360公司已接入了超过30万辆车并实时防护,累计拦截攻击35000次。
车东西 | Juice
好莱坞大片《速度与激情8》里面有一个场景,反派黑入了多款车的安全系统中,控制了车辆,使得车辆自己在街上行驶。这样的场景虽然是电影中的桥段,但真实的生活中也已经有这种风险存在了。
▲电影中车辆被远程操控
去年,国内外就发生了14起汽车信息安全事故。有的车企被黑客攻入系统,导致数据大量流出,有的车企旗下车型被黑客黑入控制管理系统并偷走。
网络信息安全问题成为了车企的又一个难题,为了解决这样的一个问题,车企开始选择与科技公司合作,合力应对网络信息安全问题。
近日,梅赛德斯–奔驰研究人员和360智能网联汽车信息安全实验室(Sky-Go)团队共同合作,在梅赛德斯–奔驰智能网联汽车上发现并修复了19个潜在漏洞。
事实上,这并不是360公司第一次在汽车方面发力,早在2014年该公司就破解了特斯拉的车联网系统,并将漏洞提交给了特斯拉公司。
在汽车越来越智能化的今天,科技公司都开始计划切入汽车市场,像360这样的科技公司凭借着其在网络安全方面的经验和技术,正在帮助车企从根源上攻克信息安全问题。
汽车信息安全事故频发 去年全球共有14起
随着智能化和网联化的程度不断加深,如今的汽车越来越像一个装着轮子的电脑。车辆智能化的程度不断的提高也带来了新的风险——信息安全风险。攻击者可通过车辆的应用漏洞、系统漏洞等漏洞对汽车发起攻击,甚至可影响汽车的动力系统,导致车辆被远程控制。
去年,全球就发生了14起汽车信息安全事件,数据泄露、车辆无钥匙状态下被盗等都有发生。
据360公司发布的《2018智能网联汽车信息安全年度报告》显示,2018年7月,大众、特斯拉、丰田、福特、通用、菲亚特克莱斯勒等百余家汽车厂商的机密文件被黑客曝光。曝光内容包括车厂发展蓝图规划、制造细节、客户合同资料、工作计划、各种保密协议文件。
甚至员工的驾驶证和护照的扫描件等隐私信息都被公布了出来,黑客共公布了157千兆字节的内容,共包含了47000个文件。
▲《2018智能网联汽车信息安全年度报告》文件截图
另据英国新闻媒体报道,欧洲多地都发生了无钥匙汽车盗窃案。攻击者利用信号放大器和发射器,将用于无钥匙开锁的LF信号放大,使原本不在安全距离内的钥匙感应到信号,再将用于解锁的RF信号传递到车辆上。这样汽车就会误认为钥匙在合理的范围内,便完成了开车门、启动发动机等动作。
除了已经发生的信息安全事故,部分团队对在售的车型做了网络安全方面的测试,也发现了许多漏洞。
去年10月,梅赛德斯–奔驰在车联网系统方面发现了两个漏洞,一个漏洞会导致车辆的COMAND系统(奔驰研发的独立影音控制管理系统)死机并不断重启,攻击者利用另一个漏洞可以拦截应用程序和服务器之间加密的Connected Vehicle API数据,进而实现远程遥控停车、打开车门和获取车辆信息等行为。
近日,360智能网联汽车信息安全实验室(Sky-Go)团队帮助梅赛德斯–奔驰发现并修复了19个潜在漏洞,未来双方将在智能网联汽车安全领域进行更深入的合作,为数以万计车主的安全保驾护航。
▲360智能网联汽车信息安全实验室帮助奔驰发现并修复19个潜在漏洞
传统车企在智能网联方面起步比较晚存在短板,但作为智能网联汽车的头部品牌,特斯拉也经常会有问题曝出。
去年9月,有攻击者利用特斯拉的无钥匙进入和启动系统来盗取车辆。这个漏洞的原因主要是特斯拉使用了过时的DST40算法来进行系统设计,最终导致攻击者可在数秒内拷贝Model S(参数|图片)的钥匙。
