车联网安全威胁加剧
随着新一代信息通信技术在交通领域落地,尤其是车联网的加快应用,车与车、车与路、车与人、车与网络之间数字化连接程度将越来越高,随之而来的安全风险也在增大,这对车辆信息和数字安全产生了更高的要求。
事件起因:
8月22日晚和23日凌晨
上海有不少车主
遭遇车内显示屏出现“路上有枪战”的交通警告提示
且提示的区域涉及范围较广!!!
以下为网传截图和微博图片
以上图片来源聊天群*****
有网友表示
有多个汽车品牌的汽车如此显示
“好多车都收到了这样的提示”
有多家知名媒体向上海市公安局求证获悉,本市没有发生枪战警情。
对于车辆导航的错误提示,有业内人士认为可能是翻译问题,不排除黑客攻击可能。
“很可能是车载系统出现了故障或者遇到黑客攻击。在正常情况下,导航软件不会推送这类信息,因为绝大多数导航软件本身并不撰写信息,如果进行推送,也是推送权威渠道的信息。”某导航软件技术人员向上海辟谣平台介绍。
相关“枪战”信息没有出处且并非出现在所有车型上,所以大概率是系统故障(bug)或黑客攻击。
有了官方的反馈,大家不信谣!!!不传谣!!!
车联网以数据为纽带,推动“人、车、路、云”等要素高效协同,是智慧交通系统的核心组成部分。根据中国通信学会最新的定义,车联网(V2X)是实现车辆与周围的车、人、交通基础设施和网络等全方位连接和通信的新一代信息通信技术。车联网(V2X)包括车与车之间(V2V)、车与路之间(V2I)、车与人之间(V2P)、车与网络之间(V2N)等。车联网涉及环节众多,存在多种安全威胁。简而言之,主要有以下几方面的安全问题:
智能汽车安全威胁|图片来源于网络
01
通信安全
通信安全可以大致分为车内网络通信安全与远程通信安全。车内网络通信主要指CAN总线、LIN总线等总线通信以及蓝牙、红外线等无线通信方式,CAN总线以方便灵活的高效通讯方式著称,但使用广播明文进行信息传输,面临攻击者监听报文、注入或篡改数据的风险。车内网络处于密闭空间,威胁往往来自于乘客使用不安全的设备,如果乘客在不知情的情况下使用被黑客入侵的设备,如被控制的智能终端,可通过蓝牙连接到车内网络,进而影响车辆安全。而远程通信则包括移动网2G/3G/4G/5G、卫星导航等通信方式。在远程通信中,网络拓扑结构是会随车辆移动而发生变更,面临网络拥塞等问题,如果对时效性要求较高的安全信息一旦传输失败,会对车辆乃至路人造成威胁。
02
软件安全
车载信息交互系统主要依赖于应用软件,一方面车载软件动辄上亿行代码,即便开发团队能很好地控制代码缺陷和漏洞数量,但抵不过量级过大,所存风险难以预测;另一方面,部分汽车厂商基于成本考虑,会使用一些开源通用的系统或软件,如果系统和应用本身的缺陷一旦被利用,对车辆的安全性能也将造成严重影响。
03
数据安全
智能汽车被称为一台快速移动的超级电脑,数据采集、传输、传输集于一身。车辆各类摄像头传输车内外环境信息、导航仪和雷达记录每次车辆出行的轨迹,无论是作为终端数据存储还是上传云端存储,智能汽车关联着大量数据。如果有人利用这些交互数据,便可绘制高精度地图、制作用户商业画像、掌握乘客的一举一动。敏感数据一旦被泄露,乘客的位置隐私、用户数据隐私、身份隐私便无从谈起。此外,大量个人隐私数据以及国内高精地图数据是否会通过错综复杂的车联网跨境传播,甚至对国家安全造成威胁,也要打上个大大的问号。要解决这些隐患,还需进一步建立健全相关的标准法规。
04
