据Upstream Security此前发布的2020年《汽车信息安全报告》显示,从2016年到2020年1月,过去四年的时间里汽车信息安全事件的数量增长了605%,其中仅2019年公开报道的针对智能网联汽车信息安全攻击的事件就达到了155起,相较于2018年的80起增加一倍。按照目前的发展趋势,随着汽车联网率不断提升,未来预计此类安全问题将更加突出。
“从风险类型来看,我们认为智能网联汽车面临的信息安全威胁主要有七类,分别是手机APP和云端服务器漏洞,不安全的外部连接,远程通信接口漏洞,不法分子反向攻击服务器以获取数据,车载网络指令被篡改,车载部件系统因固件刷写/提取/植入病毒等被破坏。” 华为智能汽车解决方案BU、标准总监高永强表示。
比如在Upstream Security上述安全报告中,仅车云、车外通信端口和APP攻击占比在所统计的信息安全攻击案例中数量占比就接近50%,成为了当前汽车主要的攻击入口。另外,以无钥匙进入系统作为攻击载体的情况也十分严重,占比高达30%。其他常见的攻击载体还有OBD端口、娱乐系统、传感器、ECU、车内网等,攻击目标十分多元化。
不仅如此,据论坛期间中国汽研联合国汽(北京)智能网联汽车研究院有限公司、浙江清华长三角研究院等发布的《智能网联汽车信息安全评测白皮书》显示,近两年汽车信息安全攻击方式也日趋多样化,除了传统的攻击手段,还出现了利用超声波的“海豚音”攻击,利用照片以及马路标识线的AI攻击等等。且攻击路线也变得越来越复杂化,比如通过多个漏洞的组合对汽车发起攻击,导致汽车的信息安全问题日益严峻。
“另外,目前信息安全的概念开始融入在整车及零部件正向开发的全过程中,从早期的项目策划、工程设计到中期的样机生产、测试评价再到后期的批量生产、产品交付,甚至使用、报废回收等阶段,都嵌入了信息安全内容。且由于车辆成为移动互联终端后,会涉及智能交互、智能体验、辅助驾驶、自动驾驶、软件远程升级等多个方面,导致汽车的信息安全还需要从整个生态圈的角度去考虑。” 中国汽车工程研究院股份有限公司总经理万鑫铭表示,可谓任务十分艰巨。
很关键的一点在于汽车“四化”的发展,让车内的功能较之前有了大幅度的增加,车与车、终端应用、路边基础设施及云端之间的联通也随之大大增强,由此导致更多的信息安全接入点和风险点被暴露出来。
进一步分析,华为智能汽车解决方案BU、标准总监高永强认为四个方面的情况尤为凸显:第一,由于汽车智能化和网联化发展,让智能网联汽车与外部的连通性增强,得以产生很多用户的隐私数据,激起了攻击者更高的兴趣;第二,智能汽车上软件的大规模应用,导致车内代码数量激增,漏洞数量也随之增加,给了攻击者更多的可乘之机;第三,基于车云通信和短距通信等,为攻击者提供了更多的攻击面;第四,影响较攻击传统的功能汽车更为恶劣,由于汽车与外部的连通性正越来越广,一旦出现网络安全漏洞,除了对本车及车主造成安全威胁,甚至还有可能蔓延至其他车辆,甚至上升到公共安全乃至国家安全层面。
而从防护技术来看,目前汽车行业在信息安全方面的防护基础整体较为薄弱,也是导致信息安全泛滥的主要原因。比如在车端,据中国信息通信研究院副院长余晓晖分析,三类问题较为突出:第一,车内防护不足,受限于成本、技术成熟度等因素,目前车内防护仍以软件措施为主,身份认证、加密隔离等应用不足;第二,对关键零部件、整车系统级软硬件的风险评估能力不足;第三,网络安全测试评价基础薄弱,在车内部件、整车等方面测试验证能力不足,整车渗透还主要依赖于人工实施,渗透深度和水平缺乏可量化评估标准。
在通信层面,业内的防护水平也是参差不齐。以车云通信为例,现阶段整车企业对通信加密、车载端访问控制、分域管理等措施的部署,进度就各不相同。对于漏洞频现的数字车钥匙,企业在通信安全方面的重视程度也很有限,安全机制普遍不足。至于C-V2X直连通信方面,大部分企业在证书管理系统、终端解决方案和企业初始配置环境建设等方面,更是还处于试验验证的初级阶段,跨汽车、交通、通信等行业的安全认证机制仍有待加快推进。
还有云平台方面和应用层面,安全问题也十分突出。“比如对云控类平台进行攻击,是可以直接延伸到对车本身的攻击;交通管理类平台一旦信息被篡改,则有可能引发大范围交通事故,甚至交通瘫痪;而对于信息服务类平台,遭受网络攻击有可能引发大范围用户隐私数据泄露。” 余晓晖表示。然而目前在平台安全防护方面,口令复杂度低,远程配置登录接口违规暴露,网络区域划分隔离不当,跨站脚本、文件上传漏洞多发等问题还普遍存在。以上种种,均导致现阶段汽车信息安全隐患重重。
