車聯(lián)網(wǎng)安全性問題日益突出

責(zé)任編輯:gaoqiang

2014-05-27 16:15:14

摘自:元器件交易網(wǎng)

隨著汽車與外接設(shè)備的連接越來越多,它面臨著許多安全隱患,盡管目前行業(yè)已經(jīng)認(rèn)識到這一點,但從認(rèn)識到制定出有效的方案還有很長的一段路要走。

隨著汽車與外接設(shè)備的連接越來越多,它面臨著許多安全隱患,盡管目前行業(yè)已經(jīng)認(rèn)識到這一點,但從認(rèn)識到制定出有效的方案還有很長的一段路要走。

相比未來的V2V系統(tǒng)與自動駕駛車全面普及的水平,如今的“汽車互聯(lián)”還處于初級階段,但即便如此,已經(jīng)存在許多方法可以從云端向車載系統(tǒng)進行惡意攻擊。位于儀表下方的車載OBDII診斷接口是目前最容易受到惡意軟件攻擊的位置。從前,它只是汽車機修師用來連接汽車診斷儀的接口,但如今,它甚至能接收 WiFi信號從而對車輛進行遠(yuǎn)程診斷、遠(yuǎn)程解鎖,如果沒有信息安全系統(tǒng)的防護,那么汽車將變成“肉雞”。本文將對汽車互聯(lián)中存在的信息安全隱患、信息入侵途徑與可行應(yīng)對方案進行盤點。

一、汽車互聯(lián)隱患

遠(yuǎn)程代碼篡改

為了優(yōu)化車內(nèi)電子系統(tǒng)編程,汽車制造商可以改編系統(tǒng)代碼,而黑客也能辦到,但兩者的區(qū)別在于,黑客篡改代碼是出于惡意。

智能交通系統(tǒng)本質(zhì)上就是V2V、V2I的交流,黑客可以在信息交流過程中截取并修改數(shù)據(jù),從而引起混亂。

在計算機中,一款惡意軟件可以被卸載,實在不行可以重裝系統(tǒng)。而對于一款汽車來說,被惡意軟件入侵將引發(fā)突發(fā)性的交通事故——即便是音響系統(tǒng)的音量突然被遠(yuǎn)程調(diào)高都會嚇到一個全神貫注開車的司機,造成不可挽回的后果。

產(chǎn)品更代周期不同

車內(nèi)電子元件的更代周期非常長,相比計算機的3年周期,前者幾乎是它的3倍。這使得車內(nèi)電子系統(tǒng)無法即使進行技術(shù)更新,存在的漏洞也無法及時修復(fù)。

而如果想對部分電子元件進行更換,則會引發(fā)新的問題。由于電子元件發(fā)展迅速,新的元件未必能與原本的電子系統(tǒng)進行良好的匹配和交互,對于后市場供應(yīng)商來說又提出了挑戰(zhàn)。

通過信息加密看似能夠保證車輛連接過程中的安全性,但也存在“一把抓”的顧慮,簡單來說,就是惡意數(shù)據(jù)與正常數(shù)據(jù)一樣會被加密。

安全方案成本高

如果車內(nèi)的電子系統(tǒng)都采用固定設(shè)計,那么更新升級過程將牽涉到巨大的工作量;若使用試探式保護方案,則需要更大的數(shù)據(jù)處理過程,編程本身造成的麻煩甚至不亞于處理軟件入侵;虛擬專用網(wǎng)(VPN)可以提供良好的安全性,但是如果成千上萬的汽車用戶都使用它的話,成本將非常昂貴。

因此,隨著車載電子系統(tǒng)、信息系統(tǒng)與外界的關(guān)聯(lián)日益緊密,信息安全方案急需進行優(yōu)化。

二、入侵汽車網(wǎng)絡(luò)的途徑

物理連接

即通過特制的芯片,連接到車輛的CANBUS總線上,通過藍(lán)牙、移動數(shù)據(jù)等方式進行控制汽車,這種方式的缺點就是需要安裝,容易被發(fā)現(xiàn);西班牙安全研究人員賈維爾·瓦茲奎茲-維達(dá)爾(JavierVazquez-Vidal)和阿爾伯托·加西亞·易樂拉(AlbertoGarciaIllera)3月份展示了他們打造的一種小型裝置,成本不到20美元。

這種裝置能與汽車的內(nèi)部網(wǎng)絡(luò)進行物理連接并輸入惡意指令,影響從車窗、前燈、方向盤到剎車的所有部件。該裝置的大小相當(dāng)于iPhone的四分之三,通過四根天線與汽車的控域網(wǎng)(ControllerAreaNetwork,簡稱CAN)連接,從車內(nèi)電力系統(tǒng)獲取能源,隨時可以接收遠(yuǎn)程攻擊者通過電腦發(fā)出的無線指令并將之輸入車載系統(tǒng)。他們把該裝置命名為控域網(wǎng)入侵工具,簡稱CHT。

