当前位置:首页 >> 新闻 >> 汽车进入被盗高峰期?安全漏洞最坑人

汽车进入被盗高峰期?安全漏洞最坑人

出处:汽车之家 鲍彬斌 作者: 老中医 时间:2020-05-06 浏览:22301

一个智商165的人,他是现实世界里的失败者,却是网络中的顶尖黑客。他可以追踪到任何一个人的信息,先后入侵国际金融系统和国家安全局。这就是电影《没有绝对安全的系统》中所描述的情景。

现如今,汽车也正演变成一个漏洞越来越多的“系统”。2014年的黑客攻击致克莱斯勒140万辆汽车召回;2019年奔驰被发现19个安全漏洞,波及200多万辆汽车。近段时间,大众、福特、现代、丰田等接连被曝出存在安全漏洞。不幸的是,最坏的时候还没有到来……有专家预测,2025年前后汽车网络攻击可能会大爆发。

自动驾驶,特斯拉

30秒快速阅读:
  1、当前,数字钥匙的安全漏洞问题最为严重。随着自动驾驶、5G车联等逐步成熟,汽车信息安全形势日益严峻。
  2、行业对汽车信息安全高度关注,用户却没有明显感知。手机被攻破顶多“伤财”,而汽车安全漏洞却能“害命”。
  3、比之海外品牌,现存的中国品牌汽车在信息安全方面相对偏弱。OTA(空中升级)将是“堵”漏洞的重要手段。


● 汽车“漏洞”越来越多,安全攻击快速增长

汽车信息安全与车联网关系密切,汽车越“独立”,信息安全问题越小,反之越严重。2015年起,车企逐步深化网联功能,汽车网络入侵事件也日益增多。中国汽车技术研究中心曾对市面上的70余辆汽车进行信息安全能力测试,发现2000个以上数据漏洞。七大攻击入口主要为:网络架构、车载信息娱乐系统、T-BOX、云平台、App、ECU及无线电。

自动驾驶,特斯拉

当前,汽车数字钥匙的安全漏洞问题最为严重。车主通过手机App就能解锁车辆、启动汽车或遥控泊车,然而整条链路的安全性并不“健壮”。2019年,有黑客仅用30秒就偷走一辆Model S。2019年前10个月,英国发生14000多起利用数字钥匙漏洞盗窃汽车的案件,作案时间通常都不到30秒。

数字钥匙漏洞还只是“冰山一角”。近一两年,汽车网络安全攻击事件呈现出快速增长趋势。有统计数据显示,2019年公开报道的针对智能网联汽车网络安全攻击的事件差不多是2018年的两倍。

未来,汽车所面临的信息安全处境有可能“更糟”。5G兴起,加速汽车“触网”;智能汽车的发展,坚定了车企走“软件定义硬件”的道路。然而,越多的触点意味着越多的风险,越多的代码行段必然带来越多的BUG(当前汽车软件代码量达上亿行)。

自动驾驶,特斯拉

『特斯拉Model S』

腾讯科恩实验室车联安全技术专家范士雄称,“车联网安全还处在初期阶段。科恩实验室曾做过量化评估,如果手机的安全分数是100分,那么当前车联网安全也就六七十分的水平。”另一位汽车信息安全专家表示,“未来,汽车安全漏洞会越来越多。”该人士认为,现在还没有到真正爆发的时候,当自动驾驶汽车大规模起量时,形势会更加严峻,时间节点可能是2025年前后。

● 用户没有明显感知,汽车安全攻击却可“害命”

人们对汽车安全漏洞的关注似乎一直停留在B端,C端用户好像并没有明显的感知。好比今天电脑和智能手机如此发达,用户依然对网络安全没有切身感受。

面对如此现状,从业者也在思考,汽车信息安全的需求到底是什么?任何一项功能、服务的应用,都是用户有需求,车企才会去做部署。汽车信息安全,理论上也应是如此。

自动驾驶,特斯拉

『2014年被入侵后失控的克莱斯勒汽车』

那么,为何C端用户没有感知呢?上述不具名安全专家认为,首先,当前智能网联汽车的数量还不够多,相较于存量传统汽车而言可谓“九牛一毛”。其次,与手机/电脑相比,汽车安全攻击门槛更高,黑客自己先要有车作为“研究”对象,同时还要足够强的汽车专业知识。

更关键的原因在于,当前汽车网络攻击的“黑色产业链”尚未成熟。“黑产利用”的商业价值有限,还不如“黑”手机/电脑勒索钱财来得更直接。范士雄表示,当前汽车网络攻击多以车企的云数据平台为主,这比起入侵单独的一辆汽车来说非法获利空间大多了。

手机/电脑被攻破顶多“伤财”,汽车安全漏洞却可能“害命”,这才是问题的关键所在。汽车信息安全所面临的“威胁”主要体现在两方面:一是影响范围,比如通过云平台漏洞可以批量控制多少车;二是影响程度,入侵信息娱乐系统的危害有限,但如果底层控制系统(如刹车、转向、动力等)被攻破,就能够“害命”。假如“范围”和“程度”两个条件同时满足,有可能造成“群死群伤”。

