最新調(diào)查結(jié)果顯示，智能聯(lián)網(wǎng)汽車明顯缺乏必要的安全措施，黑客完全可以控制聯(lián)網(wǎng)車輛，或者通過汽車獲取司機(jī)的個(gè)人信息。

背景

我們已經(jīng)進(jìn)入了科技發(fā)展的一個(gè)新階段。每一天，越來越多的新設(shè)備連接到互聯(lián)網(wǎng)，互聯(lián)網(wǎng)的引入使得智能手表、可穿戴設(shè)備、IP冰箱、IP洗衣機(jī)都可能遭受黑客攻擊，聯(lián)網(wǎng)汽車的數(shù)量每年都在增加，雖然這些汽車都很好地配備了碰撞自動(dòng)提醒、超速通知以及安全警報(bào)功能，但報(bào)告顯示它們易于遭受黑客攻擊，因?yàn)槟壳斑€未采取充分的措施保護(hù)這些聯(lián)網(wǎng)汽車免受黑客攻擊。

黑客已經(jīng)認(rèn)識(shí)到一個(gè)新的攻擊平臺(tái)，這使得聯(lián)網(wǎng)汽車面臨的威脅將越來越大。聯(lián)網(wǎng)汽車可以使我們的云服務(wù)、電子郵件、短信、聯(lián)系人，以及其他的個(gè)人、金融和工作數(shù)據(jù)易于遭受黑客攻擊。通過上面這些服務(wù)，攻擊者可以確定汽車的位置，同時(shí)還可以通過汽車的GPS來鎖定它的位置。此外，黑客還可以訪問汽車網(wǎng)絡(luò)對(duì)交通造成嚴(yán)重破壞，甚至威脅車輛乘員的安全(FreeBuf相關(guān)報(bào)道)。

聯(lián)網(wǎng)汽車的安全風(fēng)險(xiǎn)

聯(lián)網(wǎng)汽車可以通過C2C(car-to-car，車對(duì)車)或C2I(Car-to-Infrastructure，車到機(jī)構(gòu))連接實(shí)時(shí)共享信息，它正在慢慢成為物聯(lián)網(wǎng)的一部分。專家預(yù)測(cè)，物聯(lián)網(wǎng)風(fēng)險(xiǎn)今年將大幅度上升，所以在保證這些設(shè)備網(wǎng)絡(luò)安全方面，我們應(yīng)該采取一種完全不同的新方法。在聯(lián)網(wǎng)汽車的初步發(fā)展階段，僅僅依靠一些頭腦靈活的網(wǎng)絡(luò)安全專家并不足以應(yīng)對(duì)汽車網(wǎng)絡(luò)攻擊的多樣化。我們應(yīng)該分析并評(píng)估如何從互聯(lián)網(wǎng)或汽車的數(shù)據(jù)請(qǐng)求中獲取數(shù)據(jù)，因此，重點(diǎn)就落在了云端。

美國(guó)交通部認(rèn)為，設(shè)備-設(shè)備或V2V(vehicle-to-vehicle)通信將可能實(shí)現(xiàn)，使得路上的汽車可以自動(dòng)交換數(shù)據(jù)，例如速度、方向等，并可以發(fā)送警報(bào)以避免事故或交通堵塞。同時(shí)，當(dāng)在車?yán)飼r(shí)，汽車將成為個(gè)性化的數(shù)字助理。最近，德國(guó)汽車公司宣布，他們正在發(fā)布汽車的一個(gè)無線更新，這利用了汽車中一個(gè)基于SIM卡的ConnectedDrive模塊，它允許司機(jī)遠(yuǎn)程解鎖他們的汽車。但是德國(guó)汽車俱樂部ADAC已經(jīng)逆向了該遠(yuǎn)程信息處理軟件，并提醒說，寶馬汽車中的一個(gè)漏洞使得可以通過第三方解鎖汽車(FreeBuf漏洞分析)。

理論上，黑客能夠通過創(chuàng)建一個(gè)虛假的移動(dòng)網(wǎng)絡(luò)來欺騙汽車解鎖，雖然該漏洞存在于220萬輛寶馬車、Mini和勞斯萊斯中，但還沒有證據(jù)表明已經(jīng)有針對(duì)該漏洞的利用。盡管公司及時(shí)修復(fù)了該漏洞，但從這次事件中仍然能夠看到聯(lián)網(wǎng)汽車的安全形式是多么嚴(yán)峻。

通過提供汽車數(shù)據(jù)傳輸?shù)陌踩?，包括通過HTTPS加密汽車數(shù)據(jù)，寶馬汽車已經(jīng)修復(fù)了上述漏洞。然而，問題出現(xiàn)了，為什么之前不采用標(biāo)準(zhǔn)的HTTPS通信技術(shù)呢?市場(chǎng)上幾乎100%的汽車都包含無線技術(shù)，這些技術(shù)中可能包含能被黑客攻擊或竊取隱私的漏洞。根據(jù)Frost&Sullivan的消息，到2020年，汽車將會(huì)利用從10到100的所有以太網(wǎng)端口。

