在上百年的汽車業(yè)發(fā)展史上，如果說(shuō)「智能網(wǎng)聯(lián)」是實(shí)現(xiàn)汽車物聯(lián)網(wǎng)的第一只腳印，一點(diǎn)也不為過(guò)。隨著2020年5G基站建設(shè)提速，車聯(lián)網(wǎng)(C-V2X)無(wú)疑是最先受益的核心產(chǎn)業(yè)。

然而，網(wǎng)聯(lián)車在發(fā)展過(guò)程，也顯露出自身一系列安全問(wèn)題，與智能網(wǎng)聯(lián)一同“進(jìn)步”的，還有針對(duì)車輛進(jìn)行攻擊的黑客，以及他們層出不窮的攻擊方式。

盡管智能網(wǎng)聯(lián)汽車看起來(lái)很「聰明」，但想騙過(guò)它，遠(yuǎn)比人們想象的更簡(jiǎn)單。

一、公路上的“安全攻防戰(zhàn)”

360近日發(fā)布的《2019智能網(wǎng)聯(lián)汽車信息安全年度報(bào)告》，對(duì)過(guò)去一年的汽車安全事件進(jìn)行回顧。2019年5月，騰訊科恩實(shí)驗(yàn)室的研究人員通過(guò)一面顯示屏，向一臺(tái)特斯拉Model S“播放”使用Worley噪音函數(shù)模擬了 水紋的圖片。幾秒種后，Model S的自動(dòng)雨刮器開始工作--在沒有一滴雨水的情況下。

特斯拉“大腦”中的神經(jīng)網(wǎng)絡(luò)顯然被噪音“迷惑”了，錯(cuò)誤的判斷了“是否下雨”。

漏洞并非一處，利用相同的原理，研究者又用一塊貼紙成功欺騙了特斯拉道路識(shí)別系統(tǒng)，導(dǎo)致車輛錯(cuò)誤轉(zhuǎn)向。

據(jù)360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室詹鵬翼介紹，由于自動(dòng)駕駛基于圖像識(shí)別算法，針對(duì)其進(jìn)行攻擊的手段，往往通過(guò)生成肉眼無(wú)法快速識(shí)別的“隱形”對(duì)抗樣本，但會(huì)對(duì)自動(dòng)駕駛汽車的視覺識(shí)別系統(tǒng)會(huì)產(chǎn)生極大的危害。

隨著網(wǎng)聯(lián)車的崛起，公路上一場(chǎng)安全攻防戰(zhàn)悄然打響，各大車企面臨著史無(wú)前例的壓力。360公司基于安全技術(shù)的優(yōu)勢(shì)，也將杜絕網(wǎng)聯(lián)車安全事故、開發(fā)出可以防御網(wǎng)絡(luò)攻擊的方案提上了日程。

早在2018年，360便與比亞迪進(jìn)行了合作，當(dāng)年比亞迪發(fā)布的Di-link采用的就是360提供的安全程序，保護(hù)車輛PAD防病毒，防root。

2019年12月，在以安全性著稱的德國(guó)車企梅賽德斯·奔馳，宣布與360公司達(dá)成一項(xiàng)合作。合作中，360安全團(tuán)隊(duì)幫助這家百年車企修復(fù)了19個(gè)系統(tǒng)漏洞。

2020年初至今，從新能源、智能網(wǎng)聯(lián)，再到車道協(xié)同、無(wú)人駕駛，這些與出行相關(guān)的資本概念，均在二級(jí)市場(chǎng)上有過(guò)不俗表現(xiàn)。東風(fēng)證券的分析師認(rèn)為，車聯(lián)網(wǎng)核心突破口集中在通訊端和軟件系統(tǒng)，二者分別位于車聯(lián)網(wǎng)產(chǎn)業(yè)鏈中的上游和中游。而360公司，通過(guò)安全領(lǐng)域的技術(shù)優(yōu)勢(shì)，“擠”進(jìn)了智能網(wǎng)聯(lián)車的上游產(chǎn)業(yè)，拿出了“看家”本領(lǐng)--360安全大腦。

二、新型攻擊方式層出不窮

車道協(xié)同下，若攻擊者成功攻破通信模組，未來(lái)可能會(huì)造成嚴(yán)重的多車事故。

據(jù)360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室成員介紹到，在近期發(fā)現(xiàn)的網(wǎng)聯(lián)汽車新型攻擊方式中，通訊模組可謂是“腹背受敵”，而其中的問(wèn)題出自APN專網(wǎng)。

這種攻擊方式可以通過(guò)TCU的調(diào)試接口或者存儲(chǔ)模塊獲取到APN的聯(lián)網(wǎng)信息和TSP日志信息，進(jìn)而通過(guò)連接ESIM模塊與車廠的TSP服務(wù)器進(jìn)行通信。

APN是運(yùn)營(yíng)商給廠商建立的一條專有網(wǎng)絡(luò)，因?yàn)樗接蠥PN是專網(wǎng)，安全級(jí)別很高，直接接入到車廠的核心交換機(jī)上，繞過(guò)了網(wǎng)絡(luò)側(cè)的防火墻和入侵檢測(cè)系統(tǒng)的防護(hù)。