自动驾驶,特斯拉

好的一面是,我国对互联网的管理非常严格,同时车企极其注重汽车产品安全,未来汽车信息安全问题不一定就像说得那么严重。糟糕的一面是,车联网方兴未艾,不清楚安全漏洞将如何被黑客利用,黑暗势力依然隐藏在背后。控制汽车作为政治暗杀工具,或胁迫高速行驶的自动驾驶汽车勒索比特币,这些情景不是没人畅想过。

● 中国品牌车是“软柿子”,但安全问题正快速改善

当前所暴露出来的汽车安全漏洞入侵问题,其根源往往在数年前。因为汽车开发周期通常需要3-5年,而当时车企在进行开发时可能压根就没有预埋网络安全设计。

在范士雄看来,上述情况是现如今汽车信息安全所面临的最大挑战。他认为,“三五年前所开发的汽车并不完全是针对智能网联设计的,也没有考虑太多信息安全性,还认为汽车只是一个相对‘独立’的空间。现在为了实现网联功能,可能做小幅改动后就让汽车去联网,这相当于把一个有很多漏洞的系统直接暴露在了网络上。”

自动驾驶,特斯拉

在存量车中,中国品牌国产车的信息安全问题最为突出。“中国品牌汽车就好像‘软柿子’,属于谁都能捏的那种。”上述不具名安全专家称,依据他们所做的测试研究,美系车很早就涉足车联网,信息安全基础比较好。日系讲究精细化,加密做得特别好,即便车被‘黑’了你也控制不了。德系秉承‘工匠精神’,信息安全中规中矩,非常规范化。

不过,这种情况正在快速好转,主要是车企对信息安全越来越重视,人才、预算等资源倾斜力度不断加大。同时,专业的互联网公司也在帮助车企建设信息安全能力。比如,腾讯科恩实验室已经与丰田、东风等车企达成合作。他们一方面帮助车企建立安全评估和自治能力;另一方面也把技术能力转换成自动化工具,帮助车企消除一些基础的安全问题。

自动驾驶,特斯拉

『通用凯迪拉克CT5全新电子电气架构』

除了不断加大资源投入外,车企也针对未来智能汽车进行产品开发。大众、吉利、凯迪拉克等都陆续推出基于新电子电气架构的车型,在云端、通信链路、车端都会部署安全解决方案。以车端为例,将内部网络分区隔离,并采取严格的身份认证,即便某一模块被攻破,也不至于扩散到整车或其他车辆。而OTA技术的应用,则使得未来的汽车能像手机一样,通过不断“打补丁”的方式堵住漏洞。

全文总结:

所谓道高一尺,魔高一丈。汽车信息安全永远处在“攻”与“防”的动态平衡中。攻要能突破防御才有存在的意义,防要能抵挡攻击才能证明其价值。暂且不论汽车安全漏洞给用户带来的人身安全威胁,隐私数据保护必将面临更大挑战。智能汽车就是一个时刻在收集数据的“传感器”,不管是个人行为数据、企业商业机密,还是国家层面的地理信息数据,都存在巨大的泄漏风险。

 

【免责声明】
我们致力于保护作者版权,转载或引用仅为传播更多信息之目的,部分源自于互联网,如涉及侵权,请联系我们删除,谢谢!

推荐阅读

海豹06GT宁波站上市品鉴会|圆满落幕!

穿行甬城,感受江南水乡韵味。驭鉴海洋科技,共启非凡旅程。11月20日,GT一下,高能潮趣座驾——海豹06GT上市品鉴会在浙江·宁波圆满落幕。活动现场热闹非凡,宁波各大主流媒体以及迪粉朋友们齐聚一堂,共同见证精彩时刻

2024-11-22

30年敢想敢干敢坚持,比亚迪迎来第1000万辆新能源汽车下线

11月18日,比亚迪成立30周年暨第1000万辆新能源汽车下线发布会在深圳市深汕特别合作区比亚迪小漠工业园举办。发布会上,比亚迪股份有限公司董事长兼总裁王传福首次讲述比亚迪30年创业经历,从30年前小厂房里20人的创业团

2024-11-18

比亚迪华为联合发布方程豹 豹8上市,售价37.98万元起

11月12日,比亚迪华为联合发布方程豹豹8上市,共发布4个款型,其中智勇旗舰六座版40.78万元、智勇旗舰七座版39.98万元、智勇豪华六座版38.78万元、智勇豪华七座版37.98万元。作为比亚迪30周年的旗舰之作,比亚迪华为首次联合

2024-11-13

“盛惠双11 燃GO中升”宁波站双11购车节活动圆满结束

由中升集团、平安产险、汽车之家三家战略合作伙伴联合举办的 “盛惠双11 燃GO中升”宁波站双11购车节活动于10月25日启动,宁波站线下启动仪式于11月2日隆重举行。此次活动期间,正值国家大力推广“以旧换新”汽车行业补贴

2024-11-08

智界R7 如“7”而至——智界R7首交仪式宁波站圆满落幕

2024年10月30日,在宁波东钱湖迎来了一场别开的智界R7的首批车主交付仪式,此次活动不仅标志着智界R7这款备受期待的新能源轿跑SUV正式交付到首批车主手中,更是一场融合了科技与生活的精彩盛宴,让每一位参与者都感受到了

2024-10-31

友情链接