汽车互联的隐患、入侵途径与应对方案

随着汽车与外接设备的连接越来越多，它面临着许多安全隐患，尽管目前行业已经认识到这一点，但从认识到制定出有效的方案还有很长的一段路要走。

相比未来的V2V系统与自动驾驶车全面普及的水平，如今的“汽车互联”还处于初级阶段，但即便如此，已经存在许多方法可以从云端向车载系统进行恶意攻击。位于仪表下方的车载OBD II诊断接口是目前最容易受到恶意软件攻击的位置。从前，它只是汽车机修师用来连接汽车诊断仪的接口，但如今，它甚至能接收WiFi信号从而对车辆进行远程诊断、远程解锁，如果没有信息安全系统的防护，那么汽车将变成“肉鸡”。本文将对汽车互联中存在的信息安全隐患、信息入侵途径与可行应对方案进行盘点。

一、汽车互联隐患

远程代码篡改

为了优化车内电子系统编程，汽车制造商可以改编系统代码，而黑客也能办到，但两者的区别在于，黑客篡改代码是出于恶意。

智能交通系统本质上就是V2V、V2I的交流，黑客可以在信息交流过程中截取并修改数据，从而引起混乱。

在计算机中，一款恶意软件可以被卸载，实在不行可以重装系统。而对于一款汽车来说，被恶意软件入侵将引发突发性的交通事故——即便是音响系统的音量突然被远程调高都会吓到一个全神贯注开车的司机，造成不可挽回的后果。

产品更代周期不同

车内电子元件的更代周期非常长，相比计算机的3年周期，前者几乎是它的3倍。这使得车内电子系统无法即使进行技术更新，存在的漏洞也无法及时修复。

而如果想对部分电子元件进行更换，则会引发新的问题。由于电子元件发展迅速，新的元件未必能与原本的电子系统进行良好的匹配和交互，对于后市场供应商来说又提出了挑战。

通过信息加密看似能够保证车辆连接过程中的安全性，但也存在“一把抓”的顾虑，简单来说，就是恶意数据与正常数据一样会被加密。

安全方案成本高

如果车内的电子系统都采用固定设计，那么更新升级过程将牵涉到巨大的工作量;若使用试探式保护方案，则需要更大的数据处理过程，编程本身造成的麻烦甚至不亚于处理软件入侵;虚拟专用网(VPN)可以提供良好的安全性，但是如果成千上万的汽车用户都使用它的话，成本将非常昂贵。

因此，随着车载电子系统、信息系统与外界的关联日益紧密，信息安全方案急需进行优化。

二、入侵汽车网络的途径

物理连接

即通过特制的芯片，连接到车辆的CANBUS总线上，通过蓝牙、移动数据等方式进行控制汽车，这种方式的缺点就是需要安装，容易被发现;西班牙安全研究人员贾维尔·瓦兹奎兹-维达尔(Javier Vazquez-Vidal)和阿尔伯托·加西亚·易乐拉(Alberto Garcia Illera)3月份展示了他们打造的一种小型装置，成本不到20美元。

这种装置能与汽车的内部网络进行物理连接并输入恶意指令，影响从车窗、前灯、方向盘到刹车的所有部件。该装置的大小相当于iPhone的四分之三，通过四根天线与汽车的控域网(Controller Area Network，简称CAN)连接，从车内电力系统获取能源，随时可以接收远程攻击者通过电脑发出的无线指令并将之输入车载系统。他们把该装置命名为控域网入侵工具，简称CHT。

“连接只需要花5分钟或更少的时间，然后就可以离开了。”德国汽车IT安全顾问维达尔说，“我们可以等待一分钟或者一年，然后启动该装置，指使它为我们做任何事情。”

维达尔说，研究人员能够通过CHT远程输入的指令类型取决于车型。他们测试了四种不同的车型(他们不愿透露具体的生产商和型号)，输入的指令有关闭前灯、启动警报、打开和关闭车窗这样的恶作剧，也有访问防抱死制动系统或者紧急刹车系统等可能导致行进中的车辆突然停止的危险动作。在某些情况下，安装该装置需要打开引擎盖或者后备箱，而在其他情况下，他们说只需要爬到车下安装即可。

目前，这种装置只能通过蓝牙进行连接，这将无线攻击的距离限制在几英尺的范围内。但这两位研究人员说，当他们在新加坡展示他们的研究成果时，将会升级到GSM蜂窝式无线电，使得在几英里外控制该装置成为可能。

OBD漏洞

通过车辆的OBD接口，往汽车里写入恶意程序，以造成车辆的失灵等情况，这个实现起来比较困难，因为OBD接口往往在车内，主要的途径就是车主修车的时候伺机操作;

往车里安装芯片组或是侵入OBD虽说手段并不高明，但确实是最好用的，毕竟现有的汽车控制系统基本都没有进行太多的安全防护，破解起来比较容易，如 果能通过OBD侵入系统总线的话，控制发动机ECU就要容易很多，只要车本身功能足够多，除了可以控制加速和刹车之外，甚至还能接管转向(纯电子助力或线 控主动转向等)。

