也许一些曾经的“中招”用户对2006年的熊猫烧香病毒还心有余悸,但新的安全威胁已即将到来。随着汽车的电气化以及智能网联化的发展,汽车信息安全也正在成为危害我们日常生活的安全隐患。
汽车安全报告
360攻防实验室在今天发布的2015汽车信息安全报告中,对智能网联汽车可能存在的安全漏洞以及应对之策进行了详细介绍。我们特地邀请了报告的撰写人,360攻防实验室的汽车安全专家刘健皓来为读者进行独家解读。
黑客控制你的车
早已不再需要实体接触
速度与激情
在著名的好莱坞飞车电影《速度与激情6》中,反派将破解装置发射到保罗·沃克驾驶的智能汽车上,通过接触式攻击掌控CAN总线取得了车辆控制权,并将车辆的右前轮抱死使得主角翻车。而刘健皓则表示,随着车联网技术的发展,如今的黑客早就可以直接在家中使用互联网直接攻击车辆APP、TSP、T-BOX等系统漏洞,实现非接触式的硬件破解,盗取用户信息、取得车辆的部分或全部控制权。
非接触式攻击造成的后果还不止于此。刘健皓的团队在模拟攻击中发现,通过攻击汽车的雷达、摄像头等传感器,黑客可以发出虚假信号欺骗自动驾驶系统,从而干扰到车辆的正常行驶,造成车辆紧急刹车或转弯。他表示,未来黑客还将有可能使传感器忽略危险障碍而不采取紧急措施,酿成安全事故。
新能源汽车
细思恐极的安全隐患
相较于传统汽车,智能化与电气化程度更高的新能源汽车将面临更大的信息安全威胁。刘健皓向记者透露,新能源汽车的辅助驾驶传感器、电池管理系统、车辆控制系统的智能网联化程度更高,是未来黑客新的攻击点。因为新能源汽车在充电时仰赖BMS(电池管理系统)对单个电池包的电压与电流进行动态调控,因此若BMS在被攻击后对已经充满电的电池包继续高压充电,会导致电池起火爆炸,酿成重大安全事故。
与此同时,新能源车充电桩在未来也可能存在安全隐患。由于充电桩要在车辆充电时与汽车电池信息进行动态交互,所以每个充电桩内安装有单片机。若前来充电的汽车已经感染了病毒,那么病毒就会上传到充电桩的单片机上,从而感染每辆前来充电的新能源汽车。说到这里,笔者不禁联想到了吸毒人群共用针头导致的艾滋病传播。然而威胁还不止于此,若该病毒被恐怖分子所利用,他们会将病毒设置为某一时刻同时爆发,引发大面积骚乱,危害国家安全。
遵循攻守平衡原则
不能靠安全验证的复杂来难住黑客
谈了半天威胁,想必读者们已经陷入了细思恐极的状态了吧?若受惊了的话还请放心,其实笔者刚刚谈到的都是最坏的情况。实际上车企与网络安全公司已经在采取行动封堵漏洞,维护车联网环境的安全。
安全框架
谈到对互联网安全采取的措施,刘健皓表示360方面提出了自己的安全框架。这个框架主要从安全服务、安全产品、应急响应、安全咨询、威胁情报、安全监控等几个方面规划了车联网信息安全的方案。通过汽车安全评估发现现有系统的安全问题,有些问题可以通过修改配置,打补丁,增强访问控制来解决。
但这些安全措施需要遵循“攻防平衡”的原则。毕竟开车是一个实时动态的操作过程,不能因为安全措施的问题让车辆的驾驶存在操作延时。试想一下如果你踩下刹车却因为防火墙的验证而延迟了零点几秒,这种“安全”的危害已经不亚于病毒了。对此,刘健皓给出的解决方案是在网络关键节点加装安全产品——“FUSE”车联网安全防护系统。这个防护系统是部署在车内接口的一个过滤器,能够检测并阻断对汽车总线的攻击;同时支持远程的OTA升级和数据采集,可以监控汽车是否遭受到了攻击;再通过外围的APP防护、TSP防护的产品保障车联网系统的整体安全。
对于我们普通用户来说,有什么可以采取的安全措施吗?刘健皓笑谈,对于普通车主来说,需要注意的还是那几点:不要轻易泄露智能网联云账户密码、将密码设置成复杂组合、不要用连接车载网联系统的手机登陆没有加密的陌生Wi-Fi、定期更换密码等等。其实正如很多互联网大佬所说,汽车正在越来越像我们熟悉的智能手机。所以我们也要遵循手机的安全要求,保护好我们的汽车信息安全。
