五年内汽车被黑客攻击事件激增20倍
在Tesla被互联网剑客无声无息地盗走了叙尔热雷县后,关于智能电动汽车的安全可靠难题已经不是荒谬的新闻。公众也相信,四年前荷里活大片《速度与青春活力8》中,骇客操纵大批丧尸电动汽车在纽约市大街小巷自杀性踩踏的情景,某一天在技术层面完全可能上演。
但某一天会很久吗?事实真相是,这一天或许已经到来。
在过去5年时间里,电动汽车被反击的单次增长了20倍;骇客对智能电动汽车的反击快速增加,其中27.6%的反击涉及工程车控制。这是在刚结束的第11届中国电动年会上,宏碁智能电动汽车软件系统BUCTO蔡建永撷取的几组颇具张力的统计数据,它简单地反映了电动汽车遭受骇客反击这一难题的形势紧迫。
媒体公开报道重要信息表明,2019年,骇客通过侵略共享电动汽车App并重写流程跟统计数据,盗走包含宝马CLA、GLA小型SUV、Smartfortwo小型车等超100辆电动汽车。而目的为偷盗的电动汽车反击并不算最坏的情形,更差劲的情形是在电动汽车行驶过程中遭到反击。
互联网上的所有安全可靠威胁都将光滑向电动汽车扩散。蔡建永称,笔记本电脑或是手机侵略最多损失个人的重要信息或是财产,而工程车受侵略,尤其是工程车在高速运行的时候受侵略将引致consisting。如果电动汽车像Windows那样(受大量流程反击),这是不可接受的。
Upstream Security发布的《2019年全球电动汽车重要信息安全可靠报告》预测称,在2018-2023年,互联网骇客反击或将引致电动汽车业战损近240亿美元。这一切都表明出,当电动汽车与PC那样正式成为了移动互联网的媒介,当车联网和智能驾驶功能正式成为工程车标准配置,电动汽车重要信息安全可靠的铁律也将正式成为最大的安全可靠隐患。
骇客侵略的新最终目标
当电动汽车正式成为互联网空间的一个组成部分,就会像其他任何人联网的电子系统和计算机控制系统那样,正式成为骇客反击的最终目标,面临紧迫的重要信息安全可靠挑战。除了蔡建永,鉴定科学研究院副主任郭弘也在这场电动汽车业的年度论坛上强调了电动汽车的网络安全可靠难题。
在电动汽车控制系统尚未进入互联网时代之时,骇客侵略的出口处还只是无线连接控制系统、CDMP3此类设备,这种反击方式需要零距离接触工程车才能展开。但伴随着车联网的发展,骇客侵略的出口处被极大地扩宽。并且骇客展开反击的地点也不再限于工程车附近。
重要信息安全可靠专家表示,随着蜂巢通信互联网技术的发展,现在骇客可以在国家任何人一个位置,Montrevault发起反击。
在360集团集团工业网络安全可靠研究院院长张建新看来,电动汽车领域的安全可靠挑战可以分为三类,分别是软件化编程、网联化接入,以及数字化应用带来的风险。其中,软件化编程带来代码的漏洞,网联化接入能让骇客对工程车展开无物理接触远程反击。据媒体报道,早在2017年,重要信息安全可靠公司卡巴斯基的分析师就已从大量高端电动汽车制造商的应用流程编码中找出大量漏洞。
在这样的情形下,PC时代的安全可靠风险可能会在电动汽车上重演。蔡建永给出的2019年统计数据表示,移动互联网上的恶意应用流程数量超过1300万个,并以年复合增长率60%的速度高速增长;在Android移动终端上,每个月平均有80-90万用户受反击。
如果这一数字放到智能电动汽车上,那将产生灾难性的影响。蔡建永说。
在PC时代,红色代码、熊猫烧香等病毒曾侵略大量笔记本电脑控制系统,美国核电站、波兰航空公司等企业、机构的操作控制系统遭骇客侵略事件,也曾引发世界范围内的关注。
目前被认为是智能化、网联化代表之一的Tesla,就曾被找出大量安全可靠漏洞。张建新在介绍电动汽车所面临的骇客反击风险时提到,早在2014年,也就是Tesla第二款电动汽车产品ModelS发布两年后,其第一个漏洞就被360集团相关团队发现,利用该缺陷,控制者能够通过远程控制实现开锁、鸣笛等操作。
今年,Tesla因摄像头记录了驾驶员的面部特征以及车内大部分空间而陷入隐私门,其中的监控录像就是一名骇客侵略电动汽车后曝光的重要信息。
