小心,,你的聯(lián)網車 副駕駛可能“坐”著黑客
百度公司董事長兼CEO李彥宏曾經在兩會上暢想過智能車的未來:只要把車開上高速,你就能吃著火鍋唱著歌,,被車輕輕松松地從北京載到上海,。
360集團董事長兼CEO周鴻祎后來在公開場合“皮”了一下:有一天,你吃著火鍋唱著歌,,可能智能車就被黑客劫持了,。
周鴻祎素來喜歡“放炮”,但他描述的畫面,,并非聳人聽聞。
前不久,,以色列一家汽車聯(lián)網安全公司的CEO阿米·多坦說了這么一番話:自動駕駛汽車系統(tǒng)可能會充滿漏洞且易被黑客攻擊,。
當車輛接入網絡,也就給了黑客遠程攻擊的機會,。360智能網聯(lián)汽車安全實驗室負責人劉健皓被稱為“破解特斯拉第一人”,,他曾發(fā)現(xiàn)特斯拉Autopilot(自動駕駛系統(tǒng))存在傳感器漏洞并將漏洞提交給了特斯拉公司的安全部門。劉健皓在接受科技日報記者采訪時表示,,漏洞不可避免,,也不可能被完全清除,信息安全攻防是一場動態(tài)的持久戰(zhàn),。
存在漏洞,、錯誤是代碼的通病
阿米·多坦給出了這樣一組數字:“聯(lián)網汽車每1800行代碼就會存在一些錯誤,其中80%是安全漏洞,。”他還表示,,一輛聯(lián)網汽車和一輛自動駕駛汽車的潛在安全漏洞數目分別為5000和15000。
這是怎么算出來的,?
北京理工大學網絡攻防對抗技術研究所所長閆懷志告訴科技日報記者,,國際著名的CMMI(軟件能力成熟度集成模型)將軟件能力成熟度分為5級,其中1級最低,,5級最高,,4級和5級的千行代碼缺陷率分別為0.92‰和0.32‰。聯(lián)網汽車“每1800行代碼就存在一些錯誤”,,表明其軟件能力成熟度大致在CMMI 4級和5級之間,。“雖然聯(lián)網汽車代碼成熟度達到了較高水平,但顯然還有一定的提升空間,。”閆懷志說,。
閆懷志認為,,軟件代碼出現(xiàn)漏洞,是由軟件開發(fā)和應用過程中的不正確或遺漏行為所造成的,,也就是在軟件設計,、實現(xiàn)或應用過程中有意或無意導致軟件架構或其具體實現(xiàn)與期望不符。“漏洞的出現(xiàn)是所有軟件代碼的通病,,不僅僅局限于聯(lián)網汽車與自動駕駛應用領域,。”不過,漏洞出現(xiàn)的頻率又跟軟件研發(fā)和保障水平密切相關,。比如,,在級別不同的CMMI研發(fā)保障能力下開發(fā)出來的代碼質量和漏洞數量會有顯著差異。“自動駕駛軟件屬于典型的工業(yè)應用軟件之一,,其安全漏洞的潛在危害性,,尤其是對人和物理環(huán)境的破壞性都極大,和普通軟件的危害不能同日而語,。”閆懷志強調,。
有漏洞不是稀奇事。中國科學院微電子研究所副研究員王云表示,,隨著汽車智能化水平的提高,,一輛車上的代碼可能有幾千萬甚至上億行,存在錯誤和漏洞是肯定的,。“不光自動駕駛行業(yè),,傳統(tǒng)軟件行業(yè)都會有各種錯誤,不管是Windows還是iOS,。”
車載娛樂系統(tǒng)易成被侵入對象
漏洞是如何被發(fā)現(xiàn)和修復的,?
