網際網路汽車“科技秀”背後暗藏安全隱憂
- 發佈時間:2015-09-21 17:37:00 來源:中國資訊産業網 責任編輯:書海
毫不誇張地説,2015年為“網際網路汽車”的元年。國內外IT汽車廠商紛紛致力於汽車智慧化,智慧汽車正在成為新的行業風向標。但是汽車聯上網後,車輛資訊安全風險也會增加。普華永道預測,全球車聯網市場中汽車安全市場增長速度最快,2015年全球汽車安全市場規模將達到138.6億美元,到2020年這一數字將增長至538.9億美元。同時,也應看到,科技進步之路難免會一波三折,不能因噎廢食。相反,我們應該積極尋求應對之策,理清其背後的安全風險並加以防範,保障用戶利益、社會公共安全以及産業健康發展。
産業鏈各方掘金網際網路汽車
據《2015年車聯網研究報告》顯示,2015年全球車聯網市場規模將達到362.8億美元,到2020年,全球車聯網市場規模將達到1311.3億美元。
國內網際網路汽車發展得如火如荼。東風汽車2014年就與華為合作,在汽車電子、智慧汽車、IT/ICT資訊化建設等領域展開跨界合作;北汽集團則與樂視攜手,以樂視汽車生産廠商的身份在智慧汽車競爭中佔據一席之地;上汽集團與阿裏合作,同時開發無人駕駛功能;一汽集團也於今年4月發佈了智慧汽車“摯途”戰略;江淮汽車計劃于2020年進入3.0時代;海馬汽車也於今年3月正式發佈了移動互聯人車生態系統;今年7月,長城汽車表示將50.33億元用於發展智慧汽車項目。
與此同時,網際網路巨頭也都將車聯網當作未來的核心項目。今年1月,百度公佈了新版車聯網解決方案CarLife;3月,阿裏聯手上汽集糰子公司合資設立10億元網際網路汽車基金;不久後,騰訊、富士康、和諧汽車簽署協議,欲共同打造“網際網路+智慧電動車”平臺。
電信運營商也沒閒著。中國電信將車聯網等業務作為集團轉型的主要業務之一;中國移動將在今年借助4G網路,大力推進車聯網業務;中國聯通也表示成立專門公司運營車聯網。
安全將成網際網路汽車軟肋
最近,多起智慧汽車被駭客入侵事件讓智慧汽車網路安全成為公眾關注的焦點。2011年至今,“白帽子”漏洞報告平臺“烏雲”上共提交有關車企網站的漏洞達58個,其中近一半的漏洞都可能造成網站用戶的資訊洩露,背後涉及百萬車主的資訊安全。
今年3月,烏雲平臺曝光了比亞迪智慧汽車的一個漏洞,駭客通過該漏洞或將導致汽車被駭客完全控制。該漏洞為雲服務存在嚴重安全漏洞,駭客可以編寫程式獲取任意車主的資訊如姓名、車牌號、車架號、身份證號、第二聯繫人姓名、手機號和控制密碼。6月,HackPWN安全極客狂歡節啟動儀式上,安全專家利用發現的比亞迪汽車雲服務平臺漏洞,在沒有鑰匙的情況下,成功利用電腦先後實現了遠端開鎖、鳴笛、閃燈、開啟天窗等行為,從開始操作到成功破解,只花了不到兩分鐘的時間。
除了國産品牌汽車,國外大牌汽車廠商更是頻頻被曝安全漏洞。今年1月,德國的一份報告顯示,寶馬汽車公司的“互聯駕駛”系統存在安全漏洞,駭客利用這一漏洞可在幾分鐘內無線開啟汽車的車門;7月初,路虎攬勝因車載系統的漏洞可能導致車門被遠端開啟而在美國發出召回聲明;7月底,菲亞特克萊斯勒公司宣佈,由於存在軟體故障,駭客可以通過這些漏洞控制汽車的關鍵功能。此後,通用汽車的OnStar被曝存在安全漏洞;8月美國拉斯維加斯舉行的“黑帽子”大會上,兩名研究人員公佈了特斯拉Model S系統存在的六個重大安全漏洞;此後,美國加州大學聖地亞哥分校宣佈他們成功入侵2013雪佛蘭跑車,他們通過攻擊車載自動診斷系統介面處插入的裝置來攻破汽車的安防系統,之後通過發送資訊來控制雨刷器,並最終在汽車低速行駛時控制了其剎車系統。整個行業應該認識到這些前所未有的新興威脅。