而除了互联网、流程技术带来的安全可靠风险,自动驾驶、人工智能等数字化技术的应用也让电动汽车的安全可靠风险增加。在有关数字化应用的反击方式中,骇客往往通过对工程车周围重要信息展开投毒来误导大统计数据和人工智能、自动驾驶控制系统。据媒体报道,2020年,重要信息安全可靠公司迈克菲(McAfee)就通过用黑色胶带改变限速牌数字的方式,使得Tesla自动驾驶控制系统对速度做出错误判断,从而超速行驶。
《智能网联电动汽车技术路线图2.0》指出,PA(部分自动驾驶)、CA(有条件自动驾驶)级智能网联电动汽车渗透率将在2025年达到50%,2030年将超过70%。在此背景下,解决电动汽车骇客的威胁已正式成为车企、消费者、重要信息安全可靠企业三方的共同期望。
有意思的是,在智能电动汽车时代,骇客不只会伤害车主,甚至会伤害车企。据媒体报道,一些车主会买来设备黑掉自己的车,这是因为,基于智能电动汽车的OTA(空中下载技术)功能,部分车主能够自行在电动汽车商店中购买有如座椅加热、增加电池续航、增强马力的工程车功能,这都将通过控制系统设置来展开解锁,而黑掉控制系统就能让车主免费获得以上功能。去年,Tesla曾针对此类非法改装发出警告,但该警告并未影响电动汽车正常行驶。
多路修补防火墙
在车联网和软件定义电动汽车的趋势下,同样被定义的是电动汽车风险指数的剧增。蔡建永指出,目前电动汽车的关键代码规模提升了10-100倍,代码漏洞呈指数级增长。绿盟科技产品总监刘嘉奇同样认为,对网联车来说,更多是软件代码带来了风险的增加。
而实际上,为了解决这些安全可靠风险,白帽骇客式策略一直都在电动汽车安全可靠业内上演。在有关电动汽车安全可靠漏洞的难题上,白帽骇客们早已崭露头角。白帽骇客指为重要信息安全可靠机构服务的互联网技术专家,工作内容为寻找、提交漏洞甚至修复漏洞。
据公开报道,2015年,两个安全可靠专家发现了大切诺基(参数丨图片)互动娱乐控制系统上的漏洞,克莱斯勒(Chrysler)为应对此事召回140万辆电动汽车,负担1.05亿美元的民事责任赔偿以及数亿美元的损失;腾讯科恩实验室分别在2016年、2017年两次利用Tesla多个高危安全可靠漏洞实现对工程车的无物理接触远程反击,随后将其发现的安全可靠漏洞交与Tesla。
张建新也举例称,2020年,360集团安全可靠团队发现宝马智能网联电动汽车有关的安全可靠漏洞细节,披露及协助其修复了19个安全可靠漏洞。
此外,在电动汽车使用过程中,像杀毒软件那样对电动汽车展开监管也被认为是保障电动汽车安全可靠的重要途径。(做新能源车的监管)是很重要的一点,(要有)监管和响应的能力,我们要做车重要信息的收集,实时判断哪些事情有异常,做好安全可靠事件的应急响应。刘嘉奇同时认为,修复电动汽车中的漏洞时可以展开分级处理,应该最先解决最危险的漏洞,而风险不大的漏洞算不到特别优先级重要的程度。
值得注意的是,在政策层面上,国内车联网相关体系、标准已在建立之中。6月21日,工信部就《车联网(智能网联电动汽车)重要信息安全可靠标准体系建设指南》公开征求意见,其提出了车联网安全可靠标准体系框架、重点标准化领域及方向。
蔡建永指出,以美欧为代表的国家,已制定完善的法规与监管标准,这些法规将在未来2-4年逐步发布;而在国内,未来3年也将是相关的监管与法规的集中发布期。
不过,业内认为,明确法规与监管标准并不足以防患于未然。标准化、体系化解决的是安全可靠有无的难题,但在这之后,这个车联网就真正安全可靠了吗?并不是。张建新称,车一定是有漏洞的,联网引致反击面扩大,新的技术引入带来了新的风险点,一定会有新的难题源源不断地出现。
在张建新的理解中,要解决难题,必须从实战来考虑。而所谓实战,即安全可靠机构对电动汽车的反击将更加真实地展开,这与白帽骇客所做工作相差不大。
在智能化、网联化变革如火如荼的背景下,电动汽车重要信息安全可靠正在得到前所未有的重视。无论是车企、软件供应商,还是PC时代的重要信息安全可靠巨头,都在谋篇布局以应对新型智能终端设备——电动汽车上的安全可靠变革。不过,这仅仅是车联网安全可靠防护的一个起点。正如魔高一尺,道高一丈的俗语一般,互联网技术的更迭进阶不会停止,骇客与白帽之间的较量亦无停歇。