商務(wù)、科學(xué)和運(yùn)輸委員會(huì)成員Markey在一份聲明中說。

“司機(jī)已經(jīng)依賴了這些新技術(shù)，但不幸的是，汽車制造商沒有做到他們應(yīng)做的部分，即保護(hù)我們免受網(wǎng)絡(luò)攻擊或隱私入侵。即使現(xiàn)在聯(lián)網(wǎng)汽車比以往任何時(shí)候都多，但目前我們的科技系統(tǒng)和數(shù)據(jù)安全在很大程度上仍然未受到保護(hù)。”

這些聯(lián)網(wǎng)汽車中的漏洞可以通過一個(gè)事件證明，即一個(gè)14歲的男孩僅僅花費(fèi)15美元就能輕松解鎖并啟動(dòng)一輛聯(lián)網(wǎng)汽車。這種汽車在未來幾年將不可避免地隨處可見，隨著人們尋找更安全的駕駛經(jīng)歷，他們的汽車將連接到當(dāng)?shù)鼗A(chǔ)設(shè)施，例如交通信號(hào)和應(yīng)急服務(wù)，但安全問題似乎變得更糟糕。

[[130464]]

著手汽車安全

IBM商業(yè)價(jià)值研究院最近一份題為“駕駛安全：下一代汽車的網(wǎng)絡(luò)保障”的研究中指出，當(dāng)創(chuàng)建聯(lián)網(wǎng)汽車特性時(shí)，汽車廠商和合作伙伴應(yīng)該專注以下三個(gè)領(lǐng)域：

1. 設(shè)計(jì)安全的汽車：安全始于汽車。在汽車的設(shè)計(jì)過程中，應(yīng)該專注于安全多于注重功能，這意味著，一旦離開了汽車生產(chǎn)線，就要檢測(cè)每一個(gè)組件、子系統(tǒng)和汽車連接的網(wǎng)絡(luò)可能帶來的風(fēng)險(xiǎn)和威脅。每一個(gè)軟件和硬件組件以及系統(tǒng)都要以安全為第一要求來設(shè)計(jì)。

2. 創(chuàng)建安全的網(wǎng)絡(luò)：在汽車連接的網(wǎng)絡(luò)系統(tǒng)中，安全必須放在第一位，并深入到每個(gè)組成部分的設(shè)計(jì)中。應(yīng)該使用加密通信，所有提供連接高速公路、汽車和設(shè)備服務(wù)的組織，都要保證他們網(wǎng)絡(luò)的安全性，并時(shí)刻監(jiān)視流量來檢測(cè)可疑活動(dòng)。

3. 加強(qiáng)車輛配置：在二十世紀(jì)50和60年代，是由機(jī)械工程師來設(shè)計(jì)汽車控制系統(tǒng);而現(xiàn)在卻是依靠一臺(tái)電腦。典型的豪華車包含大約1億行代碼的軟件，而這些軟件由70到100個(gè)電子控制單元管理。這些曾經(jīng)是封閉的系統(tǒng)，當(dāng)時(shí)只需一個(gè)工具箱和一個(gè)修理工就可以篡改它。然而，現(xiàn)在通過移動(dòng)網(wǎng)絡(luò)、藍(lán)牙、USB接口，甚至近場(chǎng)通信傳感器將汽車對(duì)外開放，毫無疑問，汽車正在面臨遠(yuǎn)程攻擊的風(fēng)險(xiǎn)。為此，這些聯(lián)網(wǎng)汽車應(yīng)該在以下方面加強(qiáng)安全措施：

(1)加密傳輸和存儲(chǔ)的數(shù)據(jù)

(2)實(shí)施適當(dāng)?shù)脑瓢踩刂?/p>

(3)訪問控制機(jī)制

(4)強(qiáng)化操作系統(tǒng)安全

(5)對(duì)應(yīng)用程序進(jìn)行滲透測(cè)試

最近，Oracle公司開發(fā)了一個(gè)平臺(tái)，利用該平臺(tái)可以利用Java為汽車開發(fā)應(yīng)用程序。同樣的，高通、AT&T以及其他公司也正在專門為聯(lián)網(wǎng)汽車開發(fā)新平臺(tái)。利用發(fā)達(dá)的科技，我們正在為黑客創(chuàng)建一個(gè)全新的攻擊平臺(tái)。汽車安全的未來將取決于現(xiàn)在為聯(lián)網(wǎng)汽車積累的安全意識(shí)以及安全發(fā)展。