——利用車聯網系統軟體的漏洞
智慧汽車的資訊控制系統帶來的網路連接,隱含了系統漏洞,為安全埋下隱患。汽車內部各系統相互聯通使外來攻擊有了跨越系統的路徑,而各系統間通信依靠的仍是創立於20世紀80年代的電腦協議,不具備驗證消息來源的能力。原美國國防部高級研究項目局網路安全研究負責人派特爾·扎特克説,汽車系統的整體安全水準可能比目前電腦作業系統的安全狀況落後15或20年。
——通過攻破與車聯網相關聯的智慧手機、智慧手錶或者是雲端數據庫等進入車聯網
如通過網路不慎下載病毒會將以往PC、手機網際網路時代的安全威脅帶到汽車領域。特斯拉汽車就是通過手機應用程式來遠端控制汽車,進行開啟車門、開關空調等操作。未來隨著智慧可穿戴設備的快速發展與普及,智慧眼鏡、手環、車鑰匙等攜帶型可穿戴設備也可以與汽車實現連接,對汽車進行控制。此外,有分析稱,汽車最大的網路安全隱患在雲端,一組伺服器可以監控成千上萬輛汽車的位置、行駛路線,甚至可以被用來操控制動裝置和發動機。
——車載診斷系統OBD或是造成汽車網路風險的一個重要源頭
缺少私有加密協議而採用保護性差的開放通用協議是OBD最普遍的安全問題,而代碼沒有採用反逆向措施和用戶數據洩露是汽車應用最常見的安全問題與潛在風險。現在許多汽車廠商為了創造更好的互聯體驗,給予OBD更多許可權,比如剎車等,駭客可以通過OBD往網路裏寫一些數據包攻擊這輛車。
網際網路汽車需練“金鐘罩”
車聯網産業要想健康發展,就必須解決智慧汽車的安全問題。否則,出於對安全的考慮,消費者將不會主動接受智慧汽車和各種智慧汽車系統,車聯網産業的發展必將因此受阻。
——立法先行為智慧汽車提供安全保障
要結合網際網路智慧汽車帶來的安全、交通責任認定等問題,制修訂相關法規,從法律上對生産、使用網際網路智慧汽車進行規範。同時,逐步建立和完善相關標準,創新網路化管理手段和方式,依託先進資訊技術對網際網路智慧汽車進行管理。
2014年10月,美國國家標準與技術研究院制定《車聯網網路攻擊防護安全框架》。今年,兩位美國參議員提議在汽車的程式中提供更多的防入侵保護,尤其是在那些可能危及生命安全的關鍵零部件,為此,他們還特別提出了一個“汽車監控法案”。歐盟智慧交通系統實施計劃和2010/40/EU指令明確了智慧交通應用系統必須使用最小化的數據,限制數據的使用,並對用戶數據進行匿名化和整合化處理,以保證車聯網的安全。
——成立專職部門負責汽車網路安全
在2013年,美國國家公路交通安全管理局已經認識到汽車內需要安置不相容系統,並設立了專門機構,負責車輛網路安全問題。澳大利亞政府于2011年成立了交通與設施常務委員會以負責智慧交通的推廣與實施,其中安全防護和隱私保護一直是智慧交通實施中的核心問題。
——産業聯盟合作助智慧汽車發展良性迴圈
智慧汽車是一條完整的生態鏈,因此以網際網路企業和汽車企業為主體組建産業聯盟,吸引更多的汽車企業和網際網路企業參與,更好地發揮兩者的技術優勢,形成合力。同時,還應發揮政府部門的引導作用,並以特殊産業政策給予支援。比如美國汽車製造商聯盟和全球汽車製造商協會就成立了共同機構,以共用對汽車安全構成威脅的網路安全資訊。
——智慧汽車時代需打造自主晶片和核心技術
智慧汽車的核心技術相對還較缺失,關鍵零部件先進感測器技術全部來自國外,長期被國外企業所壟斷。晶片在汽車領域的用途非常廣泛,沒有晶片汽車就無法運作。除了常見的多媒體娛樂系統、智慧鑰匙和自動泊車系統外,晶片還廣泛應用在汽車發動機和變速箱控制系統、安全氣囊、駕駛輔助等系統中,堪稱汽車的神經。出於網路安全的考慮,車聯網的晶片、軟體等應盡可能國産化。
版權所有 人民郵電報社