![](data:image/svg+xml;utf-8,<svg width="24" height="24" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
01
越聪明越危险
在汽车智能化浪潮下,汽车的电子电器架构都正经历着革命性变化,传统汽车围绕动力、操控和空间而展开的竞争,演变为整车计算平台的比拼。而当汽车越来越“聪明”,或者说拥有了一个掌控全局的“大脑”,又该如何保证这个“大脑”只听从于驾驶者?
过去,传统汽车是由各个控制元件组合而成的,点火、开关空调、调整窗户等功能都需要通过分布式的电子控制单元(ECU)控制,各ECU芯片之间相互独立,一辆汽车需要50到100颗不同的ECU才能实现不同功能,驾驶员则通过按键、旋钮等机械开关来控制各项元件。自从特斯拉将控制模块按分布位置简化为左车身、右车身、中央三个域控制器后,整车尤其是标榜智能化的新能源车,其控制模块开始从分布走向集中,也因此才对底层芯片性能提出了更高的要求。
智能化汽车控制模块由分布走向集中
发展到现在,汽车智能化对内体现在座舱中;对外,自动驾驶则成了汽车行业新的圣杯。自动驾驶的实现意味着车辆要能够互相沟通(V2V,Vehicle-to-Vehicle),也要理解道路基础设施的讯息(V2I, Vehicle-to-Infrastructure),比如红绿灯、限速标志、临时改道标志等等,甚至还要“读懂”行人的意图与行为(V2P, Vehicle-to-Pedestrian)以避免交通事故。
这种车与外界的信息交换,业内统称为V2X,也就是“车联网”。车联网使得车与车、车与基站等之间能够通信,从而获得实时路况、道路信息、行人信息等交通信息,从而提高驾驶安全性、减少拥堵、提高交通效率、提供车载娱乐信息等。
但是在这一过程中,车辆同样要面临愈发严峻的安全风险。曾有国产芯片厂商在采访中提到,当车辆与网络连接后,车辆本身就可以视为与手机类似的终端,多加了四个轮子也增添了更多风险,“手机会中毒,车辆同样也会”。
02
遥远的攻击
长期关注车联网安全的青骥信息安全小组,按照时间顺序记录了从2014年至今发生的汽车信息安全事件。从他们总结的安全事件中可以发现,车辆一旦成为网络中的节点,也就意味着成了黑客新的攻击目标。
细分来看,与车联网有关的攻击大概分为三类,第一种是针对车辆本身的攻击。如今,智能汽车中能和外部相连的各类传感器或App,都可能会在用户不知情的情况下被攻击。
早在2015年就已经出现相关案例,安全研究员Samy Kamkar发现主流车载系统OnStar存在系统漏洞,攻击者可以通过这一漏洞拦截汽车和手机应用之间的数据通信,进而控制通用品牌旗下任何一辆汽车,实现远程解锁汽车并发动汽车引擎。
2018年,Computest公司安全研究人员发现2015 款大众高尔夫GTE车型和奥迪A3 Sportback e-tron所使用的由哈曼(Harman)制造的信息系统存在多处漏洞,攻击者只要将车辆连接到自己的WiFi网络,该系统就能够被远程利用;更严重的是,攻击者还可以通过这些漏洞控制车载信息娱乐系统主处理器的root访问权,从而操纵汽车的制动和转向系统。
还有如今头部新能源车企均配备的蓝牙钥匙,同样会出现可乘之机。两年前,比利时一位程序员发现特斯拉Model S(图片|配置|询价)的无钥匙进入系统缺少固件更新校验,攻击者可以通过蓝牙连接重写密钥卡的固件,再从密钥卡上解锁代码,然后利用它来解锁任何特斯拉汽车,整个过程仅需几分钟。
第二种是利用车联网发动对外界装置的攻击。这种手法是将汽车作为“中继站”,将错误的讯息发送给外界装置,导致其他接收讯息的装置做出错误判断。
攻击车联网同样可以影响道路基础设施
比如让交通信号灯失灵。2020年,信号灯控制器制造巨头SWARCO被曝出有严重系统漏洞,攻击者可以操纵附近车辆,再利用交通灯控制器的一个可调试开放端口就能破坏交通信号灯,甚至随意切换红绿灯,造成交通瘫痪乃至交通事故。
第三种则是针对车联网发动大规模攻击,攻击者黑入车联网的骨干后,可以使车联网提供错误资讯给路网中所有装置或车辆,例如提供路况服务的装置可能因此回报错误路况。
推送虚假信息
2022年上海车展上就出现了这种现象,车展中有不少保时捷和奥迪车主发现车内显示屏出现“路上有枪战”的交通警告提示,上海公安局随后立即辟谣并无此类警情。那为什么车辆导航会出现错误提示?业内人士分析认为,黑客攻击的可能性较大。
现在城市内的智能交通信息发布系统都会通过RDS(Radio Data System,无线电数据广播)发布道路交通信息,利用分布在城区的固定LED屏和车载移动式接收机接收文字和图标信息,实现交通诱导、分流管理等功能。攻击者很可能是利用车辆无线调频广播散布虚假消息给路网中其他车辆,或者直接破解了汽车消息推送服务。
04
“零信任”堵漏洞还差点助力
曾经为了维护信息安全,我们以边界为核心构造安全“防护罩”,一定程度上默认内网总是安全的,但物联网、云服务等新兴技术的出现根本性地改变了IT基础架构,旧时边界安全防护逐渐失效,我们又该如何加强车联网的安全性?
业内近年的热门解决方案,就是在设计汽车架构时引入“零信任架构”。零信任架构是设计安全防护网络的方法之一,常用于政府、企业内部信息安全防护,它的核心思路是:默认情况下,所有交互都是不可信的。这与传统的架构相反,传统的信息安全架构可能会根据通信是否始于防火墙内部,来判断其是否可信。
过去车辆不具备联网能力,所以设计汽车时并不会考虑到车用控制单元可能被入侵的风险,意味着车辆内部网络会无条件地相信各个装置元件传来的讯息。现在如果站到“零信任”的角度,预先假设联网装置送来的讯息可能会有问题,必须通过数位凭证以加密传输和电子签章的方式,先鉴别此装置的“身份”,确认讯息是由该装置送来且装置处于正常运作状态,才能根据讯息执行相应动作。
问题在于,现在的智能汽车已经是一个高度复杂的小型局域网,如果增加了对身份统一认证的步骤,用户是否会适应?构建零信任安全架构不仅要考虑到安全生命开发周期,还要从整个车辆在设计、研发、测试验证、上线等阶段植入安全理念,因此,尽管软件行业已经有很成熟的一套方案,但如何将这套流程和相应的技术应用到车端还需要做很多工作。
![](data:image/svg+xml;utf-8,<svg width="40" height="40" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
渝公网安备50010502503425号
评论·0