4月2日下午,360集团发布了《2017智能信息安全年度报告》(以下简称“《报告》”)。在报告中,360集团从智能物联网汽车信息安全规范、智能汽车CVE漏洞分析和破解案例分析三个角度,阐述了2017年智能物联网汽车信息安全的发展历程。此外在现场的交流环节,360车联网安全实验室的工作人员也分享了几个汽车信息安全领域的真实案例。
汽车信息安全已进入“刷漏洞”时代
2017年4月,我国政府发布《汽车产业中长期发展规划》,再次将智能汽车作为重点内容,明确了不同等级智能驾驶系统。并提出2020年和
2025年的新车装配率的要求。据发改委预测,预计2020年,中国智能物联网汽车新车占比将达到50%。届时每年将有上千万辆智能汽车投放市场,中国也将进而成为智能物联网汽车第一大国。
但是,智能物联网汽车中存在很多信息安全漏洞。黑客一旦通过漏洞攻击,将会对用户造成巨大的人身、财产损失。目前,已经被发现的漏洞涉及TSP(内容服务提供商)平台、APP应用、Telematics
Box(T-BOX)上网系统、车机IVI系统CAN-BUS车内总线等各个领域和环节。这些漏洞有的可以远程控制汽车,有的甚至可以直接对驾驶员和车内乘客造成人身伤害。
令人欣慰的是,汽车信息安全在一开始就受到了电信行业、汽车行业、汽车电子设备行业以及互联网服务商的重视。现代车辆由许多互联的、基于软件的IT部件组成,为了避免出现安全问题,需要进行严格测试。当前,汽车厂商不断加大汽车网络安全的投入,第三方和汽车厂商都建立了CVND等漏洞平台,目的通过共享漏洞信息,提高汽车网络安全领域的总体安全能力。
“2017年,汽车信息安全已进入刷漏洞时代。”360集团智能物联网汽车安全实验室负责人刘健皓介绍。目前,国内外汽车信息研究人员发现的TCU和安全气囊等漏洞也分别获得到CVE漏洞编号,这说明智能汽车信息安全漏洞开始受到普遍关注。
对此,《报告》指出,“刷漏洞”已经成为攻击智能物联网汽车车的最新手段,汽车厂商应该配备信息安全团队,持续监测漏洞。同时,汽车信息安全标准亟待建立。
国内外安全标准加快制定进度
过去几年,国内外的汽车信息安全标准制定工作也在持续进行中。国际组织(ISO/SAE)正进行21434(道路车辆-信息安全工程)标准的制定。该标准主要从风险评估管理、产品开发、运行/维护、流程审核等四个方面来保障汽车信息安全工程工作的开展。中国代表团也积极参与此项标准的制定,国内几家汽车信息安全企业、整车场,也参与了该标准的讨论,该标准将于2019年下半年完成,预计满足该标准进行安全建设的车型于2023年完成。
与此同时,《智能交通系统通信设备的安全软件更新功能》标准也已经发布,剩下还有新的标准在立项当中。
ISO/TC22道路车辆技术委员会成立ISO/TC22/SC32/WG11 Cybersecurity信息安全工作组(来源:SAE)
在国内标准制定方面,2017全国汽车标准化技术委员会已经组织两次汽车信息安全工作组会议,全国信息安全标准化委员会、中国通信标准化协会等各大国标委,联盟组织在积极研究汽车信息安全标准相关工作,加快汽车信息安全标准的制定进度。
关于增强汽车信息安全能力的四点建议
在活动现场的交流环节,360智能物联网汽车安全实验室的研究人员又对《报告》中几个智能汽车破解案例进行了说明。
在《报告》中,360方面详细梳理并分析了4个破解案例。其中包括斯巴鲁汽车的遥控钥匙系统漏洞和车载娱乐系统漏洞,马自达车技娱乐系统破解,特斯拉汽车车联网系统攻击,以及利用“海豚音”(超声波信号)攻击破解语音控制系统开启天窗等案例。
对此,360智能物联网汽车安全实验室根据过去一年与诸多厂商的安全实践,提出智能物联网汽车信息安全建设建议。
首先,汽车制造厂商应组建信息安全团队或组织,培养专职的人员牵头信息安全工作,将后台和前端放到一起共同协作解决信息安全问题,为全面防护打下良好的基础。
第二,进行合理有效的威胁分析。在360方面看来,车企的信息安全人员应当清晰地意识到,没有绝对安全的系统。人们要做的是建立一个有效合理的威胁分析基础,不要为没有必要或发生概率过低的安全风险花费高昂的防护成本。对此,安全人员应当建立动态防护体系,针对共计能够进行动态调整,进而实现攻防平衡。
第三,控制上线前产品安全验收环节。从以往的破解案例看,当前汽车领域的信息安全手段相对滞后,很多汽车智能化产品在开发设计之初就没有考虑到信息安全问题。同时,国内外没有相关的安全标准可以指导汽车厂商去做正向开发。因此,当前最重要的关键环节,是在上线前把控好安全验收工作,将危害最严重影响最广泛的漏洞解决,进而达到相对安全的状态。后续,车企还要做好持续的漏洞监控,保证不会有新的漏洞造成入侵事件。
最后,360方面还建议各大汽车厂商、供应商、安全公司贡献自己智慧和能力,在国内汽车智能科技领先的条件下,引领国际标准。
延伸阅读
http://www.1330.cn/ask/28.html
http://www.1330.cn/ask/27.html
http://www.1330.cn/ask/22.html