*图片来自网络
汽车安全并不是传统意义上的「汽车功能性安全」。在过去,汽车厂商们都致力于将汽车功能做得更加安全,以保证驾驶员和乘客的人身安全。
但是,汽车行业在发展,越来越多联网汽车、智能汽车的概念在我们生活里出现。这一趋势带来的隐患是——汽车一旦接入网络,正如潘多拉打开了魔盒,将会带来许多无法预知的危险。
这并非耸人听闻。
在今年举办的腾讯互联网安全领袖峰会上,腾讯安全科恩实验室安全研究员薛玮向我们分享了汽车信息安全方面的话题。他提到,在未来,汽车有 15 个攻击面。
比如 Smartphone(智能手机),汽车厂商将无钥匙功能开发成一个手机 App,这当中带来的问题是,手机会不会有任何可能性被黑客利用?如果手机被黑客利用,手机 App 还是否安全?薛伟提到,最近也有黑客在研究荣威 RX5,通过挟持手机 App 来让车打开车门车窗。
面对可能遭受攻击的汽车,TPMS(胎压监测系统)也可能成为入口。比如,黑客可以侵入 TPMS 系统,让胎压显示值过低。薛玮说,某些车辆有这样一个逻辑:在高速路上行驶,胎压过低就会自动刹车,从而对用户造成危险。
而 DSRC 系统(V2X 技术),这是一个车与车、车与公共交通设施、车与行人的通讯技术,能够发送和读取与车、道路相关的信息。如果黑客参与到这样的环节,通过伪造信息让车辆进行紧急刹车,从而间接或直接控制这辆车,将有可能造成交通事故。
今年 9 月,科恩实验室发布了对特斯拉无接触式远程攻破。通过这种控制刹车无接触式远程攻破,科恩团队可以将车辆的转向助力或者刹车助力消除,造成的影响是车辆在行驶过程中方向盘无法转动,也无法刹车,并且能在行驶的过程中打开天窗和折叠镜。
面对上述不安全因素或者安全漏洞,有汽车厂商已经开始行动。
据薛玮的讲述,特斯拉早已建立了一套完善的应急响应流程,并设立专门基金来奖励发现安全漏洞的团队,奖金从 1000 到 10000 美金不等。这种激励方式也是鼓励研究人员以及白帽子发现更多汽车安全漏洞。
在分享的最后,薛伟提出,建设汽车信息安全的四要素:专业安全、安全工程、安全保护以及安全策略。
薛认为,在汽车软件开发上也可以借鉴之前互联网的成果,比如 SDL、CMM 等标准。如今,SAE(美国汽车安全协会)也已经推出了汽车信息安全指南,这是一个框架性的协议,能够帮助汽车厂商完善自己的信息安全。
作为传统汽车厂商的代表,北汽集团技术研究院副院长荣辉给出了自己的看法。他认为将来汽车是靠软件、系统控制。所以,软件错误和系统故障的错误必然会影响到汽车安全。
荣辉认为,各大汽车研究院在设计汽车的时候,根本就没有考虑到一个问题:软件要根据汽车的特点重新设计。常见的做法是发现一个新功能就加进来,越加越多,导致汽车上的代码居然达到了1 亿行。他说,汽车在将来一定面临软件要重新设计的过程。
比如,一辆 S-Class Mercedes 有 1 亿行代码,有上百个 ECU,5 个网络。
CMM 模型(CMM 是软件能力成熟度模型)规定:每千行代码不得超过千分之零点三二,换句话说,每 1 万行代码,会出现 3.2 个软件缺陷(Bug)。按照安全界经验,每 10 个普通的软件缺陷(Bug)里就会存在 1 个安全漏洞,可能会被不法黑客利用。而这 1 亿行代码中,则存在 32000 个漏洞可能被黑客所利用。
面对潜在风险,北汽的做法是打造「闭环」来维护汽车信息安全,即:从最基础的元件到整个产品设计到研发、到生产整个过程当中,试图建立一个闭环。
荣辉提到,从 CPU 到主板,到传感器传送的信息,通过搭建一个中间件,将顶层和底层系统隔离开,这样的好处是底层操作系统升级时,所有应用可能不用进行更改。
「汽车安全其实是一个蓝海,汽车行业在信息安全方面是刚开始启蒙。」腾讯安全科恩实验室总监吕一平告诉我们。
罗兰贝格汽车行业中心专家时帅表示,汽车安全其实也带来了机会。他说,预计到 2023年 装载汽车防火墙的汽车将达到 1.8 亿辆,带来的价值是 7.6 亿美元。这其中,大概一半是来自防火墙,另一半是许可、认证等服务。
面对这样一个潜力市场,该如何思考和行动?时帅抛出了 5 个问题:
-
是否应该或可以从哪个领域切入智能网联汽车安全的市场,是汽车网络安全的硬件、软件解决方案还是服务?
-
如何切入该市场,是自主开发系统性解决方案,还是寻求借力于日益开放的生态圈中的合作伙伴的能力?或是以收购的方式获得能力?
-
应当与谁合作共赢实现安全问题的解决并创造价值?是整车生产企业,TSP 供应商,还是互联网公司?
-
何时是最佳的市场机遇?能够快速地覆盖多数消费者并建立竞争优势?
-
应该以何种方式对相关的安全产品、解决方案与服务进行定价?相关收费产品应当找谁买单?
在业内,一个普遍认同的趋势是:2018 年后上市的的汽车,基本上都有网联功能;到 2021 年后,随着自动驾驶、无人驾驶的引入,将会给整个汽车行业带来革命性变化。除了以前汽车厂商较为注重的功能安全外,汽车的信息安全将愈发重要。
。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/107769.html