在刚刚结束的SysCan360上,两位世界汽车安全研究泰斗查理•米勒(Charlie Miller)和克里斯•瓦拉塞克(Chris Valasek)演示了切诺基汽车的破解,而360网络安全攻防实验室资深安全研究员刘健皓则演示了比亚迪秦的破解,两个破解都实现了对汽车启停、加油和转向的控制,两场演示表明,汽车的信息系统安全已经直接影响到了汽车安全。
随着互联网应用的普及和深入以及物联网时代的带来,网络安全对现实世界的影响越来越大,也越来越直接,而这一点在汽车行业表现尤为明显。在9月底ISC2015的中国互联网安全领袖峰会上,多位安全专家呼吁关注汽车中的网络安全设计。
美国中佛罗里达大学硬件安全及安全攻防实验室助理教授金意儿在其峰会演讲中分别以电网、汽车和武器为例,分析了针对这些设备的攻击造成的电力事故、交通事故和武器失效,以及恒温器、智能手环、电视盒子等智能设备被攻击后对人们生活的影响,他认为,特定智能设备的攻击,使得工业级的危害成为可能,物联网的安全威胁将是物理世界形成很大的安全挑战。
正如金意儿所言,车联网的快速发展,不断将汽车推向智能化的同时,汽车已经变成了轮子上的计算机,来自加拿大的一份报告显示,2014年款的汽车最多可以有100台计算机的装备,运行6000万行代码,并能够交换每小时25千兆字节的数据,所以汽车的系统安全性也变得日益严峻。
360公司的资深安全技术顾问、网络安全攻防实验室刘健皓独家告诉记者,他们发现了一个比亚迪秦存在的安全漏洞。因为比亚迪秦有一个功能是在无人状态下,车主可以通过手机APP操纵车辆从停车位中倒车。也正因如此,给了黑客以远程操控车辆启动和倒车的可能。
记者在采访过程中发现,无论是去年被黑客破解车辆系统漏洞的特斯拉、还是今年被破的克莱斯勒,抑或是比亚迪秦,他们的共同点是在车联网系统上实现了高度的智能化。通过互联网,汽车可以将相关数据传回车厂,用户也可通过APP反向控制车辆。
“一旦“黑客”知道车辆与互联网连接的IP地址,就可以通过第三方移动设备,对车辆电路板上的相应数据信息进行改写,发出指令随意控制车辆。”刘健皓说。
他强调,目前大力推向新能源汽车领域的分时租赁,其网络安全隐患更大。因为分时租赁基于手机APP进行操控,并且与车辆安全系统直接连接,用户通过手机APP可以进行找车、还车、打开车门,甚至是启动车辆等操作,如果在手机APP上没有做好网络安全性防护,未来无论是新能源车还是传统车辆都会有很大的安全风险。
随着车联网的发展,传统车和新能源车与网络的联系日益密集,整车厂通常会选择将智能汽车的网络组件和车辆的电子控制组件相分离,保证车辆的单一性,降低其联网后存在的网络安全问题。
这样在遇到黑客攻击时,容易受到攻击的只是车辆上的网络软件,不至于影响到整个品牌的车辆安全系统。因为基于IT网络的防盗要比车辆零部件的电子防盗更难。因为车联网的变化是随时更新,这意味着其漏洞也将随时更新,这种漏洞演化的速度是几何倍的增长,在防护领域的控制风险就被无限地增加。
显然,类似于比亚迪这样的整车厂很清楚其车联网的系统漏洞,于是在今年360破解比亚迪秦的云端数据漏洞之时,关闭了云服务器,这种车辆数据的唯一性掌控也可以帮助其控制黑客的攻击。
下一步,新能源与车联网的融合将进一步通过手机APP实现,特斯拉、乐视超级汽车、苹果造车等现在和未来的概念化产品,在实现智能化充放电、寻找车辆以及无人驾驶等未来技术的同时,也需要业内对智能新能源汽车和传统车进行互联网安全技术的不断升级。
