0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

汽车信息安全已进入“刷漏洞”时代

iotmag 来源:未知 作者:李倩 2018-04-11 11:43 次阅读

随着汽车智能网联技术的不断发展,车辆的信息安全也开始得到整个行业越来越多的重视。但是,关于汽车信息化程度提升所带来的信息安全问题,业界至今没有得到有效的解决方案。

4月2日下午,360集团发布了《2017智能网联汽车信息安全年度报告》(以下简称“《报告》”)。在报告中,360集团从智能网联汽车信息安全规范、智能汽车CVE漏洞分析和破解案例分析三个角度,阐述了2017年智能网联汽车信息安全的发展历程。此外在现场的交流环节,360车联网安全实验室的工作人员也分享了几个汽车信息安全领域的真实案例。

汽车信息安全已进入“刷漏洞”时代

2017年4月,我国政府发布《汽车产业中长期发展规划》,再次将智能汽车作为重点内容,明确了不同等级智能驾驶系统。并提出2020年和 2025年的新车装配率的要求。

据发改委预测,预计2020年,中国智能网联汽车新车占比将达到50%。届时每年将有上千万辆智能汽车投放市场,中国也将进而成为智能网联汽车第一大国。

但是,智能网联汽车中存在很多信息安全漏洞。黑客一旦通过漏洞攻击,将会对用户造成巨大的人身、财产损失。目前,已经被发现的漏洞涉及TSP(内容服务提供商)平台、APP应用、Telematics Box(T-BOX)上网系统、车机IVI系统CAN-BUS车内总线等各个领域和环节。这些漏洞有的可以远程控制汽车,有的甚至可以直接对驾驶员和车内乘客造成人身伤害。

令人欣慰的是,汽车信息安全在一开始就受到了电信行业、汽车行业、汽车电子设备行业以及互联网服务商的重视。现代车辆由许多互联的、基于软件的IT部件组成,为了避免出现安全问题,需要进行严格测试。当前,汽车厂商不断加大汽车网络安全的投入,第三方和汽车厂商都建立了CVND等漏洞平台,目的通过共享漏洞信息,提高汽车网络安全领域的总体安全能力。

“2017年,汽车信息安全已进入刷漏洞时代。”360集团智能网联汽车安全实验室负责人刘健皓介绍。目前,国内外汽车信息研究人员发现的TCU和安全气囊等漏洞也分别获得到CVE漏洞编号,这说明智能汽车信息安全漏洞开始受到普遍关注。

对此,《报告》指出,“刷漏洞”已经成为攻击智能网联汽车车的最新手段,汽车厂商应该配备信息安全团队,持续监测漏洞。同时,汽车信息安全标准亟待建立。

国内外安全标准加快制定进度

过去几年,国内外的汽车信息安全标准制定工作也在持续进行中。国际组织(ISO/SAE)正进行21434(道路车辆-信息安全工程)标准的制定。该标准主要从风险评估管理、产品开发、运行/维护、流程审核等四个方面来保障汽车信息安全工程工作的开展。中国代表团也积极参与此项标准的制定,国内几家汽车信息安全企业、整车场,也参与了该标准的讨论,该标准将于2019年下半年完成,预计满足该标准进行安全建设的车型于2023年完成。

与此同时,《智能交通系统通信设备的安全软件更新功能》标准也已经发布,剩下还有新的标准在立项当中。

ISO/TC22道路车辆技术委员会成立ISO/TC22/SC32/WG11 Cybersecurity信息安全工作组(来源:SAE)

在国内标准制定方面,2017全国汽车标准化技术委员会已经组织两次汽车信息安全工作组会议,全国信息安全标准化委员会、中国通信标准化协会等各大国标委,联盟组织在积极研究汽车信息安全标准相关工作,加快汽车信息安全标准的制定进度。

关于增强汽车信息安全能力的四点建议

在活动现场的交流环节,360智能网联汽车安全实验室的研究人员又对《报告》中几个智能汽车破解案例进行了说明。

在《报告》中,360方面详细梳理并分析了4个破解案例。其中包括斯巴鲁汽车的遥控钥匙系统漏洞和车载娱乐系统漏洞,马自达车技娱乐系统破解,特斯拉汽车车联网系统攻击,以及利用“海豚音”(超声波信号)攻击破解语音控制系统开启天窗等案例。