另外一种流行的隐患，存在于车主自行购买安装的“OBD通讯设备”上，现在部分电子厂商推出了基于读取汽车OBD信息的WIFI或蓝牙设备，可以将 汽车信息通过WIFI或蓝牙传递到手机或电脑中，这样可以让车主自行了解到更多的车辆信息，甚至可以通过手机APP上传到网上，交流油耗等行驶信息，看似 有益无害，实际上也存有隐患，不良厂商可以在设备上植入恶意的OBD侵入程序，而即便是正规产品也可能在销售环节被不良商家做了手脚，这种隐患或许已经实 实在在的存在了。

无线控制

现在高级点的汽车都有联网功能，无论是智能副驾还是互联驾驶，一旦连接到网络上，就极有可能被入侵，这与电脑被黑客袭击是同样的道理。

飞思卡尔半导体技术员Richard Soja表示：“远程无线入侵将变成车载系统最主要的威胁。有许多方法能够将数据保存于某一特定芯片上。”虽然目前远程无线入侵并未被列为最具威胁的车内连接系统攻击手段，不过几项相关研究表明了其潜在危害。元件供应商和子系统开发商正在寻求能够禁止车外人员入侵车内网络的方法。

英飞凌跨职能团队负责人Bjoern Steurich表示：“防范的有效方法之一是在车辆总线上进行数据安全数据传输时采用数字签名的方式。相比将所有经过总线的数据进行加密来说，这一方法更实用，因为它不受网络带宽的影响。”智能手机一直是黑客感兴趣的对象，而随着与车载系统的联系越发密切，它也将成为能够被黑客利用来入侵车内连接系统的突破口。越来越多的用户将智能手机与系统连接，使用应用程序和娱乐功能，期间有大量的数据传输，任何一个漏洞都能导致系统被“黑”。

三、入侵汽车实例

黑客入侵普锐斯和翼虎

去年，Twitter公司软件安全工程师查理·米勒(Charlie Miller)和IOActive安全公司智能安全总监克里斯·瓦拉赛克(Chris Valasek)表示，在获得美国政府许可的情况下，对经由网络入侵攻击汽车进行了数月的研究;未来将发布长达100页的白皮书，其中详细阐述攻击丰田普锐斯和福特翼虎关键系统的方法。

两位专家表示，已经可以实现迫使普锐斯在80英里/时(128千米/时)的条件下猛刹车、使得汽车猛打方向盘、让发动机加速;也能使得翼虎在超低速行驶时刹车失效，无论司机如何猛踩刹车，车辆都将继续前进。

米勒和瓦拉赛克表示自己扮演了“白帽黑客”(White Hats)的角色，即赶在犯罪分子前面发现软件漏洞，以免漏洞被犯罪分子利用的黑客。米勒调侃道：“与其相信福特和丰田的眼光，我倒宁可相信100名安全研究人士的眼力。”

破解六位密码可轻松解锁特斯拉

3月28日，在新加坡举行的黑帽安全会议上，网络安全顾问Nitesh Dhanjani宣称，最近针对特斯拉Model S豪华跑车进行研究，发现该车安全系统存在数处设计缺陷，不过车辆主要系统并未找到隐藏的软件漏洞。

车主在下单购买特斯拉公司电动车产品时，需要设立一个账户，密码为6位数。该密码用于解锁智能手机app功能，进入车主在线特斯拉账户。该免费app功能能够定位车辆并远程解锁，以及控制和监控其他功能。

Dhanjani解释称，特斯拉Model S的账户密码安全度较低，类似盗窃电脑账户密码或在线账户密码的几种黑客手段，都可能让密码的安全保护变得格外脆弱。6位密码变化不多，黑客可能通过特斯拉网站猜出密码，并能够定位车辆，并盗窃相关隐私。

四、汽车网络信息安全对策

生命周期各阶段逐一保障

管理(整体)无论在汽车生命周期的哪一个阶段，产品提供商都必须要坚持不懈地实施安全对策。制定整体方针，并按照这一方针，在各个阶段实施连贯的安全对策。如果每次开发产品和服务时都从零开始制定安全对策，不仅会造成大量浪费，还有可能让组织的安全对策出现偏差。在管理方面，尤为重要的是培养精通信息安全的人才、制定贯穿整个开发体制的基本规则、不断收集与“日新月异”的攻击方式相关的信息。

策划阶段从进入实际的开发之前的策划阶段开始，就要结合安全对策，这一点非常重要。因为在策划阶段，经常要讨论汽车整个生命周期的预算。在这一阶段，汽车的理念、配备的功能都将确定。此时，需要考虑各项功能的安全性的重要程度，为与重要程度相符的对策分配预算。而且，在选择车辆配备的功能，转交给开发方面的时候，一定不要忘记要包括安全要件。

