■IT时报记者 许恋恋
当你开着车,忽然发现雨刮器自己“舞动”起来,更为可怕的是,当你踩下刹车时,发现原本应该停下的车还在继续行驶,完全不听“指挥”。近日,在上海举行的SyScan360亚太前瞻信息安全技术年会上,一段黑客攻击让汽车失灵的视频看得所有与会者心惊肉跳。
前不久,美国东海岸发生震惊全球的断网事件,Twitter、亚马逊、《华尔街日报》等数百个重要网站无法访问,美国主要公共服务、社交平台、民众网络服务全部瘫痪。当时,智能硬件就是黑客发起攻击的“肉鸡”。
当万物开始互联,原本容易被厂商忽视的智能硬件安全话题渐渐走向台前。
车联网天然继承了“安全隐患”
“所有的智能电视都有可能瞬间被攻击,”来自英国的Adam Laurie是一名“老炮儿”黑客,十年前曾攻击酒店的电视,并侵入饭店系统,轻而易举获取房客消费记录等私人信息。
想象一下当你窝在沙发看电视,突然屏幕上出现“I HACK,THEREFORE I AM”(我是黑客,所以我来了)字样时,你是觉得好笑还是恐怖?在SyScan360大会上,Adam Laurie详细介绍了针对所有目前符合 “Freeview”标准英国电视的攻击,他新发现的漏洞存在MHEG电视标准里,目前采用MHEG标准的国家和地区有爱尔兰、新西兰、澳大利亚和中国香港等。该漏洞影响巨大,不但最新的智能电视受到影响,就连爸妈家里的老式电视机也可能受到影响。
虽然Adam Laurie表示自己是个“麻烦的制造者”,可能还是个“坏分子”,但他希望漏洞能引起传统厂商对智能硬件安全的。
和电视这个“大件”相比,汽车就属于“巨型智能硬件”了。相比于电视,汽车的软肋在“车联网”。据了解,目前汽车的普通车型拥有25到200个不等的ECU(电子控制单元),高级轿车有144个ECU连接,软件代码超过6500万行,无人驾驶的软件代码超过2亿行;5年之后,每一辆智能汽车每天产生的数据量在4000GB左右。
“汽车中使用的计算和联网系统沿袭了目前的计算和联网架构,所以也继承了这些系统天然的安全缺陷。”360车联网安全中心安全专家刘健皓在接受《IT时报》记者采访时表示,随着汽车中ECU和连接的增加,将大大增加黑客对汽车的攻击面,尤其是汽车通过通信网络接入互联网连接到云端之后,每个计算、控制和传感单元,每个连接路径都有可能因存在安全漏洞从而被黑客利用,实现对汽车的攻击和控制。
“汽车被黑客控制的危害很大,不仅会带来驾驶者个人信息和隐私的泄露,还会直接带来人身财产的损失,甚至直接影响公共安全。”刘健皓表示。
汽车行业开始抱团取暖
实际上,近年来已经发生了多起汽车信息安全事件。
2015年7月,两位美国黑客远程破解并控制了克莱斯勒的JEEP汽车,克莱斯勒因此召回了140万辆汽车。2015年8月,国内某汽车厂商的云服务也曾被爆存在漏洞,可导致车主信息泄露和汽车被远程控制。另有欧洲两所大学的研究人员表示,通过无线模块和天线,可以跟踪一个小城市里的所有车辆,跟踪成本不足50万美元。
在新的安全隐患威胁下,汽车行业对车联网安全也日益重视。据了解,通用、特斯拉、大众等多家汽车厂商通过公开招募安全人员、成立安全公司或者与安全机构合作的方式,来应对汽车的信息安全问题。大多数汽车厂商已经开始着手建立相应的体系、采取相应措施来保护信息安全,但受制于投入、人员、技术能力和经验的不足,仍无法通过完善的体系来保证汽车整个生命周期的信息安全。
《IT时报》记者了解到,国内安全厂商360也为此成立了车联网安全中心,并推出360汽车卫士、CANPICK等多个汽车安全防护和检测产品。“360汽车卫士相当于家用电脑的360安全卫士,具有车载电脑杀毒、清理、root检测、汽车控制监控等功能,CANPICK是一款基于可视化的车联网安全验证工具,可以用于汽车总线安全设计、测试、评估以及汽车整车安全验收。”
刘健皓告诉记者,目前360车联网安全中心的工作重心是联合合作伙伴,制定汽车信息安全的相关规则。据了解,360与北京航空航天大学、浙江大学、特斯拉、长安汽车、比亚迪、长城、BOSCH、VisualThreat等研究机构、汽车生产企业和汽车信息安全相关厂商都进行了深度合作。
“我们在汽车信息安全领域已经积累了三年,与包括政府主管部门在内的汽车产业链进行了深入合作,参与了国家‘智能网联汽车技术路线图’等多个重大科研项目。”360公司副总裁、首席安全官谭晓生透露。