這么做看起來(lái)很安全，但黑客若成功通過(guò)私有APN網(wǎng)絡(luò)滲透到車廠的內(nèi)部網(wǎng)絡(luò)，那么后果將不敢想象，如果黑客愿意，則可實(shí)施進(jìn)一步的滲透攻擊，實(shí)現(xiàn)遠(yuǎn)程批量控制汽車。

“車企認(rèn)為私有APN是與公網(wǎng)隔離的安全通道，所以多數(shù)車企對(duì)通過(guò)私有APN訪問(wèn)核心資產(chǎn)的安全檢測(cè)和防護(hù)機(jī)制，就沒有像在公網(wǎng)上那么強(qiáng)。”當(dāng)詹鵬翼談到私有APN網(wǎng)絡(luò)漏洞時(shí)，強(qiáng)調(diào)車企若忽視了私有APN連接內(nèi)部網(wǎng)絡(luò)的安全設(shè)計(jì)，無(wú)疑是非常危險(xiǎn)的做法。

2019年8月，百度公司在BlackHat世界黑客大會(huì)上，提到一些通信模組廣泛使用了嵌入式Linux系統(tǒng)和RTOS系統(tǒng)，這類系統(tǒng)存在固然的DDoS、遠(yuǎn)程代碼執(zhí)行漏洞，為黑客提供了侵入到APN專網(wǎng)的“可乘之機(jī)”。從而間接放開了車輛控制權(quán)。

可見，通訊模組漏洞造成的潛在危險(xiǎn)不容小覷。

剛剛提到，360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室在與梅賽德斯·奔馳的研究中，同樣是利用了此類的漏洞。使用新型攻擊手段，實(shí)現(xiàn)批量遠(yuǎn)程開啟車門，啟動(dòng)引擎等控車操作，影響200余萬(wàn)輛奔馳汽車。

在360發(fā)布的《2019智能網(wǎng)聯(lián)汽車信息安全年度報(bào)告》中提到，若安全人員過(guò)度信任T-Box，很有可能忽視私有網(wǎng)絡(luò)和TSP本身的安全問(wèn)題。

360 SKY-GO的研究人員購(gòu)買了幾套不同版本的奔馳汽車通訊模塊(TCU)，搭建出測(cè)試平臺(tái) ，對(duì)其一一進(jìn)行測(cè)試，發(fā)現(xiàn)通過(guò)漏洞，可以繞過(guò)奔馳的車載系統(tǒng)中的安全措施，實(shí)現(xiàn)批量遠(yuǎn)程控車。

為減少這類情況發(fā)生，360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室早在2018 年開始了更安全的車載通信模組的設(shè)計(jì)。通過(guò)對(duì)傳統(tǒng)通信模組進(jìn)行升級(jí)，增加了安全芯片建立安全存儲(chǔ)機(jī)制，并集成了TEE 環(huán)境保護(hù)關(guān)鍵應(yīng)用服務(wù)在安全環(huán)境中運(yùn)行，嵌入了入侵檢測(cè)與防護(hù)模塊，提供在 TCU 端側(cè)上的安全監(jiān)控。

據(jù)介紹，360 安全通信模組可直接與安全通信模組適配或者與TCU 的軟件適配，部署方式簡(jiǎn)單。目前，360智能網(wǎng)聯(lián)車團(tuán)隊(duì)已與國(guó)內(nèi)80%的主流汽車廠商合作，攔截超過(guò)3萬(wàn)5千余次攻擊。

三、總結(jié)

在政策、技術(shù)、產(chǎn)業(yè)三重因素的共振下，2020年將成為車聯(lián)網(wǎng)規(guī)?；涞氐脑?。行業(yè)內(nèi)測(cè)算，到2020-2030年，國(guó)內(nèi)車聯(lián)網(wǎng)總產(chǎn)業(yè)規(guī)模接近2萬(wàn)億元。

據(jù)一家上市公司披露，去年多家車企在不約而同地在車載信息系統(tǒng)上下了大訂單，例如大眾、奧迪，以及國(guó)內(nèi)初創(chuàng)公司華人運(yùn)通，訂單的生產(chǎn)時(shí)間集中在2020年、2021年，這意味著在今后不久的新車型上，購(gòu)車者就可享受到智能網(wǎng)聯(lián)車帶來(lái)的駕駛樂(lè)趣。

近年來(lái)，為向購(gòu)車者提供更好的體驗(yàn)，我們會(huì)發(fā)現(xiàn)一些車企嘗試推廣更智能的功能，例如數(shù)字鑰匙、手機(jī)喚車等便捷功能，所以在這里，再次強(qiáng)調(diào)網(wǎng)聯(lián)車安全也不為過(guò)。

隨著車載系統(tǒng)集成的功能越來(lái)越多，車企選擇與專業(yè)的信息安全公司合作，共同降低網(wǎng)聯(lián)車的風(fēng)險(xiǎn)，保障出行的安全，這無(wú)疑是最明智科學(xué)的選擇。不僅能對(duì)抗已知的種種漏洞，還可以一同做好持久抵御的準(zhǔn)備，將智能網(wǎng)聯(lián)車輛的安全推到極致。(行者崟濤)

關(guān)鍵詞： 智能網(wǎng)聯(lián)車