开发阶段在制造阶段，汽车企业及部件企业设计硬件和软件并安装到汽车上，是安全对策的最前线。这一阶段必须要做的是“准确安装要件定义”、“安装时杜绝漏洞”、“万一存在漏洞，也要能在出货之前发现”。至于相关对策，还请参考本连载的前几篇文章。此外，如果预算充裕，还需购置漏洞评估设备等。

使用阶段这是用户通过销售店等渠道买到汽车，实际使用的阶段。在车辆使用期间，位置信息、用户下载的软件、用户的操作记录和行驶记录等大量的信息将存储在车辆和数据中心之中。而且，像汽车共享、租车、公司用车这样，用户并非车主、用户会在短期内更替的情况也为数不少。虽然安全对策要配合用户使用的场景来实施，但也要注意保护隐私。另外，如果在车辆售出后发现漏洞，还必须考虑构筑能将相关信息通知用户和车主、与销售店和维修厂等构建合作应对的体制。

废弃阶段在用户因换购、故障等原因废弃汽车的阶段，往往容易忽视安全对策，因此在这一阶段尤其要注意。废弃的方式包括通过二手车销售店等渠道转让给其他用户、注销后报废等。不同的情况必须采取不同的对策。

用户共同协助

在上面提到的贯穿整个生命周期的举措中，最为重要的是在使用阶段“向用户、汽车相关人员提供信息”。因为在开发阶段几乎不可能制造出毫无漏洞的系统。汽车的生命周期很长。在用户开始使用之后，很可能会出现新的攻击方式和漏洞。

创造在使用后给车辆安装安全补丁的机制可谓势在必行。但是，安装安全补丁最好不要像一般信息系统的软件升级那样使用互联网。作为针对可能遭到瞄准漏洞的攻击的用户确实采取的安全对策，可以在车检时实施升级，纯电动汽车则可以在充电时升级。例如使用嵌入式软件的电视机，就有通过电视信号升级的案例。

另外，废弃阶段的“制定废弃方针等”也容易被忽略，要特别注意。除了车主，汽车还经常由他人驾驶。用户转让二手车的情况也比较多。租车、汽车共享等多位用户同开一辆车的机制也十分普及。这就需要采取措施，防止车主的个人信息落入他人之手。

现在的车载导航仪系统可能保存着车主的住址，公司用车则可能保存着客户的信息，如果车载导航仪可以使用SNS(社交网络服务)，还有可能保存着账号、密码等数据。在信息系统的世界，废弃的硬盘泄露信息的例子很多。汽车上也已经出现了车载导航仪显示以前车主的信息之类的问题。要想确保安全，除了企业采取措施之外，汽车用户的协助同样不可或缺。今后，企业对用户的安全启蒙活动估计会愈发重要。

大数据”降低网络安全成本

如何在“不添人手”的情形下，有效地阻止网络安全危机爆发?如何在更广泛的数据分析中，让系统更容易得出正确的安全策略呢?WatchGuard认为，大数据的思想或许能帮上忙。

如今，安全专业人员匮乏的情况非常普遍。一份来自全球企业增长咨询公司FrostSullivan的报告显示：在访问了12,000多位信息安全专业人士的调查中，有56%的受访者表示他们的机构缺少网络安全方面的专业人才，同时也难以筹措资金负担这方面的投入。

在新西兰首都惠灵顿，一家为用户提供云基础架构和安全托管的服务商便遇到了这个问题。虽然信息安全日益被重视使得许多客户选择了他们这家安全服务公司，但在收益增加的同时，作为MSSP安全服务商，他们与客户的情况类似，同样遇到了“缺人”的难题。公司的决策层表示，从安全风险的角度考虑，绝不能放过每条可疑的日志，因为这是帮助客户排除威胁，保障服务质量的关键。但“人手不够”、尤其是高级网络威胁分析人员紧缺的情况越来越明显，再加上工程师都被繁琐的日志分析工作拖住了，这消耗了所有人的精力，并严重制约了公司业务的发展速度。

在寻找解题答案的过程中，这家MSSP选择了WatchGuard推出的Dimension解决方案。全新的分析系统采用了云计算和大数据技术，非常方便地就能洞察到安全威胁和发展趋势的关键点。公司技术总监表示：他们的业务部门完全可以放开手脚，因为Dimension云安全网络解决方案帮助技术部门实现了智能化、敏捷化、简单化的日志分析工作，并在威胁预警、追踪和分析能力不再完全依靠人力。而Dimension的分析报告更成为了业务收入的增长点，自动化实时生成的威胁评估报告，以及对应的安全策略建议，都为MSSP的客户提供了最高级别的服务。

Dimension工作在更高效和便捷的云操作环境中，并在日志分析方面采用最先进的大数据技术作为底层支撑。思想与技术的融合，让Dimension在第一时间洞察网络变化，并为用户推荐更专业的安全策略。在树形层级菜单的引导下，管理员和决策者都可拥有“属于自己”的数据报表，高效率的挖掘出埋在网络深处危险地带。另外，基于全球威胁地图的展现层设计和超过70种数据集合的报告，更可以让威胁探测的结果清晰可见，这包括动态的仪表盘、专业的指导意见、优秀客户的实践结果。