对此,360智能网联汽车安全实验室根据过去一年与诸多厂商的安全实践,提出智能网联汽车信息安全建设建议。

首先,汽车制造厂商应组建信息安全团队或组织,培养专职的人员牵头信息安全工作,将后台和前端放到一起共同协作解决信息安全问题,为全面防护打下良好的基础。

第二,进行合理有效的威胁分析。在360方面看来,车企的信息安全人员应当清晰地意识到,没有绝对安全的系统。人们要做的是建立一个有效合理的威胁分析基础,不要为没有必要或发生概率过低的安全风险花费高昂的防护成本。对此,安全人员应当建立动态防护体系,针对共计能够进行动态调整,进而实现攻防平衡。

第三,控制上线前产品安全验收环节。从以往的破解案例看,当前汽车领域的信息安全手段相对滞后,很多汽车智能化产品在开发设计之初就没有考虑到信息安全问题。同时,国内外没有相关的安全标准可以指导汽车厂商去做正向开发。因此,当前最重要的关键环节,是在上线前把控好安全验收工作,将危害最严重影响最广泛的漏洞解决,进而达到相对安全的状态。后续,车企还要做好持续的漏洞监控,保证不会有新的漏洞造成入侵事件。

最后,360方面还建议各大汽车厂商、供应商、安全公司贡献自己智慧和能力,在国内汽车智能科技领先的条件下,引领国际标准。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 智能汽车
    +关注

    关注

    30

    文章

    2742

    浏览量

    107072
  • 智能网联
    +关注

    关注

    4

    文章

    595

    浏览量

    23209

原文标题:智能网联汽车的漏洞会永远存在吗?

文章出处:【微信号:iotmag,微信公众号:iotmag】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    汽车信息娱乐系统的ESD保护

    电子发烧友网站提供《汽车信息娱乐系统的ESD保护.pdf》资料免费下载
    发表于 09-25 09:42 0次下载
    <b class='flag-5'>汽车信息</b>娱乐系统的ESD保护

    强制性国标!上海控安参编《汽车整车信息安全技术要求》正式发布

    信息化部归口,委托全国汽车标准化技术委员会智能网联汽车分会执行。上海控安在内的汽车科技领域企业、主机厂、Tier1、高校院所、机构中心等单位联合参与编制。 该标准是我国针对智能网联
    的头像 发表于 09-05 17:14 282次阅读

    经纬恒润EAS.HSM:驱动硬件信息安全

    经纬恒润提供汽车信息安全解决方案,旨在借助产品安全平台以及服务,帮助国内汽车OEM及其供应商能够在汽车软件开发全生命周期内大规模评估和降低
    的头像 发表于 06-19 10:40 302次阅读
    经纬恒润EAS.HSM:驱动硬件<b class='flag-5'>信息</b><b class='flag-5'>安全</b>

    小米科技高级安全专家:智能汽车Tbox安全漏洞分析

    GeekPwn和汽车安全比赛并荣获多项大奖。精通IOT、移动端和车联网安全。在车联网安全体系建设和漏洞挖掘上有着丰富的
    的头像 发表于 05-27 14:31 1128次阅读
    小米科技高级<b class='flag-5'>安全</b>专家:智能<b class='flag-5'>汽车</b>Tbox<b class='flag-5'>安全漏洞</b>分析

    四维图新荣获“2024年度优秀智能汽车测绘地理信息安全提供商”奖

    4月11日,“The 6th AutoCS 2024智能汽车信息安全大会”在上海召开,同期举办的汽车信息安全评选活动(ArtiAuto卓越奖评选)从
    的头像 发表于 04-12 11:20 810次阅读
    四维图新荣获“2024年度优秀智能<b class='flag-5'>汽车</b>测绘地理<b class='flag-5'>信息</b><b class='flag-5'>安全</b>提供商”奖

