車聯網在提供便利的同時,暴露了哪些安全隱患?
近日,工信部網絡安全管理局局長趙志國在2020中國汽車產業發展(泰達)國際論壇上表示,網絡攻擊正在向車聯網領域發展。「今年以來,發現整車企業車聯網信息服務提供商等相關企業和平台的惡意攻擊,達到280餘萬次,平台的漏洞、通信的劫持、隱私泄露等問題十分嚴重。」
「同時,從車聯網企業網絡安全實際看,產業鏈相關企業,特別是傳統車企,網絡安全意識不強,防護能力不足,安全投入不夠等問題也比較突出。去年汽車行業85%的車聯網關鍵部件都存在漏洞,ID存在身份鑑別等問題,超六成企業缺乏車聯網安全應對手段。」
可見,隨着汽車智能化、網聯化進程的不斷加快,車聯網網絡安全問題正日益嚴峻。不過最讓人感到無奈的還是傳統車企對信息安全的忽視,以及人們對安全認識的不足。
就好像之前李彥宏直言不諱的説「中國人願意用隱私換取某些便利」一樣,似乎認為中國人並不在乎隱私。但大部分人對於這一説法其實是非常氣憤的,還有一部分人可能確實不在意,卻也僅僅是因為他們根本不知道隱私的泄露會對生活產生多大的影響。
不妨設想一下:當你的身份信息、行車軌跡、通話記錄、駕駛行為、家庭住址等都不再有保密性,甚至你在車裏做什麼、説什麼都可能被「監控」,且這一切可以被轉化的數據信息,隨時隨地可以被企業或者網絡黑客調用,但你對此又毫不知情,有何感受?也許有人會説這是危言聳聽,可惜並不是。
根據Upstream Security在年初發布的2020年《汽車網絡安全報告》顯示,自2016年至2020年1月,汽車網絡安全事件的數量增加了605%,僅2019一年就增長了一倍以上。在2019年的事件中有 82%涉及短程和遠程攻擊,這些遠程攻擊不需要物理訪問車輛,並且可以在世界任何地方進行。且2019年,有57%的事件是由網絡罪犯以破壞業務,竊取財產和索要贖金進行的;僅有38%是研究人員所為,其目的是警告公司和消費者發現的漏洞。
另外在所有事件中,有三分之一的犯罪涉及無鑰匙進入攻擊:在過去十年中,前三大攻擊媒介分別是無鑰匙進入系統(30%),後端服務器(27%)和移動應用程序(13%);安全事件造成的後果位列前三的分別是汽車盜竊/入侵(31%),對汽車系統的控制(27%)以及數據/隱私泄露(23%)。在過去的十年中,包括原始設備製造商、遠程信息處理和售後市場服務提供商、乘車共享服務,以及財產和私人信息被盜的消費者都受到了影響。
Upstream Security副總裁Oded Yarkoni也表示:「整個行業面臨的威脅是真實的,而且越來越普遍。」特別是隨着智能網聯汽車的增多,每次被攻擊的潛在破壞力也在增加。
2015年Jeep大切諾基車載娛樂系統被曝存在漏洞,兩名黑客遠程破解並控制了剎車與轉向系統,Jeep公司為此召回了140萬輛汽車,損失巨大,這也是首起因信息安全問題引發的汽車召回;2015年國內某汽車廠商的雲服務也曾被爆存在漏洞,可導致車主信息泄露和汽車被遠程控制。
2017年 6月,美國某經銷商集團數據庫遭到攻擊,涉及多個品牌超過1000萬輛汽車的銷售數據泄露;2017年12月,日產汽車官方宣佈旗下的金融公司數據庫數據信息遭到黑客竊取,客户姓名、家庭住址、車輛品牌和型號,甚至信用評分及貸款金額都在竊取範圍內。
2019年發生的特斯拉Model S入侵事件。黑客僅通過遠程入侵,就可以控制車輛的終端系統,通過Model S存在的漏洞打開車門並開走,此外還能向Model S發送「自殺」命令,在車輛正常行駛中突然關閉系統引擎。
歐洲兩所大學的研究人員甚至表示,通過無線模塊和天線,可以跟蹤一個小城市裏的所有車輛,跟蹤成本不足50萬美元。
360發佈的《2019 智能網聯汽車信息安全年度報告》更是指出,2019年已經出現了兩種新型網絡攻擊方式,數字車鑰匙漏洞也讓汽車安全存在更多隱患。
兩種新型網絡攻擊方式為:1、黑客獲取智能汽車的T-Box通訊模塊後,即可通過通訊模塊接入車廠私有網絡,進而攻擊車廠內網導致TSP淪陷。2、通過使用一種名為Worley的噪音(Worley噪聲能夠模擬石頭,水或其他噪音的紋理)生成函數,通過加補丁的方式生成所需的對抗樣本圖片,以此啓動汽車的自動雨刮器;在道路上貼上對抗樣本貼紙,則能誤導自動駕駛系統,使車輛行駛到對面的車道造成逆行。
可以毫不誇張的説,汽車已成為用户個人信息泄露的「重災區」,車聯網的安全威脅已貫穿整個網絡架構。因為每一輛聯網的汽車都有一個控制器區域網絡(CAN),它就像身體的神經系統一樣,給不同的系統發號施令,例如控制轉向系統、制動系統、車載信息娛樂系統等等。而車機系統作為車主經常使用的電子設備,最易受到網絡黑客的攻擊。比如,黑客可以訪問CAN遠程向車機系統發送指令以竊取個人數據、跟蹤某輛汽車或整個車隊,甚至操控車內更關鍵的系統,如汽車引擎。
確實,現實情況很嚴峻,但車聯網的安全問題各國也一直在想辦法改善。除了政府部門的立法和監督以外,越來越多的汽車企業開始採用漏洞賞金獵人的方式來改進。這些漏洞賞金獵人向發現漏洞並將漏洞報告給所有者公司的研究人員(白帽黑客),然後以此得到補償,這也是企業信息安全中非常流行的方式。
相比手機,汽車對於人身安全的威脅性要高得多,這是毋庸置疑的。而在隱私方面,隨着越來越多廠商使用生物識別技術收集用户駕駛習慣、使用偏好等數據,消費者肯定希望能夠清楚地瞭解到這些信息是如何存儲使用的。因為在互聯網環境下,不管是什麼信息被採集,就一定會有數據庫,就有可能被截獲、重構、重放。如果指紋、虹膜等生物信息也被黑客或犯罪分子獲取,後果將不堪設想。
圖 | 來源於網絡
本文來源於汽車之家車家號作者,不代表汽車之家的觀點立場。