▲特斯拉Model S
为了应对这种问题,特斯拉专门设立了“安全研究员名人堂”,鼓励白帽黑客们一起来“查漏补缺”,帮助他们一起及时发现安全漏洞。国内有不少公司也在帮特斯拉进行“查漏补缺”,360公司至今已经三次入选名人堂,创造了华人团队的入选记录。
▲360公司三次入选特斯拉“安全研究员名人堂”
车企无法独立解决汽车安全问题 需跨界合作
多起信息安全事故反映了汽车制造商在这方面还比较薄弱,为了彻底解决这样的一个问题,车企还需要跟科技公司共同合作。
安全性对于汽车很重要,车企在车辆安全方面也下了很多功夫。车企长期以来都在机械制造方面思考如何能够提升车辆的安全性,经过长期的发展,车企在机械构造方面已经有了很多的经验积累。
但在车辆智能防护方面,车企却并不擅长。
随着车辆智能化程度的不断的提高,车企也开始重视车辆网络安全,但重视不等于能够做到最好。所以,车辆信息安全事故仍时有发生。
相比于车企,科技公司在网络安全防护方面有得天独厚的优势。作为行业的佼佼者,360公司在成立之初就花费了大量的时间和资金在网络防护上面,在PC和手机的安全防护上都有很强的技术积累。
今年两会期间,360公司董事长兼CEO周鸿祎呼吁不要让智能汽车“裸奔”。在今年的第二届世界智能大会上,他曾放狠话称,360公司的研究团队能以最快的速度对市面上新出的车辆进行模拟劫持,不过他也表示,360公司并不会真的去攻击市面上的车辆,要研究盾就需要先研究矛。
▲360车机管家页面截图
在智能网联汽车安全防护方面,仅靠车企一己之力来防护并不现实。为了在智能网联汽车时代推出更加安全的车型,车企也需要去寻找一些外援,和网络信息安全防护公司通力合作才能确保汽车更加安全。
推出360安全大脑 已和国内70%主机厂建立合作
汽车行业的持续不断的发展,也给了更多的企业参与其中的机会。360公司长期以来都在从事网络安全研究,汽车信息安全问题频发也给了360公司切入汽车市场的机会。
基于在信息安全领域的积淀,360公司推出了360安全大脑,已经接入了超过30万辆路面上行驶的汽车并进行实时防护。目前,360汽车安全大脑共拦截攻击35000次,为车厂提供安全评估累积发现车联网超500个安全问题,影响450万辆智能汽车。
该公司目前已经推出了360车机管家、车载入侵检测与防御系统、360汽车防火墙、360车联网安全运营平台等一些列产品,已经和中国70%自主品牌主机厂建立合作伙伴关系,与国内外零部件商、芯片商、软件商也均有合作伙伴关系。
除此之外,360 公司还参与了与国内外行业标准制定工作,同时也参与了多项国家重点专项课题的研究。目前360公司在汽车信息安全方面已经累计申请了超过35项专利,并连续多年发布了汽车信息安全报告。
▲360公司连续发布汽车信息安全报告
结语:智能网联汽车还需网络安全公司保驾护航
汽车作为最重要的交通工具,其安全性也就显得很重要。在燃油车时代,汽车制造商在车辆的机械安全方面已经有了非常深厚的技术积累,汽车生产商通过机械方面的技术就能保障车辆安全。
目前,汽车正在往智能化、网联化方向发展,网络对于汽车的重要性也慢慢变得凸显。但车企精于机械安全,对于网络信息安全却没有太多的应对办法。
为了应对网络信息安全的风险,车企需要跟网络安全公司进行合作,这些公司长期以来在网络安全保护方面已经有了很多技术和经验的积累,在车辆网络安全防护方面有天然的优势。
新四化浪潮下,汽车安全已经扩展到硬件安全和软件安全两方面了,车企为了保障车辆的安全还需要借助网络安全公司的帮助。
