日漸突出的智能聯網汽車安全風險
最新調查結果顯示,智能聯網汽車明顯缺乏必要的安全措施,黑客完全可以控制聯網車輛,或者通過汽車獲取司機的個人信息。
背景
我們已經進入了科技發(fā)展的一個新階段。每一天,越來越多的新設備連接到互聯網,互聯網的引入使得智能手表、可穿戴設備、IP冰箱、IP洗衣機都可能遭受黑客攻擊,聯網汽車的數量每年都在增加,雖然這些汽車都很好地配備了碰撞自動提醒、超速通知以及安全警報功能,但報告顯示它們易于遭受黑客攻擊,因為目前還未采取充分的措施保護這些聯網汽車免受黑客攻擊。
黑客已經認識到一個新的攻擊平臺,這使得聯網汽車面臨的威脅將越來越大。聯網汽車可以使我們的云服務、電子郵件、短信、聯系人,以及其他的個人、金融和工作數據易于遭受黑客攻擊。通過上面這些服務,攻擊者可以確定汽車的位置,同時還可以通過汽車的GPS來鎖定它的位置。此外,黑客還可以訪問汽車網絡對交通造成嚴重破壞,甚至威脅車輛乘員的安全(FreeBuf相關報道)。
聯網汽車的安全風險
聯網汽車可以通過C2C(car-to-car,車對車)或C2I(Car-to-Infrastructure,車到機構)連接實時共享信息,它正在慢慢成為物聯網的一部分。專家預測,物聯網風險今年將大幅度上升,所以在保證這些設備網絡安全方面,我們應該采取一種完全不同的新方法。在聯網汽車的初步發(fā)展階段,僅僅依靠一些頭腦靈活的網絡安全專家并不足以應對汽車網絡攻擊的多樣化。我們應該分析并評估如何從互聯網或汽車的數據請求中獲取數據,因此,重點就落在了云端。
美國交通部認為,設備-設備或V2V(vehicle-to-vehicle)通信將可能實現,使得路上的汽車可以自動交換數據,例如速度、方向等,并可以發(fā)送警報以避免事故或交通堵塞。同時,當在車里時,汽車將成為個性化的數字助理。最近,德國汽車公司宣布,他們正在發(fā)布汽車的一個無線更新,這利用了汽車中一個基于SIM卡的ConnectedDrive模塊,它允許司機遠程解鎖他們的汽車。但是德國汽車俱樂部ADAC已經逆向了該遠程信息處理軟件,并提醒說,寶馬汽車中的一個漏洞使得可以通過第三方解鎖汽車(FreeBuf漏洞分析)。
理論上,黑客能夠通過創(chuàng)建一個虛假的移動網絡來欺騙汽車解鎖,雖然該漏洞存在于220萬輛寶馬車、Mini和勞斯萊斯中,但還沒有證據表明已經有針對該漏洞的利用。盡管公司及時修復了該漏洞,但從這次事件中仍然能夠看到聯網汽車的安全形式是多么嚴峻。
通過提供汽車數據傳輸的安全性,包括通過HTTPS加密汽車數據,寶馬汽車已經修復了上述漏洞。然而,問題出現了,為什么之前不采用標準的HTTPS通信技術呢?市場上幾乎100%的汽車都包含無線技術,這些技術中可能包含能被黑客攻擊或竊取隱私的漏洞。根據Frost&Sullivan的消息,到2020年,汽車將會利用從10到100的所有以太網端口。
商務、科學和運輸委員會成員Markey在一份聲明中說。
“司機已經依賴了這些新技術,但不幸的是,汽車制造商沒有做到他們應做的部分,即保護我們免受網絡攻擊或隱私入侵。即使現在聯網汽車比以往任何時候都多,但目前我們的科技系統和數據安全在很大程度上仍然未受到保護。”
這些聯網汽車中的漏洞可以通過一個事件證明,即一個14歲的男孩僅僅花費15美元就能輕松解鎖并啟動一輛聯網汽車。這種汽車在未來幾年將不可避免地隨處可見,隨著人們尋找更安全的駕駛經歷,他們的汽車將連接到當地基礎設施,例如交通信號和應急服務,但安全問題似乎變得更糟糕。
著手汽車安全
IBM商業(yè)價值研究院最近一份題為“駕駛安全:下一代汽車的網絡保障”的研究中指出,當創(chuàng)建聯網汽車特性時,汽車廠商和合作伙伴應該專注以下三個領域:
1. 設計安全的汽車:安全始于汽車。在汽車的設計過程中,應該專注于安全多于注重功能,這意味著,一旦離開了汽車生產線,就要檢測每一個組件、子系統和汽車連接的網絡可能帶來的風險和威脅。每一個軟件和硬件組件以及系統都要以安全為第一要求來設計。
2. 創(chuàng)建安全的網絡:在汽車連接的網絡系統中,安全必須放在第一位,并深入到每個組成部分的設計中。應該使用加密通信,所有提供連接高速公路、汽車和設備服務的組織,都要保證他們網絡的安全性,并時刻監(jiān)視流量來檢測可疑活動。
3. 加強車輛配置:在二十世紀50和60年代,是由機械工程師來設計汽車控制系統;而現在卻是依靠一臺電腦。典型的豪華車包含大約1億行代碼的軟件,而這些軟件由70到100個電子控制單元管理。這些曾經是封閉的系統,當時只需一個工具箱和一個修理工就可以篡改它。然而,現在通過移動網絡、藍牙、USB接口,甚至近場通信傳感器將汽車對外開放,毫無疑問,汽車正在面臨遠程攻擊的風險。為此,這些聯網汽車應該在以下方面加強安全措施:
(1)加密傳輸和存儲的數據
(2)實施適當的云安全控制
(3)訪問控制機制
(4)強化操作系統安全
(5)對應用程序進行滲透測試
最近,Oracle公司開發(fā)了一個平臺,利用該平臺可以利用Java為汽車開發(fā)應用程序。同樣的,高通、AT&T以及其他公司也正在專門為聯網汽車開發(fā)新平臺。利用發(fā)達的科技,我們正在為黑客創(chuàng)建一個全新的攻擊平臺。汽車安全的未來將取決于現在為聯網汽車積累的安全意識以及安全發(fā)展。
