我应该拿什么来保护你?亲爱的自动驾驶汽车
(图片来源:Waymo)
这是一个自动驾驶的时代。
汽车正在每日通勤的道路上自动行驶着,你坐在后座,手里拿了最新的电子设备,查看今日新闻,面向你的一个小茶几上还放着一杯温暖的茶,有几缕阳光从车窗渗进来,犹如安坐在家里的阳台一样。突然,杯子有些摇晃,茶水洒了一些出来,接着,车子完全被其他人控制,在道路上逶迤前行,前方就是一栋高大的建筑物,你知道,汽车被黑客入侵了,可是已经来不及去控制车辆了……
这一切听起来像是电影中发生的场景。然而,自从车辆可以联网以来,汽车就面临着被黑客入侵,最终被其他人控制的危险。
大量入侵汽车案例
早在2014年,有一位名叫Andy Greenberg的记者曾开着一辆2014款Jeep Cherokee行驶在高速公路上,突然,车载空调吹出强冷风,音响开始用最大音量播放Kanye West的专辑,温度调节和音量调节功能也全部失灵。随后,两名黑客的照片出现在汽车显示屏中,风挡清洁液喷出,雨刷开始以最大频率工作。而且黑客还指挥Greenberg将车在高速公路上停下,虽然Greenberg好不容易将车开离了高速公路,黑客们又设法让刹车失灵,最后甚至接管了汽车的控制权……而且此事导致菲亚特公司召回了大量具有安全隐患的汽车。
2016年,腾讯科恩实验室宣布成功以远程无物理接触的方式入侵了特斯拉汽车。入侵成功后,科恩实验室可以将特斯拉的中控大屏和液晶仪表盘更换为实验室的Logo,而且所有触摸操作都失效。当车辆处于停车状态时,实验室可以远程解锁车辆、打开车窗、转向灯和调节座椅等;当车辆处于运行状态时,实验室可以启动雨刷、收起后视镜、打开后备箱等(特斯拉在正常行驶中无法做到这些)。甚至,实验室还可以远程刹车,突然将特斯拉汽车刹停,而且在刹车途中,刹车灯也不亮,车门却处于解锁状态。
2018年,有一位特斯拉Model 3车主入侵了自己的汽车。Model 3车型的工厂模式拥有一个工具箱界面,可以显示与动力总成相关的参数信息。该名车主入侵该模式之后,发现了很多车辆参数信息,而且获得了车辆的性能参数。此前,还有一位名为Mike的车主也让后座的技术人员担当黑客,入侵自己的汽车。当车辆正常启动之后,挡风玻璃突然喷起来水,雨刷也开始动起来,随后门锁弹开,仪表盘也失去控制,甚至刹车也被“黑客”通过电脑控制。
就在今年,腾讯科恩实验室再次入侵了特斯拉汽车,成功对特斯拉的固件进行了攻击,包括远程控制方向盘。实验室人员编写了一个应用程序,让他们能够将视频游戏控制器与移动设备相连,控制目标车辆;并且采用对抗样本,对特斯拉汽车的神经网络做出非常小、且大多无法被人察觉的改变,导致机器学习系统发送严重错误。甚至,实验室人员还攻击了特斯拉自动驾驶系统Autopilot的车道检测系统。在车道标记上增加干扰,欺骗自动驾驶系统,让其无法检测车道,最终驶入了反向车道。
诸如此类的事例其实还有很多,只是目前,大多数都是不具危险性的白帽黑客,针对车辆的漏洞,进行攻击,最终目的还是为了保护汽车的安全。
入侵车辆方法
不过,从黑客们入侵汽车的手法,我们可以了解到车辆的入侵方法:2014年入侵Jeep Cherokee车型的黑客是通过无线连接的方式攻击该车,通过哈曼汽车音响进入了车辆的网络,然后以Sprint的蜂窝网络联机入侵了汽车内部。之后,黑客还表示CAN网络是整个汽车安全链中最弱的环节,而且网联汽车中共有15个容易遭受黑客入侵的攻击点,包括USB、蓝牙、DSRC接收器(V2X)、免钥匙进入系统、遥控锁、ADAS系统ECU、车灯系统ECU、引擎与传动ECU、转向与刹车ECU、车辆接取系统EUC、远端链路App、安全气囊EUC、OBD II以及智能手机。只要任意攻击这15个点,就可以成功入侵汽车。
而且360智能网联汽车信息安全实验室在发布的《2016智能网联汽车信息安全年度报告》中,也提到车辆面临以下七大安全威胁:TSP(汽车远程信息服务)安全威胁 、APP安全威胁、T-Box(远程控制、查询与安防服务)安全威胁 、IVI(车载综合信息娱乐系统)安全威胁、Can-bus总线安全威胁、ECU安全威胁、车间通信安全威胁。
从上述的例子中我们已经知道,一旦汽车被黑客入侵,带来的危害将会有多大。不过除了上述跟汽车有关的伤害之外,车主们还应该想到,如果汽车还跟家庭设备联网了,那么黑客还能够控制家中设备,进入家中行窃;或者黑客可以获取大量的车主个人信息,然后跟踪车主实施抢劫或攻击等犯罪行为,甚至将车辆重新导航至更易实施犯罪的地点等。
