车联网:如何面对安全挑战?
现在,拥有一辆什么牌子的汽车最赚眼球?“特斯拉”,那简直是一定的!如果它启动的时候屏幕上跳出“您的特斯拉启动时间打败了全国98%的用户”,那就简直是一种成就感了。对,这就是车联网的魅力!不过,与此同时,你是否也感觉到一丝不安?
特斯拉真的有漏洞?
7月,软件公司360对外表示,其专业团队研究了Tesla Model S型汽车后发现,特斯拉汽车应用程序流程存在设计缺陷。攻击者利用这个漏洞,可远程控制车辆,实现开锁、鸣笛、闪灯、开启天窗等操作,并且能够在车辆行驶中开启天窗。
360公司表示,已经将相关的漏洞细节和解决方案提交给了特斯拉,并称愿意提供相应的漏洞修复技术支持。据悉,这是全球专业安全公司首次发现特斯拉应用程序的漏洞。虽然360首席科学家蒋旭宪教授同时安慰特斯拉车主不必过于担心车辆会遭到不明攻击,因为攻击者成功利用这类漏洞实施攻击的概率非常低,但由此引起的对车联网安全的讨论却没有因此终止。
特斯拉方面随后做出回应称,愿意与安全研究人员合作,验证并修复该漏洞。特斯拉表示,鼓励安全研究人员发现特斯拉车载系统潜在漏洞。
虽然360团队也在微博上说“这个漏洞的实际利用难度较大,普通车主完全可以通过关闭远程访问来避免被远程控制的危险。”但对于Model S来说,一旦关闭了远程访问,就等于关闭了其核心服务之一,因为工程师需要远程控制来监控Model S的健康情况,并及时提醒车主Model S可能发生的异常。
引发对车联网的担忧
对特斯拉漏洞的质疑,不禁引发人们对车联网的担忧。车联网(汽车移动物联网)是物联网在汽车领域的具体应用,早期其主要功能是通过装载在车辆上的电子标签,利用无线射频等识别技术,实现在信息网络平台上对所有车辆的属性信息和静、动态信息进行提取和有效利用,并根据不同的功能需求对所有车辆的运行状态进行有效的监管和提供综合服务。
现在,随着车联网技术与产业的发展,车联网的概念已不止于此,根据车联网产业技术创新战略联盟的定义,车联网是以车内网、车际网和车载移动互联网为基础,按照约定的通信协议和数据交换标准,在车-X(X包括车、路、行人及互联网等)之间,进行无线通讯和信息交换的大系统网络,是能够实现智能化交通管理、智能动态信息服务和车辆智能化控制的一体化网络,是物联网技术在交通领域的典型应用。
也就是说,不论是车载互联解决方案,还是OBD盒子,归根结底都可以用“车联网”三字来概括。不仅如此,由移动互联所推动的技术革命浪潮正在使车联网成为各大汽车企业研发的重点。动态交通信息、车辆防盗、紧急救援、无人驾驶等功能开始越来越多地在各个车型上实现,推动车联网迅速发展的一个重要原因就是:通过互联网技术的引入,显著提升汽车的安全性。
正如中国移动研究院首席科学家杨景所说,开放的移动互联网和汽车、交通等产业融合,将产生巨大的化学效应。尤其是交通安全,目前经验证,自动驾驶技术可以将交通事故减少80%,减少绝大多数死亡事故。基于车联网的新交通安全方法在不断测试,新的信息通信技术将变革当前的交通体系,也将改变汽车业的格局,形成一个全新的生态环境。
威胁在哪里?
然而,和汽车本身的安全不同,IT系统的漏洞就像筛子一样,所谓道高一尺魔高一丈,你并不能保证还有新的漏洞被攻击。比传统的网络安全更可怕的是,车联网不仅仅涉及信息泄露的危险,更涉及行车安全。倘若人们只需要一些简单的设备加上手机软件就可以对智能汽车进行攻击,通过远程遥控,让汽车在驾驶途中突然熄火,可以打开后备厢进行偷盗等等,这些都将是灾难性的创伤。
中国工程院院士郭孔辉就认为,目前智能汽车上至少有超过80个智能传感器,每天向车联网云端传输的数据据说达到100兆,这些数据涵盖了汽车和驾驶者个人的各类信息。利用市面上随手可得的汽车诊断设备再加一款应用软件,就可以实现对智能汽车的攻击。
卡巴斯基实验室首席安全研究员也表示,互联汽车容易遭受PC和智能机世界中现存威胁的攻击。例如,互联汽车拥有者会发现其密码被盗。而这将会定位汽车位置,并远程将车门解锁。隐私问题至关重要,如今的汽车驾驶者须认识到这些前所未有的新兴威胁。
如何应对安全挑战?
7月19日,署名“布莱德舰长”的比亚迪(002594,股吧)员工发布微博称:最近听说360破解了特斯拉的车载系统,远程解锁并取得了控制权。现在我受比亚迪汽车电子事业部委托,向360安全卫士下战书。我们的最新车型“秦”上搭载了更为先进的云服务系统,如果攻破,甚至可以远程遥控驾驶车辆。期待360们的破解,不仅是对您实力的展示,更是对我们系统的检验。对此,业内人士分析称,比亚迪隔空喊话360,也体现了厂商对汽车系统安全的重视。
安全专家、OWASP北京负责人陈亮称,360率先发现特斯拉的应用软件漏洞,体现了其作为一家安全企业对安全趋势的敏感和技术实力,而特斯来的积极回应则体现了其开放和负责任的态度。而此次360与特斯拉的良好互动,也为安全企业携手汽车企业,共同维护智能汽车的安全开了一个好头。
面对车联网安全的挑战,长期致力于通信安全和网络安全研发的爱立信全球汽车产品总监E dvard B rinck就表示,无论是之前的互联网时代,还是现在的云时代,爱立信都有相关的网络安全的解决方案,如向云提供相关的服务和应用,它就有单一的接入点。另外,在身份认证和安全防护方面,无论在自己传统的电信领域,还是跟沃尔沃这样汽车厂商合作的领域,爱立信都应用最高级别的身份识别和安全防护技术。
虽然现在看来担忧车联网的安全还有点早,但车联网的时代必然到来。未来,可能需要安全厂商、汽车厂商、政府主管部门协会的通力合作,才能形成基于智能汽车的安全产业标准,做到真正的防患于未然。
(责任编辑:HF035)