我们只能去防御,在攻防的矛盾中找到最佳平衡点,保护汽车制造商的智能汽车安全,同时增加车联网安全的竞争优势。” 刘健皓开门见山的说。
目标:中国汽车信息安全顶级供应商
在汽车安全圈内,360智能网联汽车信息安全实验室的技术实力毋庸置疑,但这家实验室对外一贯的低调作风也为其增加了许多神秘。
360智能网联汽车信息安全实验室(SKYGO TEAM)是360安全创新中心下属15个团队之一,这家实力雄厚的实验室是国内首支专注于汽车信息安全研究领域的安全团队,也曾在全球首个发现特斯拉安全漏洞。
刘健皓向网易汽车透露,几年前他们对特斯拉辅助驾驶系统进行研究后发现,特斯拉Autopilot存在传感器漏洞,可以通过干扰、欺骗或致盲等手段,对特斯拉高级辅助驾驶系统传感器进行攻击,导致传感器接收到错误数据,从而影响高级辅助驾驶系统决策失败,从而导致交通事故。
随后,实验室将漏洞提交给特斯拉安全部门,特斯拉以书面形式对团队表示感谢,并将成绩录入特斯拉名人堂,随后特斯拉在Autopilot系统中升级了传感器方案。
此外,实验室还代表中国代表团参与国际ISO标准组织与SAE标准组织的联合工作组,共同讨论汽车信息安全标准ISO21434。
目前360智能网联汽车安全实验室共有24人,核心研究方向包括基于漏洞挖掘的汽车信息安全防护、基于攻防平衡原则的汽车信息安全评估、基于全生命周期的汽车信息安全咨询,以及基于大数据和威胁情报的汽车信息安全监控,同时兼顾重大级汽车信息安全事件的快速响应。
刘健皓表示,目前实验室已经跟国内主流的汽车品牌建立了合作,车企车辆SOP前会通过360智能网联汽车安全实验室做渗透测试。实验室会模拟黑客攻击车辆,以测试车辆能否被破解。如果能够攻破的话车企会根据实验室的反馈对车辆进行修复,直到问题修复后才正式上市。
2017年9月,实验室甚至联合威马汽车发布全球首款网络安全概念车,将360的安全理念和整体安全解决方案融入到汽车的电子电器架构中,全方位、全生命周期保护汽车信息安全。
刘健皓对自己团队有3个明确的定位目标,第一,他们希望成为中国汽车信息安全顶级供应商(目前他们已经做到了);第二,构建国家级汽车信息安全运营平台,实现国家智能汽车产业发展战略。第三,通过联合运营数据方案让普通用户在汽车终端上感受到360汽车安全解决方案带来的安全感与信任。
汽车信息安全需多维保障
智能网联时代,汽车将就变成了一个新的智能终端。目前市面上的多数车载系统常采用嵌入式Linux、QNX、Android等操作系统,黑客可植入恶意病毒或远程木马,破坏汽车的电控系统,严重时甚至会导致车辆核心的控制器被黑客接管操控导致严重事故发生。
目前黑客攻击车辆主要可分为物理接触、进场控制、远程控制三种,常见的物理接触攻击为OBD车辆诊断攻击;近场控制主要是指通过蓝牙和WIFI等方式对车辆进行入侵;而远程控制主要是破解运营商网络和车载云服务系统实现的。
实际上黑客的攻击方式具有多样性,刘健皓透露近几年实验室已在车联网、自动驾驶和语音操控等领域展开了安全验证,取得了诸多阶段性成果。
针对车联网领域的安全防护,刘健皓表示,实验室已经形成了完整的车联网安全评估方案,从“云”、“管”、“端”三个层面对车联网中的云服务、通信及车载终端进行安全评估,对主机厂车联网系统进行整体安全评估,形成有效可行的安全整改方案。
针对自动驾驶安全防护,实验室可以在不改变现有的车辆电子电器架构前提之下,通过大数据去做动态的防护。“我们的原则是,允许你(黑客)攻击我,但我们有快速发现并溯源找到攻击者的能力,这样的话就会提高攻击成本,从而实现对车辆实施动态防护”。刘健皓如是说。
汽车信息安全正随着技术的演进而不断变化,这也给车联网未来的发展带来更大的威胁和和挑战。刘健皓认为,汽车作为新的智能终端在信息安全层面将面临5大挑战。
1.高并发,汽车不再像以前一样是单独的点,汽车产生的实时数据会海量增长,庞大的数量基数本身就会导致智能汽车成为高并发系统。
2.大数据,汽车每天会产生大量的数据,这些数据跟用户隐私密切相关,如何去保护这些数据,也将面临巨大的挑战。
3.实时性,汽车本身是高实时性的交通工具,但是安全又需要丧失实时性为代价。实时性和安全性之间需要一个寻找合适的平衡点。
4.移动性,由于汽车是高速移动的互联网终端,因此对于安全策略的管理难度极大。
5.耦合度,未来汽车需要利用V2X技术面向智能交通。在车路协同的场景下,安全策略的继承和其他协议的耦合度非常难解决。
过去汽车系统相对孤立隔离属性强,黑客很难远程入侵汽车内部控制器,随着移动互联网技术普及,车联网产品通过T-BOX与汽车内部网络联网后,汽车受到的远程网络攻击已变成现实。
到2020年中国智能网联汽车新车占比将达到50%,每年大概有百万量级的新增联网汽车,未来中国势必会成为智能网联汽车第一大国。面对汽车安全问题的严峻形势,行业内需要以360智能网联汽车信息安全实验室为代表的众多团队一起创新探索,为中国智能汽车信息安全筑起一道屏障。
文章来源:网易汽车 作者:鲍彬斌_NA5364