“連接只需要花5分鐘或更少的時間,然后就可以離開了。”德國汽車IT安全顧問維達(dá)爾說,“我們可以等待一分鐘或者一年,然后啟動該裝置,指使它為我們做任何事情。”

維達(dá)爾說,研究人員能夠通過CHT遠(yuǎn)程輸入的指令類型取決于車型。他們測試了四種不同的車型(他們不愿透露具體的生產(chǎn)商和型號),輸入的指令有關(guān)閉前燈、啟動警報、打開和關(guān)閉車窗這樣的惡作劇,也有訪問防抱死制動系統(tǒng)或者緊急剎車系統(tǒng)等可能導(dǎo)致行進中的車輛突然停止的危險動作。在某些情況下,安裝該裝置需要打開引擎蓋或者后備箱,而在其他情況下,他們說只需要爬到車下安裝即可。

目前,這種裝置只能通過藍(lán)牙進行連接,這將無線攻擊的距離限制在幾英尺的范圍內(nèi)。但這兩位研究人員說,當(dāng)他們在新加坡展示他們的研究成果時,將會升級到GSM蜂窩式無線電,使得在幾英里外控制該裝置成為可能。

OBD漏洞

通過車輛的OBD接口,往汽車?yán)飳懭霅阂獬绦?,以造成車輛的失靈等情況,這個實現(xiàn)起來比較困難,因為OBD接口往往在車內(nèi),主要的途徑就是車主修車的時候伺機操作;

往車?yán)锇惭b芯片組或是侵入OBD雖說手段并不高明,但確實是最好用的,畢竟現(xiàn)有的汽車控制系統(tǒng)基本都沒有進行太多的安全防護,破解起來比較容易,如果能通過OBD侵入系統(tǒng)總線的話,控制發(fā)動機ECU就要容易很多,只要車本身功能足夠多,除了可以控制加速和剎車之外,甚至還能接管轉(zhuǎn)向(純電子助力或線控主動轉(zhuǎn)向等)。

另外一種流行的隱患,存在于車主自行購買安裝的“OBD通訊設(shè)備”上,現(xiàn)在部分電子廠商推出了基于讀取汽車OBD信息的WIFI或藍(lán)牙設(shè)備,可以將汽車信息通過WIFI或藍(lán)牙傳遞到手機或電腦中,這樣可以讓車主自行了解到更多的車輛信息,甚至可以通過手機APP上傳到網(wǎng)上,交流油耗等行駛信息,看似有益無害,實際上也存有隱患,不良廠商可以在設(shè)備上植入惡意的OBD侵入程序,而即便是正規(guī)產(chǎn)品也可能在銷售環(huán)節(jié)被不良商家做了手腳,這種隱患或許已經(jīng)實實在在的存在了。

無線控制

現(xiàn)在高級點的汽車都有聯(lián)網(wǎng)功能,無論是智能副駕還是互聯(lián)駕駛,一旦連接到網(wǎng)絡(luò)上,就極有可能被入侵,這與電腦被黑客襲擊是同樣的道理。

飛思卡爾半導(dǎo)體技術(shù)員RichardSoja表示:“遠(yuǎn)程無線入侵將變成車載系統(tǒng)最主要的威脅。有許多方法能夠?qū)?shù)據(jù)保存于某一特定芯片上。”雖然目前遠(yuǎn)程無線入侵并未被列為最具威脅的車內(nèi)連接系統(tǒng)攻擊手段,不過幾項相關(guān)研究表明了其潛在危害。元件供應(yīng)商和子系統(tǒng)開發(fā)商正在尋求能夠禁止車外人員入侵車內(nèi)網(wǎng)絡(luò)的方法。

英飛凌跨職能團隊負(fù)責(zé)人BjoernSteurich表示:“防范的有效方法之一是在車輛總線上進行數(shù)據(jù)安全數(shù)據(jù)傳輸時采用數(shù)字簽名的方式。相比將所有經(jīng)過總線的數(shù)據(jù)進行加密來說,這一方法更實用,因為它不受網(wǎng)絡(luò)帶寬的影響。”智能手機一直是黑客感興趣的對象,而隨著與車載系統(tǒng)的聯(lián)系越發(fā)密切,它也將成為能夠被黑客利用來入侵車內(nèi)連接系統(tǒng)的突破口。越來越多的用戶將智能手機與系統(tǒng)連接,使用應(yīng)用程序和娛樂功能,期間有大量的數(shù)據(jù)傳輸,任何一個漏洞都能導(dǎo)致系統(tǒng)被“黑”。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號