    专家访谈 | 汽车信息安全强标即将落地,企业该如何应对?(汽车安全①:信息安全

    智能网联汽车信息安全随着信息技术的快速发展和智能化趋势的持续推进,智能网联汽车为人们出行带来了前所未有的便利和智能化体验,但是随之而来的用户隐私泄露和网络攻击等
    的头像 发表于 03-12 17:34 1089次阅读
    专家访谈 | <b class='flag-5'>汽车信息</b><b class='flag-5'>安全</b>强标即将落地,企业该如何应对?(<b class='flag-5'>汽车</b><b class='flag-5'>安全</b>①:<b class='flag-5'>信息</b><b class='flag-5'>安全</b>)

    Cybellum汽车检测平台被曝漏洞,官方回复!全球汽车安全监管持续升级

    (谈思汽车讯)2月21日,有媒体报道称,国外知名产品安全平台Cybellum存在高危漏洞,由于该平台被绝大多数的OEM、Tire1以及检测机构广泛用于固件安全检测与管理,消息一经发布,
    的头像 发表于 02-26 14:12 343次阅读
    Cybellum<b class='flag-5'>汽车</b>检测平台被曝<b class='flag-5'>漏洞</b>,官方回复!全球<b class='flag-5'>汽车</b><b class='flag-5'>安全</b>监管持续升级

    Cybellum—信息安全测试工具

    Cybellum是一款信息安全测试与管理工具,帮助汽车OEM及其供应商在整个汽车生命周期内大规模评估和降低安全风险。它无需访问源代码,通过C
    的头像 发表于 01-26 16:48 565次阅读
    Cybellum—<b class='flag-5'>信息</b><b class='flag-5'>安全</b>测试工具

    汽车网络安全:防止汽车软件中的漏洞

    汽车网络安全汽车开发中至关重要,尤其是在 汽车软件 日益互联的情况下。在这篇博客中,我们将分享如何防止汽车网络安全漏洞。 静态分析工具有助于执行关键的
    的头像 发表于 12-21 16:12 1036次阅读
    <b class='flag-5'>汽车网络安全</b>:防止<b class='flag-5'>汽车</b>软件中的<b class='flag-5'>漏洞</b>

    再获认可,聚铭网络入选国家信息安全漏洞库(CNNVD)技术支撑单位

    近日,国家信息安全漏洞库(CNNVD)公示2023年度新增技术支撑单位名单。经考核评定,聚铭网络正式入选并被授予《国家信息安全漏洞库(CNNVD)三级技术支撑单位证书》。     国家
    的头像 发表于 12-21 10:14 578次阅读
    再获认可,聚铭网络入选国家<b class='flag-5'>信息</b><b class='flag-5'>安全漏洞</b>库(CNNVD)技术支撑单位

    智能网联汽车信息安全产业难题及应对策略

    随着汽车网联化、智能化的快速发展,新的网络安全与数据安全的问题不断“衍生”而来,汽车安全防护的边界不断扩大,
    的头像 发表于 12-13 14:22 963次阅读

    中国汽车信息安全发展现状与趋势

    01  智能网联汽车信息安全总体发展与突破 随着整车电子电气架构的集中化演进,5G技术的广泛应用,基于V2X的车路云一体化方案的落地实施,汽车网络安全的挑战也将更加复杂和严峻。 与此同时,新一代智能
    的头像 发表于 12-13 14:16 607次阅读
    中国<b class='flag-5'>汽车信息</b><b class='flag-5'>安全</b>发展现状与趋势

    如何消除内存安全漏洞

    “MSL 可以消除内存安全漏洞。因此,过渡到 MSL 可能会大大降低投资于旨在减少这些漏洞或将其影响降至最低的活动的必要性。
    发表于 12-12 10:29 690次阅读
    如何消除内存<b class='flag-5'>安全漏洞</b>

    智能网联汽车信息安全产业难题及解决方案

    随着汽车网联化、智能化的快速发展,新的网络安全与数据安全的问题不断“衍生”而来,汽车安全防护的边界不断扩大,
    发表于 12-11 11:07 713次阅读

    汽车信息安全-MCU安全启动加密算法选择

    大家思考一个问题,在汽车MCU运行时代码通常都是直接在flash中运行,很少出现把一个功能栈拷贝到ram中运行,主要是MCU的SRAM通常十分珍贵
    的头像 发表于 12-08 09:15 3961次阅读
    <b class='flag-5'>汽车信息</b><b class='flag-5'>安全</b>-MCU<b class='flag-5'>安全</b>启动加密算法选择