汽車行業(yè)的發(fā)展已進(jìn)入信息化、智能化、網(wǎng)絡(luò)化。汽車產(chǎn)品已經(jīng)由集中式的手工控制向分布式的電子自由控制轉(zhuǎn)變，車內(nèi)上百個(gè)電子控制單元(ECU)通過總線傳遞信息方式相互連接，經(jīng)由千萬行的程序代碼進(jìn)行驅(qū)動(dòng)，構(gòu)成了高效復(fù)雜的網(wǎng)絡(luò)化系統(tǒng)。

圖1 車載信息系統(tǒng)

什么是車載信息系統(tǒng)入侵式攻擊

車載信息系統(tǒng)并不是簡(jiǎn)單的汽車與網(wǎng)絡(luò)之間的互聯(lián)，而是包含了汽車與互聯(lián)網(wǎng)、車與車、車與智能交通基礎(chǔ)設(shè)施、車與云端的互聯(lián)，以及車載網(wǎng)絡(luò)通信的多網(wǎng)、跨網(wǎng)融合技術(shù)。因此，該技術(shù)對(duì)汽車信息安全提出全新的挑戰(zhàn)。黑客通過遠(yuǎn)程無線入侵的方式，攻擊車載信息系統(tǒng)的現(xiàn)有漏洞，進(jìn)而利用現(xiàn)代汽車的豐富電氣化、網(wǎng)絡(luò)化功能，達(dá)到車內(nèi)信息竊取、驅(qū)動(dòng)系統(tǒng)失靈、制動(dòng)系統(tǒng)遠(yuǎn)程操控等目的。

[[192734]]

圖2 車載信息系統(tǒng)惡性攻擊

車載信息系統(tǒng)安全威脅案例

任何設(shè)備只要連接互聯(lián)網(wǎng)，就有可能遭受黑客的惡性攻擊。在享受網(wǎng)絡(luò)帶來便利的同時(shí)，也必須面對(duì)網(wǎng)絡(luò)的“黑暗面”，這點(diǎn)汽車行業(yè)也不能幸免。

• 2010年，南卡羅來納羅格斯大學(xué)的研究人員破解了車載信息系統(tǒng)，偽造部分品牌型號(hào)汽車的胎壓傳感器信息，干擾并毀壞距離40米以外汽車的輪胎壓力檢測(cè)系統(tǒng)。
• 2011年，加州大學(xué)圣地亞哥分校和華盛頓大學(xué)的兩個(gè)研究團(tuán)隊(duì)，以“汽車安全攻擊綜合分析”為題進(jìn)行了實(shí)驗(yàn)和論證，從威脅類型、具體漏洞分析和威脅評(píng)估方面進(jìn)行了討論。
• 2013年，在拉斯維加斯黑客大會(huì)上，著名白帽黑客Miller和Valasek博士對(duì)一輛處于高速行駛狀態(tài)下的豐田普銳斯發(fā)起攻擊，使其在高速行駛時(shí)剎車失靈或者突然制動(dòng)等異常行為。
• 2015年，雪佛蘭科維特的車輛自診斷系統(tǒng)漏洞導(dǎo)致黑客輕松獲取該車型的最高權(quán)限，通過手機(jī)短信的形式發(fā)送控制汽車指令。

圖3 汽車面臨攻擊的15個(gè)方面

車聯(lián)網(wǎng)下車載信息系統(tǒng)攻擊途徑

從宏觀的角度上說，汽車信息安全產(chǎn)生威脅的原因分為兩類：駕駛者偶然發(fā)生的錯(cuò)誤、攻擊者故意引發(fā)的失誤。按照不同發(fā)生原因，相應(yīng)的威脅種類，本文主要討論后者，即人為故意造成的攻擊途徑。

• 物理接觸攻擊：在進(jìn)行日常維護(hù)保養(yǎng)時(shí)，汽車必須交由廠商和車主以外的第三方維修人員管理，有可能受到裝扮成第三方維修人員黑客的攻擊。
• 便攜式設(shè)備攻擊：駕駛者在購買和安裝產(chǎn)品時(shí)，有可能帶來外部病毒入侵式攻擊，尤其是智能手機(jī)、平板電腦、PDA、GPS衛(wèi)星導(dǎo)航系統(tǒng)。
• 無線網(wǎng)絡(luò)攻擊：汽車有很多通過無線網(wǎng)絡(luò)完成的功能，它們都是采取的是短距離無線通信方式進(jìn)行信息傳輸，這為黑客空口截取信息內(nèi)容，打開方便之門。
• 總線攻擊：汽車控制信息通過總線系統(tǒng)進(jìn)行各部件之間的信息傳遞，而總線系統(tǒng)對(duì)于惡意攻擊基本處于不設(shè)防狀態(tài)。
• ECU電控系統(tǒng)攻擊：ECU電控攻擊涉及到數(shù)據(jù)包侵入、數(shù)據(jù)包篡改、數(shù)據(jù)包重放等攻擊模式，同時(shí)也存在ECU惡意代碼植入、ECU虛假信息干擾等風(fēng)險(xiǎn)。
• 車輛行車信息感知系統(tǒng)攻擊：攻擊者通過吸收車輛感知系統(tǒng)發(fā)出的雷達(dá)電磁波對(duì)汽車自動(dòng)駕駛和自動(dòng)導(dǎo)航系統(tǒng)等發(fā)起攻擊。

圖4 車載自動(dòng)駕駛導(dǎo)航系統(tǒng)

總結(jié)

車載信息系統(tǒng)中存在信息安全脆弱的一面，車載軟件系統(tǒng)受到黑客攻擊的可能性越來越大。原因是汽車的外部接口數(shù)量和類型不斷增多，除了車輛診斷系統(tǒng)OBD和USB充電接口外，現(xiàn)在汽車上還可以通過GPS、WIFI、藍(lán)牙接口與衛(wèi)星、智能手機(jī)、平板電腦等外設(shè)設(shè)備相連接。由此可見，汽車已經(jīng)成為了一個(gè)裝有大規(guī)模軟件的高度集成化的信息系統(tǒng)。車載信息系統(tǒng)在提高信息化水平同時(shí)，信息安全問題也日益突出。車輛遭受黑客攻擊的途徑也日益翻新，威脅駕駛?cè)藛T生命財(cái)產(chǎn)的行車安全隱患刻不容緩。

【本文為51CTO專欄作者“中國保密協(xié)會(huì)科學(xué)技術(shù)分會(huì)”原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)聯(lián)系原作者】

戳這里，看該作者更多好文