8月27日,在2014中国互联网大会暨2014中国互联网智能交通应用论坛上,360网络安全攻防实验室资深安全技术顾问刘健皓,发表了主题为《智能汽车安全威胁分析与建议》的技术型分享,旨在通过技术讲解使参会者了解智能汽车存在的安全隐患,他表示,智能汽车使传统网络安全问题向现实世界扩散,可能影响用户的生命财产安全,因此其安全问题不容忽视。
图:360网络安全攻防实验室资深安全技术顾问刘健皓
首先,刘健皓向与会者介绍了360网络安全攻防实验室相关智能汽车的研究方向。他表示,当前智能汽车与车联网正在成为业界热点,很多IT厂商、汽车厂商正在致力于提升汽车的智能化程度,这对于消费升级和经济发展都有积极意义,但安全风险也不容忽视。智能汽车使传统网络安全问题向现实世界扩散,用户在驾车过程中面临网络攻击的威胁,可能引发车辆失去控制、拒绝服务等严重情况,影响用户生命财产安全。
刘健皓通过一个真实的案例提醒与会者重视智能汽车的安全问题:棱镜门事件中,美国政府审计局在调查中无意中发现了一个汽车制造厂商在操控用户信息,之后有个美国记者参与调查这个事件,但在调查过程中死于汽车故障造成的意外事故。美国的汽车安全圈子中有一些声音认为,这位记者可能死于“汽车暗杀”。听起来这是非常可怕的,但是事实上,通过车联网技术控制油门、刹车、方向盘都是有可能的,因此智能汽车带来的不仅仅是便利,也可能是安全方面的隐患。
据预测2017年,将有60%的新车会接入互联网,包括智慧交通论坛的讨论,也是希望汽车网络化。但是在今年的Blackhat大会上,有两位研究人员发布了远程攻击汽车的方法,可以在80英里时速(128公里/小时)条件下,猛踩刹车,猛打汽车的方向,可能导致严重的事故。可以在某一款车型下,在低速行驶中造成刹车失灵,导致汽车失控。刘健皓预计在未来的1~2年内,智能汽车安全势必会被推到风口浪尖上,目前360已经关注并且已经展开了相应的研究。
刘健皓介绍,汽车安全风险主要有三类:1、是接触式的,可以接触汽车,通过一些改造甚至是破坏,造成汽车的安全风险。2、是非接触式的,不需要接触汽车,通过无线射频,车联网应用,反向控制汽车,造成车辆安全性的丧失。3、后装市场产品存在的漏洞,例如OBD盒子等等。
针对智能汽车的攻击方式:第一类接触式攻击,通过外接设备破解OBD,可以通过OBD控制车辆的ECU以及其它的控制单元,攻击成本非常低,硬件在市场上有流通,可能仅需20美元就可以购买到相应的设备。
第二类,在SyScan360特斯拉破解挑战赛上,技术人员通过技术手段使特斯拉部分功能失效,产生报警。通过车载移动系统连接到智能汽车,如特斯拉的服务网络中,这样就可以控制其中控大屏,进而可以控制车辆的驻车、启动等操作。
第三类是通过移动应用,360之前曾经发布过一个关于特斯拉的漏洞,可以在车主未授权的情况下,远程控制车辆,可以实现鸣笛、闪灯、在行驶中打开天窗等操作。再打开远程控制模块的基础上,可以对车辆进行操作,甚至可能导致车辆更大的安全风险。
针对上述问题,刘健皓认为,首先要建立一个汽车安全防护体系的保护对象。其次是建议汽车厂商在智能汽车全生命周期的安全方面多做一些考虑,最后是要居安思危,在这个科技智能化发展迅速的时代,安全问题不容忽视。
