您当前的位置 : 行业动态

车联网在提供便利的同时,暴露了哪些安全隐患?

来源: 雅斯顿  作者:
2020-09-14 09:05:29
分享:

  近日,工信部网络安全管理局局长赵志国在2020中国汽车产业发展(泰达)国际论坛上表示,网络攻击正在向车联网领域发展。「今年以来,发现整车企业车联网信息服务提供商等相关企业和平台的恶意攻击,达到280余万次,平台的漏洞、通信的劫持、隐私泄露等问题十分严重。」

  「同时,从车联网企业网络安全实际看,产业链相关企业,特别是传统车企,网络安全意识不强,防护能力不足,安全投入不够等问题也比较突出。去年汽车行业85%的车联网关键部件都存在漏洞,ID存在身份鉴别等问题,超六成企业缺乏车联网安全应对手段。」

  可见,随着汽车智能化、网联化进程的不断加快,车联网网络安全问题正日益严峻。不过最让人感到无奈的还是传统车企对信息安全的忽视,以及人们对安全认识的不足。

  就好像之前李彦宏直言不讳的说「中国人愿意用隐私换取某些便利」一样,似乎认为中国人并不在乎隐私。但大部分人对于这一说法其实是非常气愤的,还有一部分人可能确实不在意,却也仅仅是因为他们根本不知道隐私的泄露会对生活产生多大的影响。

  不妨设想一下:当你的身份信息、行车轨迹、通话记录、驾驶行为、家庭住址等都不再有保密性,甚至你在车里做什么、说什么都可能被「监控」,且这一切可以被转化的数据信息,随时随地可以被企业或者网络黑客调用,但你对此又毫不知情,有何感受?也许有人会说这是危言耸听,可惜并不是。

  根据Upstream Security在年初发布的2020年《汽车网络安全报告》显示,自2016年至2020年1月,汽车网络安全事件的数量增加了605%,仅2019一年就增长了一倍以上。在2019年的事件中有 82%涉及短程和远程攻击,这些远程攻击不需要物理访问车辆,并且可以在世界任何地方进行。且2019年,有57%的事件是由网络罪犯以破坏业务,窃取财产和索要赎金进行的;仅有38%是研究人员所为,其目的是警告公司和消费者发现的漏洞。

  另外在所有事件中,有三分之一的犯罪涉及无钥匙进入攻击:在过去十年中,前三大攻击媒介分别是无钥匙进入系统(30%),后端服务器(27%)和移动应用程序(13%);安全事件造成的后果位列前三的分别是汽车盗窃/入侵(31%),对汽车系统的控制(27%)以及数据/隐私泄露(23%)。在过去的十年中,包括原始设备制造商、远程信息处理和售后市场服务提供商、乘车共享服务,以及财产和私人信息被盗的消费者都受到了影响。

  Upstream Security副总裁Oded Yarkoni也表示:「整个行业面临的威胁是真实的,而且越来越普遍。」特别是随着智能网联汽车的增多,每次被攻击的潜在破坏力也在增加。

  2015年Jeep大切诺基车载娱乐系统被曝存在漏洞,两名黑客远程破解并控制了刹车与转向系统,Jeep公司为此召回了140万辆汽车,损失巨大,这也是首起因信息安全问题引发的汽车召回;2015年国内某汽车厂商的云服务也曾被爆存在漏洞,可导致车主信息泄露和汽车被远程控制。

  2017年 6月,美国某经销商集团数据库遭到攻击,涉及多个品牌超过1000万辆汽车的销售数据泄露;2017年12月,日产汽车官方宣布旗下的金融公司数据库数据信息遭到黑客窃取,客户姓名、家庭住址、车辆品牌和型号,甚至信用评分及贷款金额都在窃取范围内。

  2019年发生的 特斯拉Model S入侵事件。黑客仅通过远程入侵,就可以控制车辆的终端系统,通过Model S存在的漏洞打开车门并开走,此外还能向Model S发送「自杀」命令,在车辆正常行驶中突然关闭系统引擎。

  欧洲两所大学的研究人员甚至表示,通过无线模块和天线,可以跟踪一个小城市里的所有车辆,跟踪成本不足50万美元。

  360发布的《2019智能网联汽车信息安全年度报告》更是指出,2019年已经出现了两种新型网络攻击方式,数字车钥匙漏洞也让汽车安全存在更多隐患。

  两种新型网络攻击方式为:1、黑客获取智能汽车的T-Box通讯模块后,即可通过通讯模块接入车厂私有网络,进而攻击车厂内网导致TSP沦陷。2、通过使用一种名为Worley的噪音(Worley噪声能够模拟石头,水或其他噪音的纹理)生成函数,通过加补丁的方式生成所需的对抗样本图片,以此启动汽车的自动雨刮器;在道路上贴上对抗样本贴纸,则能误导自动驾驶系统,使车辆行驶到对面的车道造成逆行。

  可以毫不夸张的说,汽车已成为用户个人信息泄露的「重灾区」,车联网的安全威胁已贯穿整个网络架构。因为每一辆联网的汽车都有一个控制器区域网络(CAN),它就像身体的神经系统一样,给不同的系统发号施令,例如控制转向系统、制动系统、车载信息娱乐系统等等。而车机系统作为车主经常使用的电子设备,最易受到网络黑客的攻击。比如,黑客可以访问CAN远程向车机系统发送指令以窃取个人数据、跟踪某辆汽车或整个车队,甚至操控车内更关键的系统,如汽车引擎。

  确实,现实情况很严峻,但车联网的安全问题各国也一直在想办法改善。除了政府部门的立法和监督以外,越来越多的汽车企业开始采用漏洞赏金猎人的方式来改进。这些漏洞赏金猎人向发现漏洞并将漏洞报告给所有者公司的研究人员(白帽黑客),然后以此得到补偿,这也是企业信息安全中非常流行的方式。

  相比手机,汽车对于人身安全的威胁性要高得多,这是毋庸置疑的。而在隐私方面,随着越来越多厂商使用生物识别技术收集用户驾驶习惯、使用偏好等数据,消费者肯定希望能够清楚地了解到这些信息是如何存储使用的。因为在互联网环境下,不管是什么信息被采集,就一定会有数据库,就有可能被截获、重构、重放。如果指纹、虹膜等生物信息也被黑客或犯罪分子获取,后果将不堪设想。

  本文由长城网汽车频道内容合作方“雅斯顿”授权转载。

关键词:车联网,安全隐患责任编辑:刘复宁