最新调查结果显示,智能联网汽车明显缺乏必要的安全措施,黑客完全可以控制联网车辆,或者通过汽车获取司机的个人信息。
背景
我们已经进入了科技发展的一个新阶段。每一天,越来越多的新设备连接到互联网,互联网的引入使得智能手表、可穿戴设备、IP冰箱、IP洗衣机都可能遭受黑客攻击,联网汽车的数量每年都在增加,虽然这些汽车都很好地配备了碰撞自动提醒、超速通知以及安全警报功能,但报告显示它们易于遭受黑客攻击,因为目前还未采取充分的措施保护这些联网汽车免受黑客攻击。
黑客已经认识到一个新的攻击平台,这使得联网汽车面临的威胁将越来越大。联网汽车可以使我们的云服务、电子邮件、短信、联系人,以及其他的个人、金融和工作数据易于遭受黑客攻击。通过上面这些服务,攻击者可以确定汽车的位置,同时还可以通过汽车的GPS来锁定它的位置。此外,黑客还可以访问汽车网络对交通造成严重破坏,甚至威胁车辆乘员的安全(FreeBuf相关报道)。
联网汽车的安全风险
联网汽车可以通过C2C(car-to-car,车对车)或C2I(Car-to-Infrastructure,车到机构)连接实时共享信息,它正在慢慢成为物联网的一部分。专家预测,物联网风险今年将大幅度上升,所以在保证这些设备网络安全方面,我们应该采取一种完全不同的新方法。在联网汽车的初步发展阶段,仅仅依靠一些头脑灵活的网络安全专家并不足以应对汽车网络攻击的多样化。我们应该分析并评估如何从互联网或汽车的数据请求中获取数据,因此,重点就落在了云端。
美国交通部认为,设备-设备或V2V(vehicle-to-vehicle)通信将可能实现,使得路上的汽车可以自动交换数据,例如速度、方向等,并可以发送警报以避免事故或交通堵塞。同时,当在车里时,汽车将成为个性化的数字助理。最近,德国汽车公司宣布,他们正在发布汽车的一个无线更新,这利用了汽车中一个基于SIM卡的ConnectedDrive模块,它允许司机远程解锁他们的汽车。但是德国汽车俱乐部ADAC已经逆向了该远程信息处理软件,并提醒说,宝马汽车中的一个漏洞使得可以通过第三方解锁汽车(FreeBuf漏洞分析)。
理论上,黑客能够通过创建一个虚假的移动网络来欺骗汽车解锁,虽然该漏洞存在于220万辆宝马车、Mini和劳斯莱斯中,但还没有证据表明已经有针对该漏洞的利用。尽管公司及时修复了该漏洞,但从这次事件中仍然能够看到联网汽车的安全形式是多么严峻。
通过提供汽车数据传输的安全性,包括通过HTTPS加密汽车数据,宝马汽车已经修复了上述漏洞。然而,问题出现了,为什么之前不采用标准的HTTPS通信技术呢?市场上几乎100%的汽车都包含无线技术,这些技术中可能包含能被黑客攻击或窃取隐私的漏洞。根据Frost&Sullivan的消息,到2020年,汽车将会利用从10到100的所有以太网端口。
商务、科学和运输委员会成员Markey在一份声明中说。
“司机已经依赖了这些新技术,但不幸的是,汽车制造商没有做到他们应做的部分,即保护我们免受网络攻击或隐私入侵。即使现在联网汽车比以往任何时候都多,但目前我们的科技系统和数据安全在很大程度上仍然未受到保护。”
这些联网汽车中的漏洞可以通过一个事件证明,即一个14岁的男孩仅仅花费15美元就能轻松解锁并启动一辆联网汽车。这种汽车在未来几年将不可避免地随处可见,随着人们寻找更安全的驾驶经历,他们的汽车将连接到当地基础设施,例如交通信号和应急服务,但安全问题似乎变得更糟糕。
着手汽车安全
IBM商业价值研究院最近一份题为“驾驶安全:下一代汽车的网络保障”的研究中指出,当创建联网汽车特性时,汽车厂商和合作伙伴应该专注以下三个领域:
1. 设计安全的汽车:安全始于汽车。在汽车的设计过程中,应该专注于安全多于注重功能,这意味着,一旦离开了汽车生产线,就要检测每一个组件、子系统和汽车连接的网络可能带来的风险和威胁。每一个软件和硬件组件以及系统都要以安全为第一要求来设计。
2. 创建安全的网络:在汽车连接的网络系统中,安全必须放在第一位,并深入到每个组成部分的设计中。应该使用加密通信,所有提供连接高速公路、汽车和设备服务的组织,都要保证他们网络的安全性,并时刻监视流量来检测可疑活动。
3. 加强车辆配置:在二十世纪50和60年代,是由机械工程师来设计汽车控制系统;而现在却是依靠一台电脑。典型的豪华车包含大约1亿行代码的软件,而这些软件由70到100个电子控制单元管理。这些曾经是封闭的系统,当时只需一个工具箱和一个修理工就可以篡改它。然而,现在通过移动网络、蓝牙、USB接口,甚至近场通信传感器将汽车对外开放,毫无疑问,汽车正在面临远程攻击的风险。为此,这些联网汽车应该在以下方面加强安全措施:
(1)加密传输和存储的数据
(2)实施适当的云安全控制
(3)访问控制机制
(4)强化操作系统安全
(5)对应用程序进行渗透测试
最近,Oracle公司开发了一个平台,利用该平台可以利用Java为汽车开发应用程序。同样的,高通、AT&T以及其他公司也正在专门为联网汽车开发新平台。利用发达的科技,我们正在为黑客创建一个全新的攻击平台。汽车安全的未来将取决于现在为联网汽车积累的安全意识以及安全发展。