GeekCar 在上海举办的车联网安全活动,让不少人都直呼:这听完之后也太烧脑了!的确,跟黑客作斗争,从来也不是一般人就能干得了的事儿。 不过,就烧脑这事儿,GeekCar 表示,平日里多烧一烧,以后就会更加好用了哦!
在防空洞里,来自美国 VisualThreat 公司的创始人兼 CEO 严威,为大家解析了车联网安全的现状、发展及机遇。
从 2010 年开始的一系列汽车遭受恶意攻击事件来看,汽车被黑的频率以及攻击的门槛之低,都让车联网安全一再成为热门话题。
「车联网安全测试框架」
VisualThreat 为车联网安全测试勾画了一个大的框架,当汽车遭遇安全危机时,只要通过以下几个检测点进行逐一分析,就能够清晰的找到问题所在。
1.TCU(Telematics Control Unit,电子信息系统控制单元),例如:查找软件漏洞,进行硬件测试,通信协议测试等;
2. 远程云服务,例如:用户及设备认证,远程更新安全等;
3.OBD 设备,例如:OBD 移动端 App 安全测试,通信协议,CAN(Controller Area Network,控制器局域网络)信息测试等等。
「安全软肋」
通过对一些做汽车共享的公司进行安全测试后,他们发现,遭受 DoS(Denial of Service,拒绝服务)攻击,通行口令未加密,用户认证环节薄弱以及完整的数据泄漏都是车联网安全的软肋所在。
同时,基于远程云信息服务平台的测试,检测出的主要漏洞是在用户认证环节上相对薄弱。未认证的数据通道、发送 CAN 总线信息将系统堵塞导致瘫痪、不安全的通信协议都是导致遭到攻击的主要环节。
而在 OBD 设备方面,协议的漏洞,密钥暴露以及保密性薄弱或未加密是存在极大隐患的。
最后要说到的是与汽车相关联的手机 App 端带来的威胁,实际上,77%的汽车与手机 App 之间的通讯是不安全的,多达 75%的 App 存在着严重的隐私泄露问题,而每种汽车类 App 都有 5-7 种的安全漏洞。
根据 Harman 公司的数据来看,汽车本身的云端数据服务和可接入设备种类正在不断的扩充,同时,传统的车载互联形式也有了新的发展。最近几年,硬件方面有非常明显的提升,但到 2020 年,硬件安全的技术将达到一个顶峰,而软件安全技术还需要大的跨进,并且将持续增长。
「为你的未来备好铠甲」
车联网安全问题如此严峻,当然会有人想要来解决。
严威给出了几家大公司所做出的解决方案。德尔福把关注点主要放在了入侵网关方面,Denso 则主要是制定白名单,控制远程攻击,将可疑信息提前过滤,并且在 OBD 前端也做一个防火墙,用来认证和过滤。密歇根大学车联网实验室通过增加过滤器和 IDS(Intrusion Detection Systems,入侵检测系统),以及组合网关来进行信息的过滤。Harman 的方案是通过设立网络防火墙抵御来自手机 App 方的病毒。严威表示,IDS 是美国现有的解决方案中最为通传的法则,其实说简单点儿,就是做好监控,不管谁来都一清二楚,遇到威胁还能发出警报。
严威预测,在未来五年,车联网安全的提升将从以下几个方面推进:首先,硬件方面主要是通过设立防火墙来抵御威胁,而在软件方面则是基于 IDS 进行强化;其次,是在 SOTA( Security Over The Air,远程固件升级的安全解决方案)方面,会进行漏洞修复,增加新的安全特征;同时,FOTA(Firmware Over The Air,远程固件更新)的升级也会成为重点,让远程固件升级变得更快更简单,车主无需去 4S 店就能够为自己的汽车进行更新;最后,通过增加算法让 CAN 总线系统变得更加强大也是未来提升的方向之一。
越来越多的安全厂商将应对手机安全问题的方法应用在了汽车上,而每一个沦陷在互联网里得人都能感受到,互联之后的汽车除了它本身的属性之外,更多了一层像是架在四个轮子之上的手机的意味,所以安全法则或许确实通用。但不管怎么样,希望这层铠甲装备的更快一点,毕竟,即使是躲在「防空洞」里,有些事儿我们还是应对不了。