王云介紹,成熟的軟件開發(fā)都會有標準流程,,會對需求,、架構設計方案、代碼模塊設計接口,、代碼機制等環(huán)節(jié)進行代碼測試與評審,。通過規(guī)范的流程,大部分代碼漏洞可以被發(fā)現(xiàn),,但是依然有少部分漏洞不會被測試用例覆蓋,。
“聯(lián)網汽車涉及各種協(xié)議或操作系統(tǒng)、應用軟件,,存在漏洞的地方更多,。目前被發(fā)現(xiàn)的漏洞涉及TSP(內容服務提供商)平臺、APP應用、Telematics Box(T-BOX)上網系統(tǒng),、車機IVI系統(tǒng)CAN-BUS車內總線等各個領域和環(huán)節(jié),。”王云表示,協(xié)議,、操作系統(tǒng)存在的漏洞都可能被利用,,造成的危害也不一樣:有的能讓黑客竊取用戶信息,更嚴重的能讓黑客控制汽車,。
劉健皓把漏洞比喻為銀行的后門,。大門處有重兵把手,但后門可能就是防護真空,。有心人士能通過后門大搖大擺進來“搞事情”,。而且,很可能銀行自己都不知道有這個后門,。
車聯(lián)網及自動駕駛軟件,,實現(xiàn)了車—車之間、車—人之間,、車—路之間的高效互聯(lián)互通與信息共享,,并為車聯(lián)網智能決策和優(yōu)化提供了基礎支撐,但它也讓聯(lián)網車在信息安全,、功能安全及隱私保護等方面,,面臨著前所未有的嚴峻挑戰(zhàn),。閆懷志說,,黑客可以利用車載終端系統(tǒng)、車聯(lián)網云平臺,、移動APP,、OBD(車載診斷系統(tǒng))等系統(tǒng)的漏洞對車輛實施攻擊,實現(xiàn)對智能車輛的操作控制,。不安全的代碼也可能在無攻擊的情況下“自行”失效,,導致車輛行為失控。
“有通信,、接口的地方就容易遭到攻擊,。”劉健晧說,黑客攻擊車輛可以分為物理接觸,、近場控制,、遠程控制3種。在智能網聯(lián)時代,,黑客能“順著網線”悄無聲息地進入你的車,。
在測試聯(lián)網汽車時,劉健皓團隊也發(fā)現(xiàn),車載娛樂系統(tǒng)易成為被侵入的對象,。如今,,汽車的中控系統(tǒng)做得越發(fā)酷炫,為了給用戶更為高科技的人機交互體驗,,一些實體控制按鈕被集成到了車載娛樂系統(tǒng)當中,,該系統(tǒng)通常也要為用戶提供互聯(lián)網內容。于是,,黑客就能通過車載娛樂系統(tǒng)的漏洞一舉控制車輛的儀表盤甚至制動系統(tǒng),。
從已有的案例來看,最夸張的情況是,,黑客能控制車輛動力和轉向系統(tǒng),。比如遠程啟動一下發(fā)動機,比如讓你的方向盤有“自己的想法”,。而且,,如果黑客破解了某車廠的后臺,他就能用同樣的方法橫向批量影響到所有該品牌的汽車,。
所以,,如果有汽車在道路上集體“抽風”,也不是不可能,。
打一場動態(tài)信息安全攻防戰(zhàn)
當然,,如果真“集體抽風”就成了公共安全事件,一切都要防患于未然,。聯(lián)網車并不只是黑客的獵物,,實際上,車廠也會采取種種措施升級自己的防護機制,。與入侵者斗智斗勇,,本身就是一個你來我往、你攻我擋的動態(tài)平衡過程,。
“安全防護不只是防護某個‘點’,,一定要做到全面。”劉健皓說,。所謂的全面,,指的是在云(云服務)、管(通信),、端(車載終端),、控(控制系統(tǒng))上全面保駕護航。
閆懷志表示,,代碼錯誤的避免和糾正,,需要標本兼治,,且應以治本為主,治標為輔,。“標”是采用各種漏洞挖掘,、分析、測試及修復手段來避免或減緩其安全威脅,;“本”上還是應該嚴格遵循軟件安全工程規(guī)范,,從源頭上解決問題。尤其是對于車聯(lián)網和自動駕駛這種工業(yè)軟件來說,,要特別重視功能安全與信息安全二者的結合,,從其全生命周期統(tǒng)一考慮各種安全因素。“具體來說,,是識別工業(yè)應用軟件的危險,,定義其安全需求,然后進行安全設計,、安全編碼及安全測試,,進行有效的缺陷管理,即實施基于功能安全與信息安全融合的工業(yè)應用軟件安全工程方法,。”
閆懷志介紹,,在進行具體安全設計和代碼編寫時,可參考多種安全編碼標準和指南,。比如,,汽車行業(yè)可以參考汽車電子功能安全標準(ISO 26262),還可以參考國際著名的MISRA(汽車工業(yè)軟件可靠性聯(lián)合會)的工業(yè)C編程規(guī)范,。“該規(guī)范為汽車嵌入式系統(tǒng)編碼提供了有關安全可靠性的最佳實踐,。”閆懷志說。
王云透露,,國際組織(ISO/SAE)正進行21434(道路車輛—信息安全工程)標準的制定,。該標準主要從風險評估管理,、產品開發(fā),、運行/維護、流程審核等4個方面來保障汽車信息安全工程工作的開展,。
在具體實踐上,,360智能網聯(lián)車安全實驗室給車企的建議是——“逆向思維”。在車輛正式推出之前,,他們會對合作車企車輛進行測試,,模擬黑客對車輛進行攻擊;發(fā)現(xiàn)漏洞后,,讓車企對薄弱環(huán)節(jié)進行修正,。車輛上市后,,團隊會為車輛做全生命周期的安全管理,監(jiān)控和防護其可能遭到的攻擊,。
“沒有一個安全公司能夠保證車輛百分之百安全,,跟黑客對抗的過程是動態(tài)防護的過程:發(fā)現(xiàn)攻擊、阻斷攻擊,、下發(fā)更新策略……”劉健皓強調,,“我們希望為每個車廠建立一套安全的運營體系,實現(xiàn)自主品牌車輛的安全運營,。”
責任編輯:葉著