与此同时,各种数据就在告诉我们网联汽车和自动驾驶汽车才是未来。据KBV研究公司发布的相关报告显示,到2023年,全球联网汽车市场的规模预计将达到2562亿美元,在此期间,市场的复合年增长率为31%;美国研究机构Allied Market Research表示,2019年全球自动驾驶汽车市场价值将达到542.3亿美元,而这一数字到2026年将增至5566.7亿美元,这期间的复合年增长率高达39.47%;据商业信息提供商 IHS Markit的最新研究和预测显示,到2024年,全球将生产1120万辆配备某种V2X系统(一种网联技术)的轻型车,占轻型汽车总数的12%。IHS Markit预计,2019年,配备了V2X系统的轻型车产量将略低于15000辆;在2024年,将以年复合增长率(CAGR)为277.5%的速度增长;IHS Markit还曾估计到2035年时,销售的新车中将有大约10%是自动驾驶的,每年产量总数可达到1180万辆。2050年之后,售卖的所有新车将几乎都是自动驾驶的……种种数据都告诉我们,如果要顺应时势,首先保护网联汽车和自动驾驶汽车的网络安全就是重中之重。不过,现在无论是国家还是企业都在各展神通,保证网联、自动驾驶汽车的安全。
国家层面的应对措施
英国为自动驾驶汽车发布全球首个网络安全标准 防自动驾驶汽车被攻击
英国标准协会公布了新网络安全标准指南,而且该指南由捷豹路虎、福特、宾利等车企以及英国国家网络安全中心的学者和专家共同编写,由英国运输部提供资金支持。该指南会研发自动驾驶技术的公司设置了标准,列出了自动驾驶汽车网络安全的关键原则,如希望自动驾驶系统经过设计能够抵御网络攻击,而且在防御失败时还能够适当做出回应。
43.7万元!日本研究自动驾驶汽车网络安全威胁
日本国家警察厅表示,日本当局打算拨款7百万日元(约合43.7万元人民币),展开一项针对自动驾驶汽车网络安全威胁的研究,旨在分析自动驾驶汽车可能会遇到的网络攻击。而且国家警察厅还列举了黑客攻击风险,以及其他针对自动驾驶车辆的网络攻击行为。
中国国家发改委发布《智能汽车创新发展战略》(征求意见稿)
中国国家发改委发布了《智能汽车创新发展战略》,其中表示要构建全面高效的智能汽车信息安全体系,保障车联网网络安全产业的健康有序发展。还提出完善信息安全管理联动机制,明确相关主体的安全管理责任,定期开展安全监督检查;从云、管、端全方位加强信息安全系统防护能力;加强数据安全防护管理。建立智能汽车数据全生命周期的安全管理机制,加强数据安全监督检查,开展数据风险、数据出境安全等评估工作,加强管理制度建设。
美国交通部发布汽车网络空间安全加固指南
美国高速公路安全管理局(NHTSA)也发布了汽车网络指南《DOT汽车行业网络空间安全指南》。该指南提供了多层次的安全防御方案,确保即使汽车遭受黑客入侵,也不会危害乘客人身安全,推荐对关键的机动车控制系统和用户个人数据采取基于风险管理的方法,提高其优先级。此外,《指南》建议车企将网络安全管理覆盖到整个机动车产品和生产设施的生命周期,并鼓励车企自我审计安全问题并与同行共享安全最佳实践。除了产品开发环节外,《指南》还对汽车厂商研究、调查、测试和实施网络安全方法给出了指导建议和最佳实践案例。
德国汽车工业协会(VDA)成立了VDA信息安全委员会
此前,德国汽车工业协会(VDA)成立了“VDA信息安全委员会Information Security Committee”,开发了一个关于信息安全的标准ISA。VDA信息安全委员会始终致力于开发成熟的适用于汽车行业的信息安全要求,而且VDA ISA逐渐成为汽车行业信息安全的行业标准。
国际标准组织3GPP、SAE和ISO
3GPP(通信第三代合作伙伴工作组)对V2X(车联网)的技术建立了信息安全技术要求,以保障通信层面的安全。一直致力于汽车安全标准的SAE(汽车工程师学会)与ISO(国际标准化组织)形成了联合工作组,在ISO/SAE TC22中起草了ISO 21434国际标准,主要约束汽车信息安全方面的问题。
网络安全公司的应对措施
在打击黑客入侵网联和自动驾驶汽车方面,不仅有车企在积极参与,有些网络技术公司就专攻防止汽车被入侵的技术。
美国初创公司Karamba Security
汽车和企业边缘网络安全领导者Karamba Security是一家美国公司,于2015年成立。该公司的四位创始人均为以色列高科技电子和软件行业内的资深人士,在打击网络入侵方面经验丰富。
Karamba Security推出多种安全套件,以确保网联系统的安全。如Karamba SafeCAN
- 标签:
- 编辑:孙子力
- 相关文章