2016 CSS | 除了功能性安全外,汽車的信息安全到底有多重要?

*圖片來自網絡

汽車安全並不是傳統意義上的「汽車功能性安全」。在過去,汽車廠商們都致力於將汽車功能做得更加安全,以保證駕駛員和乘客的人身安全。

但是,汽車行業在發展,越來越多聯網汽車、智能汽車的概念在我們生活里出現。這一趨勢帶來的隱患是——汽車一旦接入網絡,正如潘多拉打開了魔盒,將會帶來許多無法預知的危險。

這並非聳人聽聞。

在今年舉辦的騰訊互聯網安全領袖峰會上,騰訊安全科恩實驗室安全研究員薛瑋向我們分享了汽車信息安全方面的話題。他提到,在未來,汽車有 15 個攻擊面。

比如 Smartphone(智能手機),汽車廠商將無鑰匙功能開發成一個手機 App,這當中帶來的問題是,手機會不會有任何可能性被黑客利用?如果手機被黑客利用,手機 App 還是否安全?薛偉提到,最近也有黑客在研究榮威 RX5,通過挾持手機 App 來讓車打開車門車窗。

面對可能遭受攻擊的汽車,TPMS(胎壓監測系統)也可能成為入口。比如,黑客可以侵入 TPMS 系統,讓胎壓顯示值過低。薛瑋說,某些車輛有這樣一個邏輯:在高速路上行駛,胎壓過低就會自動剎車,從而對用戶造成危險。

而 DSRC 系統(V2X 技術),這是一個車與車、車與公共交通設施、車與行人的通訊技術,能夠發送和讀取與車、道路相關的信息。如果黑客參與到這樣的環節,通過偽造信息讓車輛進行緊急剎車,從而間接或直接控制這輛車,將有可能造成交通事故。

今年 9 月,科恩實驗室發佈了對特斯拉無接觸式遠程攻破。通過這種控制剎車無接觸式遠程攻破,科恩團隊可以將車輛的轉向助力或者剎車助力消除,造成的影響是車輛在行駛過程中方向盤無法轉動,也無法剎車,並且能在行駛的過程中打開天窗和摺疊鏡。

面對上述不安全因素或者安全漏洞,有汽車廠商已經開始行動。

據薛瑋的講述,特斯拉早已建立了一套完善的應急響應流程,並設立專門基金來獎勵發現安全漏洞的團隊,獎金從 1000 到 10000 美金不等。這種激勵方式也是鼓勵研究人員以及白帽子發現更多汽車安全漏洞。

在分享的最後,薛偉提出,建設汽車信息安全的四要素:專業安全、安全工程、安全保護以及安全策略。

薛認為,在汽車軟件開發上也可以借鑒之前互聯網的成果,比如 SDL、CMM 等標準。如今,SAE(美國汽車安全協會)也已經推出了汽車信息安全指南,這是一個框架性的協議,能夠幫助汽車廠商完善自己的信息安全。

作為傳統汽車廠商的代表,北汽集團技術研究院副院長榮輝給出了自己的看法。他認為將來汽車是靠軟件、系統控制。所以,軟件錯誤和系統故障的錯誤必然會影響到汽車安全。

榮輝認為,各大汽車研究院在設計汽車的時候,根本就沒有考慮到一個問題:軟件要根據汽車的特點重新設計。常見的做法是發現一個新功能就加進來,越加越多,導致汽車上的代碼居然達到了1 億行。他說,汽車在將來一定面臨軟件要重新設計的過程。

比如,一輛 S-Class Mercedes 有 1 億行代碼,有上百個 ECU,5 個網絡。

CMM 模型(CMM 是軟件能力成熟度模型)規定:每千行代碼不得超過千分之零點三二,換句話說,每 1 萬行代碼,會出現 3.2 個軟件缺陷(Bug)。按照安全界經驗,每 10 個普通的軟件缺陷(Bug)里就會存在 1 個安全漏洞,可能會被不法黑客利用。而這 1 億行代碼中,則存在 32000 個漏洞可能被黑客所利用。

面對潛在風險,北汽的做法是打造「閉環」來維護汽車信息安全,即:從最基礎的元件到整個產品設計到研發、到生產整個過程當中,試圖建立一個閉環。

榮輝提到,從 CPU 到主板,到傳感器傳送的信息,通過搭建一個中間件,將頂層和底層系統隔離開,這樣的好處是底層操作系統升級時,所有應用可能不用進行更改。

「汽車安全其實是一個藍海,汽車行業在信息安全方面是剛開始啟蒙。」騰訊安全科恩實驗室總監呂一平告訴我們。

羅蘭貝格汽車行業中心專家時帥表示,汽車安全其實也帶來了機會。他說,預計到 2023年 裝載汽車防火牆的汽車將達到 1.8 億輛,帶來的價值是 7.6 億美元。這其中,大概一半是來自防火牆,另一半是許可、認證等服務。

面對這樣一個潛力市場,該如何思考和行動?時帥拋出了 5 個問題:

  • 是否應該或可以從哪個領域切入智能網聯汽車安全的市場,是汽車網絡安全的硬件、軟件解決方案還是服務?

  • 如何切入該市場,是自主開發系統性解決方案,還是尋求借力於日益開放的生態圈中的合作夥伴的能力?或是以收購的方式獲得能力?

  • 應當與誰合作共贏實現安全問題的解決並創造價值?是整車生產企業,TSP 供應商,還是互聯網公司?

  • 何時是最佳的市場機遇?能夠快速地覆蓋多數消費者並建立競爭優勢?

  • 應該以何種方式對相關的安全產品、解決方案與服務進行定價?相關收費產品應當找誰買單?

在業內,一個普遍認同的趨勢是:2018 年後上市的的汽車,基本上都有網聯功能;到 2021 年後,隨着自動駕駛、無人駕駛的引入,將會給整個汽車行業帶來革命性變化。除了以前汽車廠商較為注重的功能安全外,汽車的信息安全將愈發重要。


想在手機閱讀更多css資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems