導(dǎo)語:今年7月,兩名美國白帽黑客在吉普自由光行駛時,侵入其Uconnect車聯(lián)網(wǎng)系統(tǒng),遠(yuǎn)程啟動了車上的各種功能,包括減速、關(guān)閉發(fā)動機(jī)等,甚至讓制動失靈。目前中國市場也有很多車型提供車聯(lián)網(wǎng)和駕駛輔助ADAS配置,它們會成為黑客攻擊的下一個肉雞嗎?
自由光被黑,克萊斯勒損失慘重
自由光是通過車聯(lián)網(wǎng)Uconnect被黑客侵入,因此克萊斯勒旗下多款搭載Uconnect系統(tǒng)的車型,均存在這一安全隱患。
7月16日,克萊斯勒通知140萬輛搭載Uconnect系統(tǒng)的車輛車主,對系統(tǒng)進(jìn)行更新。由于Uconnect系統(tǒng)無法通過OTA遠(yuǎn)程下載的方式更新,用戶必須插入U盤手動更新,或者前往經(jīng)銷商處解決。
美國國家公路交通安全管理局對克萊斯勒處理不當(dāng)?shù)恼倩卮胧_出了1.05億美元的罰單,導(dǎo)致7月24日克萊斯勒在紐約證券交易所收盤價格下跌2.5%,為兩周來最大跌幅。
這筆罰款如果落到中國車企的頭上,會導(dǎo)致部分企業(yè)馬上破產(chǎn),因?yàn)楹芏嘀袊嚻竺磕甑膬衾麧櫠疾坏?億美元。所以說向歐美市場出口汽車存在巨大的風(fēng)險,一旦發(fā)生召回事件,損失慘重。
城墻失火殃及池魚
與這一事件直接相關(guān)的公司是車聯(lián)網(wǎng)Uconnect的供應(yīng)商美國哈曼公司。但是哈曼在8月迅速宣布,Uconnect本身并沒有漏洞,被黑客攻擊的原因是克萊斯勒根據(jù)自己的需求對Uconnect進(jìn)行了修改,導(dǎo)致吉普的CAN總線存在漏洞。
與此事件相關(guān)的第二家公司是美國手機(jī)網(wǎng)絡(luò)運(yùn)營商Sprint,這家公司已經(jīng)有近90年的歷史,它為Uconnect車聯(lián)網(wǎng)提供無線網(wǎng)絡(luò)通道服務(wù)。Sprint為車聯(lián)網(wǎng)制定的通訊協(xié)議中規(guī)定,汽車每次啟動的時候都會自動分配一個IP地址,黑客正是利用這個IP地址向自由光的CAN總線發(fā)送錯誤指令進(jìn)行攻擊。
第三家遭殃的公司是日本瑞薩科技,自由光用到了他家的通訊芯片V850。V850負(fù)責(zé)信息娛樂系統(tǒng)與汽車CAN總線的通訊工作,由于V850固件沒有采用簽名機(jī)制保護(hù)固件更新,黑客通過向V850插入惡意代碼進(jìn)行控制汽車CAN總線,達(dá)到攻擊目的。
進(jìn)一步,克萊斯勒的CAN總線通訊協(xié)議也被黑客通過逆向工程的方法破譯,他們才能向自由光的發(fā)動機(jī)、變速箱、制動和轉(zhuǎn)向等核心系統(tǒng)發(fā)起攻擊。
哪些車存在網(wǎng)絡(luò)安全風(fēng)險?
黑客在選擇下手目標(biāo)的原則通常是,撿最軟的柿子捏,沒有哪個黑客會去攻擊一輛安全性很高的目標(biāo)。
目前車輛網(wǎng)絡(luò)安全評級通常分為三大塊:
1. 攻擊面,包括藍(lán)牙、Wi-Fi、蜂窩網(wǎng)絡(luò)連接、智能無鑰匙進(jìn)入系統(tǒng)。所有的無線連接,從潛在角度而言,都可能被黑客利用,找到安全漏洞,并侵入汽車網(wǎng)絡(luò)。
2. 網(wǎng)絡(luò)架構(gòu),決定了黑客進(jìn)入關(guān)鍵系統(tǒng)后,能夠獲得多少權(quán)限,尤其是針對動力、轉(zhuǎn)向和制動等系統(tǒng)。
3. 信息物理功能,主要是指自動剎車、自動駐車、和車道輔助等駕駛輔助ADAS系統(tǒng),黑客可能將一些指令轉(zhuǎn)換為實(shí)際控制操作的功能。
在2014年8月舉行的“黑帽安全技術(shù)大會”上,2014款自由光被評為網(wǎng)絡(luò)安全性能最差的新車,具體評分:
攻擊面:++
網(wǎng)絡(luò)架構(gòu):++
信息物理功能:++
目前99%以上的中國汽車都是安全的
對于第一個安全指標(biāo)攻擊面,主要涉及的功能是車聯(lián)網(wǎng)。2015年我國車聯(lián)網(wǎng)用戶滲透率有望會突破10%,當(dāng)然這是一個比較樂觀的預(yù)計。
對于第三個安全指標(biāo)信息物理功能,目前ADAS在中國市場還處于產(chǎn)業(yè)導(dǎo)入期,估計中國ADAS市場滲透率僅為1%左右。
被黑客選擇為攻擊目標(biāo)的汽車必須同時具備車聯(lián)網(wǎng)和ADAS功能,這是一個必要條件。自由光正是搭載了很多這類功能,安全性又差,所以才變成慘遭攻擊的肉雞。
目前在中國市場上,同時具備兩種功能的汽車,其市場滲透率肯定小于1%,因此目前在中國馬路上行駛的99%以上的汽車都是安全的。
我對中國市場上可能被黑客攻擊的國產(chǎn)典型車型進(jìn)行了統(tǒng)計,如下可以看到這些中級車和豪華車都搭載了很多無線控制和通訊功能,并且對汽車具備很強(qiáng)的控制能力,一旦被黑客侵入,駕駛員將無法控制汽車行駛方向。
京公網(wǎng)安備 11010502049343號