在30岁这年,王博(化名)终于用自己的积蓄买了人生中的第一辆车,带着女朋友开始筹划已久的自驾川藏线之旅。
但他怎么也没有想到,早在出发之前,车中装有蓝牙电话、车载导航的信息娱乐系统就已经被黑客黑入,他在车上的一举一动早已在对方的监视之中。
黑客要等的,只不过是一个恰当的时机---在车快没油的时候,用导航把他导到一个荒无人烟的地方,在他们用手机打出第一个求助电话的时候,启动“呼死你”程序,阻断他们跟外界的一切联系,开始勒索。
在即将没油时,王博在车中的 LED 的屏幕上,看到车辆被勒索的提示:请在10分钟内,扫码进行支付,否则别指望道路救援送来汽油。
更让王博没想到的是,黑客在启动呼死你的程序后,利用所掌握的车载通讯录上的信息,给他的家人轮番打电话进行诈骗……
5月9日,在亚信安全承办的C3安全峰会上,亚信安全通用企业事业部副总经理刘政平用一个10分钟的小故事,结合亚信安全攻防团队对车载信息娱乐系统的现场破解,引出了车联网安全的重要性。
其实,随着汽车智能化和联网化程度的普及,汽车已经渐渐不再只是简单的代步工具,而是“进化”成为一台大型的物联网终端,甚至被形象的比喻为“4个轮子的电脑”。雷锋网发现,无论是腾讯等巨头,还是各路安全厂商,都盯上了车联网安全这块大蛋糕。
那么,从市场前景来看,为何大家都要来搞车联网安全?与PC和移动安全相比,新兴的车联网安全会有哪些难点亟待突破?走在前面的欧美政府和车企,又是如何应对这个问题的?
车联网汽车在为人们带来诸如智能导航、自动泊车、辅助驾驶、数字多媒体等驾驶体验的同时,由于其中所使用的计算和联网系统沿袭了既有的计算和联网架构,也继承了这些系统天然的安全缺陷。
这就意味着,以往在PC、手机上所出现过的安全问题,未来在车联网中也同样会出现。
在亚信安全通用企业事业部副总经理刘政平看来,市场前景、车厂刚需、政策趋势是大家搞车联网安全的重要因素。
从市场前景来看,5G上来后,物联网肯定会高速发展,而在物联网中,对于车联网的投入要高于对智能家居、工业制造等其他门类,所以车联网安全在市场的空间和容纳度上,是很最高的,这就是大家盯着它的原因。
其次,对于安全厂商来说,在不远的将来,车联网安全也将在业务上为他们带来新的增长。
而回归安全本身,无论是特斯拉的事故,还是最近大众、奥迪的近期引发舆论关注的自动驾驶汽车事故和车载信息娱乐系统漏洞,都反映了车联网安全的迫切性。设想几十万台车召回重新维修或者刷系统,所带来的不光是成本问题,还有品牌形象等一系列影响,车联网安全以后会是车厂的刚需,
对于安全问题,车厂压力很大,如果几十万台车要召回重新维修或者刷系统,无论是对品牌的影响还是具体的成本,都很大。
雷锋网看到,在这次的C3安全峰会中,还设置了一个闭门的智能网联汽车网络安全闭门座谈会论坛,刘政平透露,这个会议是聚集各家车企在一起来讨论如何打造安全的车内装置,并监控和保护车内关键组件的信息安全。这也是因为近年来询问亚信安全车联网解决方案的车企越来越多而应用而生的探讨会。
在以前,车主对于车辆的控制更多是通过物理机械的手段,比如踩油门、挂档等,而未来越来越多的是通过大屏幕来控制车子本身,比如自动巡航、导航系统等,这其中涉及到的所有功能,都可以为黑客提供可趁之机,在未来,车企投入安全的动力会很足。
最后,有关车联网安全的政策也会是将来的趋势,刘政平说,关乎百姓的生命安全,未来一定会有相应的标准出台,而有了硬性的规定后,车联网的安全市场将可能迎来爆发。
趋势科技研发中心产品专家杨丰恺介绍,就像我们之前买手机后都要去配一张 SIM 卡,作为一台“配备4个轮子的手机”,现在每出厂一台智能车,也会相应的配一张4G卡,目前手机的 SIM 卡市场已经趋近饱和,而车企在这块还有很大空间,只是刚刚开始。
但与手机联网后下载一个安全软件不同,车连接网络后,所面临的安全挑战更加复杂。
车本身是高度集成的电子系统,是涉及底层芯片、中层操作系统、各类上层应用和硬件的综合体,绝大多数企业所能接触到的安全问题,车联网都会遇到。
以 ABS 系统为例(防抱死系统),它是为了提高车辆紧急刹车时的安全系数,如果没有它,紧急刹车会出现轮胎抱死,也就是方向盘不能转动的情况。这时候就需要用自动控制系统来实现高频度的点刹,每秒会点几百下,能保证紧急刹车时方向依然可以控制。像这样的电控系统,在一辆车中有几百个。
黑产之前对于 PC 或者手机的入侵大多是为了谋财,那以后利用车联网的直接结果可能就是“害命”。
设想车联网的程度提高后,黑客就会盯上各种传感器的漏洞。安全人员要做的不仅是搞二进制代码,还需要理解车厂的工作流程,拥有深入行业的专精知识。
这就要求安全厂商从汽车最先开始的研发、设计阶段,就制定安全方案,与车厂展开深度的合作,将安全解决方案固化在车辆生产的每一个环节。
这个流程究竟有多长?刘政平对雷锋网给出的时间是,至少3年。周期长是摆在车联网安全面前的一道坎,与此同时,车完全的智能化和网络化应该还有一段时间的路要走, 目前只是在少量的高端车中实现,加上相应的车联网安全的政策也还未出台,所以目前车联网安全更多处于研发阶段,离真正的盈利还有一段路要走。
相比于中国,欧美在汽车智能化方面走的更快一些,他们如何解决车联网的安全问题?未来如果车联网要有突破性的发展,关键点在哪里?
刘政平从车企、政策、生态三个方面分别给出了自己的看法。
在车企方面,他以特斯拉为例,目前特斯拉有安全响应部门,它接受世界上所有的黑客通过正规的渠道来黑它的系统,并且已经有相应的响应渠道来解决安全问题。
比如国内腾讯的科恩实验室就曾成功破解过特斯拉的系统,破解后,他们会给车企相应的时间来升级系统后,再公布漏洞。
在政策方面,欧美已经出台了一些白皮书,来进行车辆信息安全的指导,比如在开始研发设计时,安全团队必须要参与其中;出现问题后,应该如何响应和恢复;对于产业链上的各个部分,都出台认证的标准等。
但就全世界来看,目前还没有一个正规的法案出台,大家也都还处于试水阶段。
刘政平认为,未来5G广泛应用后,随着基础设施的保障和运营商平台的搭建,车联网将迎来爆发式发展,那个时候,车联网安全也将深入生态链上的每一个环节。
比如给车厂提供服务的运营商也将是安全服务的重要对象之一,它将会提供一个车联网的平台,来管控车辆的状态,它将掌握车辆的很多数据,比如这辆车是否需要维保,润滑油、机油要不要换,磨损情况如何等,那时平台上大数据的安全、设备的安全,通信的安全等都将成为车联网安全中的重要环节。