配套设施安全
智能汽车的配套设施也存在众多隐患。以车控手机APP和智能汽车充电桩为例,目前市面上要通过手机APP绑定智能汽车的情况并不少见。车主往往利用手机APP连接车内控制模块,用来实现对车辆开锁、寻车、预热预冷等功能。但这部分手机APK的安全强度并不乐观,黑客可通过对APK流量解密,调用控制接口,监听或劫持对话;而智能充电桩采用传统以太网、或无线传输网来控制汽车充电电压,在网络内部缺乏防护,如果黑客通过网络成功入侵充电桩,便能对电压、充电金额进行篡改。
汽车安全的边界也从传统的物理世界延展到虚拟网络世界,安全风险与日俱增。这将改变整个汽车产业的商业生态体系。在过去,传统车企围绕制造端、供应商上下游来增加价值,而现在车企亟需寻求庞大的外部服务来拓展自身价值链条,其中就包含网络安全服务。可以看出,在这片商业蓝海中,时代机遇与艰巨挑战并存。当智能汽车成为未来市场主流时,安全问题将越发严峻。世上没有绝对安全的系统,任何事物中都包含有不安全因素。人类要解放驾驶中的双手,将生命安危交托于人工智能的大前提,那便是充分的安全保障。
从攻击技术的角度来看,车联网安全涉及到WEB安全,协议安全,无线安全,内核安全,移动端安全等,攻击者通常可以从多个攻击面挖掘漏洞,进而结合车联网框架的一些特性进行漏洞利用,比如实现汽车操控。根据工信部去年10月披露数据,已收录车联网安全漏洞信息超过2000条,包括车载智能网关、远程通信等漏洞。
车企安全意识和能力仍有提升空间
不过,相比于日益严峻的车联网安全形势,整车厂商的安全能力仍然滞后。一位信息安全行业人士评价,目前市面上大部分车型在信息安全防护方面水平偏低,车内相关联网部件及控制部件防护可靠性不高、且缺失一定的安全策略,这可能会导致车内敏感信息的泄露或被篡改、车辆行驶中的异常行为、甚至有可能危及人的生命安全。
“目前,车联网安全市场呈现碎片化、界线强等特点,数据难以打通,”上述人士表示,传统互联网安全已经无法应对车联网安全风险,亟需一种包括安全咨询、产品设计、安全开发、安全测试、运营监管等在内的一体化、可持续、闭环生态式的安全保障体系。
有业内专家认为,车联网上下游企业安全技术参差不齐,部分整车厂商对车联网安全的重要性认识也有待提高。“对车企而言,安全能力是很难‘一下子就上手’的,因为信息安全能力需要相当长时间的经验、沉淀,尤其要动态研究最新的安全威胁并有能力给出解决方案,当然也需要相当大的成本投入。如果不是从底层安全架构、从车联网平台自身安全开始架构和规划,仅采用‘打补丁’的方式解决安全问题并不可取。”
工信部发文
工信部在2021年工作会上强调:部署加强车联网网络安全和数据安全工作,在网络安全和数据安全基本要求、加强智能网联汽车安全防护、加强车联网网络安全防护、加强车联网服务平台安全防护、加强数据安全保护、健全安全标准体系等六方面提出17项具体要求。
工信部明确,各相关企业要建立网络安全和数据安全管理制度,明确负责人和管理机构,落实网络安全和数据安全保护责任。加强汽车、网络、平台、数据等安全保护,监测、防范、及时处置网络安全风险和威胁,确保数据处于有效保护和合法利用状态,保障车联网安全稳定运行。
此外,工信部明确,车联网服务平台运营企业要采取必要的安全技术措施。涉及在线数据处理与交易处理、信息服务业务等电信业务的,应依法取得电信业务经营许可。
工信部将加快车联网安全标准建设,加快编制车联网网络安全和数据安全标准体系建设指南。