周到

299

文章/篇

249.2万

阅读/次

拜访信息

为了给您提供更快更好的服务,在获取作者联系方式前,想对您有个简单了解. 邀请您填写如下信息

提交成功

非常感谢您的配合,我们的作者会尽快通过您的微信,
请耐心等待~

微信号

15701235851

2017智能网联汽车信息安全报告发布:汽车的漏洞会永远存在

智能网联智能汽车
亿欧
周到
2018-04-07 17:57
[ 亿欧导读 ] 车企的信息安全人员应当清晰地意识到,没有绝对安全的系统。人们要做的是建立一个有效合理的威胁分析基础,不要为没有必要或发生概率过低的安全风险花费高昂的防护成本。当前最重要的关键环节,是在上线前把控好安全验收工作。
黑客,智能网联汽车,信息安全,360 图片来自“123rf.com.cn”

随着汽车智能网联技术的不断发展,车辆的信息安全也开始得到整个行业越来越多的重视。但是,关于汽车信息化程度提升所带来的信息安全问题,业界至今没有得到有效的解决方案。

4月2日下午,360集团发布了《2017智能网联汽车信息安全年度报告》(以下简称“《报告》”)。在报告中,360集团从智能网联汽车信息安全规范、智能汽车CVE漏洞分析和破解案例分析三个角度,阐述了2017年智能网联汽车信息安全的发展历程。此外在现场的交流环节,360车联网安全实验室的工作人员也分享了几个汽车信息安全领域的真实案例。

汽车信息安全已进入“刷漏洞”时代

2017年4月,我国政府发布《汽车产业中长期发展规划》,再次将智能汽车作为重点内容,明确了不同等级智能驾驶系统。并提出2020年和 2025年的新车装配率的要求。据发改委预测,预计2020年,中国智能网联汽车新车占比将达到50%。届时每年将有上千万辆智能汽车投放市场,中国也将进而成为智能网联汽车第一大国。

但是,智能网联汽车中存在很多信息安全漏洞。黑客一旦通过漏洞攻击,将会对用户造成巨大的人身、财产损失。目前,已经被发现的漏洞涉及TSP(内容服务提供商)平台、APP应用、Telematics Box(T-BOX)上网系统、车机IVI系统CAN-BUS车内总线等各个领域和环节。这些漏洞有的可以远程控制汽车,有的甚至可以直接对驾驶员和车内乘客造成人身伤害。

令人欣慰的是,汽车信息安全在一开始就受到了电信行业、汽车行业、汽车电子设备行业以及互联网服务商的重视。现代车辆由许多互联的、基于软件的IT部件组成,为了避免出现安全问题,需要进行严格测试。当前,汽车厂商不断加大汽车网络安全的投入,第三方和汽车厂商都建立了CVND等漏洞平台,目的通过共享漏洞信息,提高汽车网络安全领域的总体安全能力。

 “2017年,汽车信息安全已进入刷漏洞时代。”360集团智能网联汽车安全实验室负责人刘健皓介绍。目前,国内外汽车信息研究人员发现的TCU和安全气囊等漏洞也分别获得到CVE漏洞编号,这说明智能汽车信息安全漏洞开始受到普遍关注。

对此,《报告》指出,“刷漏洞”已经成为攻击智能网联汽车车的最新手段,汽车厂商应该配备信息安全团队,持续监测漏洞。同时,汽车信息安全标准亟待建立。

国内外安全标准加快制定进度

过去几年,国内外的汽车信息安全标准制定工作也在持续进行中。国际组织(ISO/SAE)正进行21434(道路车辆-信息安全工程)标准的制定。该标准主要从风险评估管理、产品开发、运行/维护、流程审核等四个方面来保障汽车信息安全工程工作的开展。中国代表团也积极参与此项标准的制定,国内几家汽车信息安全企业、整车场,也参与了该标准的讨论,该标准将于2019年下半年完成,预计满足该标准进行安全建设的车型于2023年完成。

与此同时,《智能交通系统通信设备的安全软件更新功能》标准也已经发布,剩下还有新的标准在立项当中。

ISO/TC22道路车辆技术委员会成立ISO/TC22/SC32/WG11 Cybersecurity信息安全工作组(来源:SAE)

ISO/TC22道路车辆技术委员会成立ISO/TC22/SC32/WG11 Cybersecurity信息安全工作组(来源:SAE)

