比如,到2020年,中国智能汽车新车占比达到50%,每年将新增1000多万辆联网汽车上路,但是这些智能网联汽车在上路时有没有做好网络安全?目前汽车网络安全国际标准ISO/SAE 21434要到2020年10月左右才会公开发布,这意味着未来上路的1000多万辆汽车是“裸奔”的,有可能会引发很多安全问题。
自2015年以来,有超过50次汽车黑客攻击事件,对于黑客而言,汽车上将会有越来越多的数据,对其中有价值的数据进行攻击获取,将成为新常态。汽车之所以会成为被攻击的对象,是因为汽车系统越来越复杂,导致其弱点也越来越突出。目前的高级别车型,甚至有超过150个ECU被使用,软件代码量也超过2亿行。
2015年FCA在北美有一个黑客研究的项目,白帽黑客查理·米勒成功“越狱”,证明Jeep是可以被远程操控,FCA为此在北美召回了140万辆的自由光。代价是数月的时间和上亿美元。
2014年,来自中国360安全团队在全球首次成功破解特斯拉,当时团队发现一种利用无线中继攻击可进入特斯拉无钥匙系统。2018年2月底,科恩实验室向宝马集团报告了宝马3系、5系、7系、X系和I系列车型的安全问题。
特斯拉的Model S, Model X 和Model 3屡遭破解,公司首席执行官埃隆·马斯克对此表示特斯拉正在做出努力,以确保汽车不受互联网“入侵”问题的影响,防止汽车被破解将成为公司的首要安全任务之一。
去年,大众和奥迪汽车被曝出存在多处安全漏洞,这些漏洞可能允许攻击者发起远程攻击行为。其中,部署部分车型的车载信息娱乐(IVI)系统中的漏洞可能会允许攻击者远程访问麦克风、扬声器以及导航系统。
越来越多的无线接口将出现在智能汽车上,预计到2020年将会有2.5亿辆联网的车辆行驶在道路上。从这一点上来看,逐渐丰富的车联网也渐变成了孕育黑客的沃土。未来远程攻击的典型模型,将会是从网络端开始,进入车载通讯模块,然后黑掉TCU、OBD,进入到ADAS、IVI、Tbox的功能,最后影响刹车、车身相关控制等。
现实是,几乎所有的OEM,在保证汽车安全的措施方面,唯一能做的就是不开放CAN协议,至于网络信息安全,并不在其能力范围内,要做相关的防范,往往需要单独配置安全研究人员。
去年8月,马斯克在推特发布消息,特斯拉计划向其他汽车厂商开放汽车安全软件的源代码,旨在通过众人之力,提升汽车的安全性。而与此同时,通用汽车也发布了一项高额的漏洞悬赏计划,要让程序员们为其挖掘潜在的网络安全问题和产品的潜在弱点。
这些都是真实存在的问题。
近日,SAE International和Synopsys, Inc.联合发布了一份名为《保护现代汽车:汽车行业网络安全实践研究》的调查报告,该报告强调了影响汽车行业面向未来智能网联的关键网络安全挑战和不足。
研究发现,84%的汽车专业人士担心,他们所在机构和公司的网络安全研发跟不上不断发展的技术。调查还发现,30%的公司没有建立网络安全项目或团队,63%的公司测试不到一半的汽车安全漏洞技术。
在过去十年,SAE成员寻求应对汽车系统开发生命周期的网络安全挑战,制定和推出了世界上第一个汽车网络安全标准指南SAE J3061™,旨在通过统一全球标准,来推动汽车电气系统与其他互联系统之间安全流程的建立。
此次最新的调查则是基于未来应对联网、支持软件更新的汽车安全风险的能力,调查对象来自全球汽车制造商、供应商和服务提供商的593名专业人士。涉及领域包括信息娱乐系统、远程信息处理、转向系统、摄像头、基于socket的组件、自动驾驶以及Wi-Fi和蓝牙等射频技术。
如何在整个系统开发生命周期和整个汽车供应链上整体解决网络安全问题,已经成为全球汽车行业软件、连接性和其他新兴技术的普及,带来了一个前所未有的关键风险:网络安全。
在这份报告中,有四项结果值得行业关注和重视。
1、缺乏网络安全技能和资源。超过一半的受访者说,他们的公司没有为网络安全分配足够的预算和人力资本,62%的人说他们不具备产品开发中必要的网络安全技能。
2、目前, 大多数企业并没有把主动的网络安全测试作为重点。不到一半的公司有测试其产品的安全漏洞。与此同时,71%的人认为,在产品开发期限内完成任务的压力是导致安全漏洞的主要因素。
3、开发者需要网络安全培训。只有33%的受访者表示,他们的公司有对开发人员进行了相关安全编码方法的培训。此外,60%的人说缺乏对安全编码实践的理解或培训是导致漏洞的主要因素。
4、整个供应链的网络安全风险。73%的受访者对第三方提供的汽车网络安全技术表示担忧。与此同时,只有44%的人表示,他们的公司对上游供应商提供的产品提出了网络安全要求。
众所周知,如今的智能汽车是一台联网的移动电脑,它带来了一个汽车行业几乎没有太多经验应对的问题:网络安全风险。而调查报告显示,全球主要汽车制造商在产品网络安全项目上平均只有不到9个人在负责,30%的受访者表示,他们的公司没有现成的产品安全计划或团队。
一直以来,汽车制造商严重依赖于数百家独立供应商提供的硬件和软件组件,以交付最新的汽车技术和设计。
在未来,上下游之间的协作关系还会更加紧密,而73%的受访者表示,他们非常担心第三方提供的汽车技术的网络安全状况。
现在,汽车制造商及其供应商必须要考虑联网汽车对消费者隐私和安全意味着什么。随着越来越多的联网车辆上路,恶意黑客利用蜂窝网络、Wi-Fi和物理连接来利用这些软件漏洞的可能性越来越大。不解决这些风险可能是一个代价高昂的错误,包括它们可能对消费者信心、个人隐私和品牌声誉造成的影响。
不过,众多受访者对网络安全问题有着深刻的认识,并有强烈的改善愿望。令人担忧的是,69%的受访者认为自己没有权力在公司高层那里提出他们的担忧。
正如ISO9000和ISO26262等标准为汽车行业带来了更高的质量,严格的网络安全措施对于新汽车技术的导入至关重要,同时保持质量、安全和快速上市时间。
62%的受访者表示,未来12个月内,针对汽车网络安全的恶意或验证攻击很有可能或非常有可能发生,超过一半(52%)的受访者意识到,由于第三方或汽车制造商开发的不安全的汽车技术,可能导致致命的事故发生。主要原因在于汽车制造商和零部件制造商并没有在产品开发过程中,比如从设计阶段开始就进行安全性测试。
