4月25日,
工信部、發改委、科技部聯合印發《汽車產業中長期發展規劃》的通知,
旨在落實建設製造強國的戰略部署,
推動汽車強國建設。
根據規劃,
到2020年,
智慧網聯汽車與國際同步發展,
同時要求,
汽車產業關鍵技術取得突破,
全產業鏈實現安全可控,
汽車資訊安全成為最受關注的領域。
近日, 國內首支專注于汽車資訊安全研究領域的頂級安全團隊360智慧網聯汽車資訊安全實驗室(360天行者團隊)發佈《2016年智慧網聯汽車資訊安全報告》, (以下簡稱《報告》), 報告重點對智慧網聯汽車技術發展、汽車資訊安全以及2016年汽車安全事件破解案例進行分析, 提出智慧網聯汽車面臨的七種安全威脅以及主要攻擊方法和必要防範措施。
《報告》指出, 智慧網聯汽車遭受的資訊安全威脅主要包括TSP安全威脅、APP安全威脅、T-Box安全威脅、IVI安全威脅、Can-bus匯流排安全威脅、ECU安全威脅、車內通信安全威脅等七種。
TSP安全威脅
TSP是指汽車遠程服務提供者。 TSP作為車聯網產業鏈最核心的環節之一, 為汽車和手機提供內容和流量轉發的服務。
APP安全威脅
實際上, 通用安吉星、克萊斯勒UConnect、賓士MBrace和寶馬Remote均遭受過APP安全威脅。 隨著車主通過手機遠端控制功能更加豐富, 網聯汽車APP安全威脅的風險也有所提高。
T-Box系統安全威脅
T-Box系統的作用主要為遠端控制、查詢和安防服務。 2016年, 研究人員通過更加全面的技術對車聯網核心控制系統T-Box進行了安全分析並成功破解, 實現了對車輛的本地控制及其它車輛遠端操作控制。
IVI安全威脅
IVI 是採用車載專用中央處理器, 基於車身匯流排系統和互聯網服務, 形成的車載綜合資訊娛樂系統。對IVI的攻擊也可分為軟體攻擊和硬體攻擊。軟體攻擊方面可以通過軟體升級方式獲得存取權限,進入目標系統。
Can-bus匯流排安全威脅
汽車電子元器件是通過CAN網路連接的,電子元器件之間通過CAN包進行通信。Can-bus匯流排安全威脅通過逆向工程、模糊測試等方法獲得其通信矩陣並破解汽車的應用層匯流排協定,在不增加汽車執行器的情況下實現對汽車的自動控制功能。也就是說,只要抓住了CAN匯流排,我們就相當於是抓住了汽車的神經,就能對汽車進行控制。
ECU安全威脅
ECU電子控制單元,是汽車專用微機控制器,其作用是是根據其記憶體的程式和資料對空氣流量計及各種感測器輸入的資訊進行運算、處理、判斷,然後輸出指令。
對ECU展開的攻擊可分為前門攻擊、後門攻擊、漏洞利用三種。前門攻擊是劫持原始設備製造商(OEM)的存取機制,對原廠程式設計方法進行逆向工程的攻擊方式; 後門攻擊則使用更為傳統的硬體駭客手段;漏洞利用則檢測並發現非預期存取機制,基於bug或問題執行駕駛人員非預期的功能。
車間通信安全威脅
車聯網是以車內網、車際網和車載移動互聯網為基礎,按照約定的通信協定和資料交互標準,在V-X(V:vehicle,X:車、路、行人及互聯網等)之間進行無線通訊和資訊交換的系統網路。
車間通信安全威脅主要是無線通訊領域的信號竊取、信號干擾等固有安全問題。駭客通過在鏈路層上設置接收器竊取車輛資訊並跟蹤目標車輛。此外,惡意行為人對車間通信的安全性影響也是車間通信安全的威脅之一。
“以前,汽車是孤立的,物理隔離的,因此駭客很難遠端入侵汽車內部控制器,隨著互聯網的進化,汽車受到的遠端網路攻擊就不再是猜想。”劉健皓指出,2016年,智慧汽車遭“入侵”事件增多,駭客不僅能造成車內財物丟失或者車輛被盜,並且可能危及到司機和乘客的生命安全,廠商在設計之初就應該全盤考慮安全問題,將安全放在首位。
記者瞭解到,360智慧網聯汽車資訊安全實驗室是由全球最大的互聯網安全公司360組建,與浙江大學、特斯拉、長安汽車等研究機構、汽車生產企業和汽車資訊安全相關廠商合作,在智慧汽車安全研究方面擁有多項成果,360智慧網聯汽車資訊安全實驗室從2014年開始對國內十多家車聯網廠商進行安全評估。
形成的車載綜合資訊娛樂系統。對IVI的攻擊也可分為軟體攻擊和硬體攻擊。軟體攻擊方面可以通過軟體升級方式獲得存取權限,進入目標系統。Can-bus匯流排安全威脅
汽車電子元器件是通過CAN網路連接的,電子元器件之間通過CAN包進行通信。Can-bus匯流排安全威脅通過逆向工程、模糊測試等方法獲得其通信矩陣並破解汽車的應用層匯流排協定,在不增加汽車執行器的情況下實現對汽車的自動控制功能。也就是說,只要抓住了CAN匯流排,我們就相當於是抓住了汽車的神經,就能對汽車進行控制。
ECU安全威脅
ECU電子控制單元,是汽車專用微機控制器,其作用是是根據其記憶體的程式和資料對空氣流量計及各種感測器輸入的資訊進行運算、處理、判斷,然後輸出指令。
對ECU展開的攻擊可分為前門攻擊、後門攻擊、漏洞利用三種。前門攻擊是劫持原始設備製造商(OEM)的存取機制,對原廠程式設計方法進行逆向工程的攻擊方式; 後門攻擊則使用更為傳統的硬體駭客手段;漏洞利用則檢測並發現非預期存取機制,基於bug或問題執行駕駛人員非預期的功能。
車間通信安全威脅
車聯網是以車內網、車際網和車載移動互聯網為基礎,按照約定的通信協定和資料交互標準,在V-X(V:vehicle,X:車、路、行人及互聯網等)之間進行無線通訊和資訊交換的系統網路。
車間通信安全威脅主要是無線通訊領域的信號竊取、信號干擾等固有安全問題。駭客通過在鏈路層上設置接收器竊取車輛資訊並跟蹤目標車輛。此外,惡意行為人對車間通信的安全性影響也是車間通信安全的威脅之一。
“以前,汽車是孤立的,物理隔離的,因此駭客很難遠端入侵汽車內部控制器,隨著互聯網的進化,汽車受到的遠端網路攻擊就不再是猜想。”劉健皓指出,2016年,智慧汽車遭“入侵”事件增多,駭客不僅能造成車內財物丟失或者車輛被盜,並且可能危及到司機和乘客的生命安全,廠商在設計之初就應該全盤考慮安全問題,將安全放在首位。
記者瞭解到,360智慧網聯汽車資訊安全實驗室是由全球最大的互聯網安全公司360組建,與浙江大學、特斯拉、長安汽車等研究機構、汽車生產企業和汽車資訊安全相關廠商合作,在智慧汽車安全研究方面擁有多項成果,360智慧網聯汽車資訊安全實驗室從2014年開始對國內十多家車聯網廠商進行安全評估。