在国内标准制定方面,2017全国汽车标准化技术委员会已经组织两次汽车信息安全工作组会议,全国信息安全标准化委员会、中国通信标准化协会等各大国标委,联盟组织在积极研究汽车信息安全标准相关工作,加快汽车信息安全标准的制定进度。

关于增强汽车信息安全能力的四点建议

在活动现场的交流环节,360智能网联汽车安全实验室的研究人员又对《报告》中几个智能汽车破解案例进行了说明。

在《报告》中,360方面详细梳理并分析了4个破解案例。其中包括斯巴鲁汽车的遥控钥匙系统漏洞和车载娱乐系统漏洞,马自达车技娱乐系统破解,特斯拉汽车车联网系统攻击,以及利用“海豚音”(超声波信号)攻击破解语音控制系统开启天窗等案例。

对此,360智能网联汽车安全实验室根据过去一年与诸多厂商的安全实践,提出智能网联汽车信息安全建设建议。

首先,汽车制造厂商应组建信息安全团队或组织,培养专职的人员牵头信息安全工作,将后台和前端放到一起共同协作解决信息安全问题,为全面防护打下良好的基础。

第二,进行合理有效的威胁分析。在360方面看来,车企的信息安全人员应当清晰地意识到,没有绝对安全的系统。人们要做的是建立一个有效合理的威胁分析基础,不要为没有必要或发生概率过低的安全风险花费高昂的防护成本。对此,安全人员应当建立动态防护体系,针对共计能够进行动态调整,进而实现攻防平衡。

第三,控制上线前产品安全验收环节。从以往的破解案例看,当前汽车领域的信息安全手段相对滞后,很多汽车智能化产品在开发设计之初就没有考虑到信息安全问题。同时,国内外没有相关的安全标准可以指导汽车厂商去做正向开发。因此,当前最重要的关键环节,是在上线前把控好安全验收工作,将危害最严重影响最广泛的漏洞解决,进而达到相对安全的状态。后续,车企还要做好持续的漏洞监控,保证不会有新的漏洞造成入侵事件。

最后,360方面还建议各大汽车厂商、供应商、安全公司贡献自己智慧和能力,在国内汽车智能科技领先的条件下,引领国际标准。

关于《2017智能网联汽车信息安全年度报告》的详细内容,请各位点击链接下载报告完整版。

2017智能网联汽车信息安全年度报告_终稿_电子版.pdf

版权声明

凡来源为亿欧网的内容,其版权均属北京亿欧网盟科技有限公司所有。文章内容系作者个人观点,不代表亿欧对观点赞同或支持。

各工作岗位将被AI取代的概率

选择岗位,查看结果

制图员和摄影师

87.9%

打赏支持

5
5
10
20
50
80
100
其它金额
任意赏:

参与评论

  • 155****4106
  • 2018-04-08 18:43
  • 在这个大互联网时代下,漏洞还用说吗?

(0)

赞同

  |

回复

最新文章

关闭

快来扫描二维码,参与话题讨论吧!

快捷登录 密码登录
获取验证码

新用户登录后自动创建账号

登录表示你已阅读并同意《亿欧用户协议》

快捷登录 密码登录

账号为用户名/邮箱的用户 选择人工找回

关联已有账户

新用户或忘记密码请选择,快捷绑定

账号为用户名/邮箱的用户 选择人工找回

快速注册

获取验证码

创建关联新账户

发送验证码

找回密码

获取验证码
账号为用户名 / 邮箱的用户 选择人工找回

未完成注册的用户需设置密码

如果你遇到下面的问题

我在注册/找回密码的过程中无法收到手机短信消

我先前用E-mail注册过亿欧网但是现在没有办法通过它登录,我想找回账号

其他问题导致我无法成功的登录/注册

请发送邮箱到service@iyiou.com,说明自己在登录过程中遇到的问题,工作人员将会第一时间为您提供帮助

账号密码登录

乐乐呵呵@微信昵称

该亿欧账号尚未关联亿欧网账户

关联已有账户

曾经使用手机注册过亿欧网账户的用户

创建并关联新账户

曾用微信登录亿欧网但没有用手机注册过亿欧的用户

没有注册过亿欧网的新用户

先前使用邮箱注册亿欧网的老用户,请点击这里进入特别通道
意见反馈
意见反馈
亿欧公众号 亿欧公众号
小程序-亿欧plus 小程序-亿欧plus
返回顶部