车联网、自动驾驶技术的发展给汽车带来便利,如汽车应用可以向支付、社交、娱乐等更多场景扩展,但同时也增加相应的信息安全威胁。
2020年11月12日,中国电子信息产业发展研究院副总工程师安晖在世界智能网联汽车大会主题峰会上表示,智能网联汽车领域的信息安全事件,呈现加速上升的趋势。从2016年-2019年,智能网联汽车信息安全事件数量增长7倍。2019年,有82%的安全事件源于远程攻击。
他谈到,智能网联汽车和现在的智能手机、智能手表的安全问题有比较大的区别。在智能手机上的一些安全问题,还是资金方面为主,而智能网联汽车不是这样,它和车子硬件有直接的相关性,如果通过软件操控硬件,产生道路安全、交通安全的问题,给大家带来的则是不可挽回的生命安全损失。
“现在有一些黑客恶意攻击社会秩序,例如特斯拉,去年美国有关机构已经防范黑客分子想通过百万美元贿赂特斯拉内部的人员进行攻击事件。除了交通、民用车辆之外,*队军**、无人车等现在也有被攻击事件发生。国外甚至有*用军**的坦克自动驾驶系统遭遇攻击。”安晖表示,智能网联汽车涉及安全的攻击事件越来越多。
正因如此,像美国、欧洲、日本对于智能网联汽车安全性非常重视,已经陆续推出很多的标准。但这些标准处在早期的阶段,一些具体技术规范仍然比较欠缺。而国内在这方面也一直不断探索。
在技术上,到底有什么要求,怎么实现保证安全?目前大家在探索的过程中。
国内对于智能网联汽车信息安全非常的重视。工信部在出台的车联网智能网联汽车产业发展行动计划等政策文件中明确了强化管理、保障安全的基本原则,并围绕健全安全管理的体系,提升安全防护的能力,推进安全技术的手段建设,落实企业主体责任等方面,就车联网、网络安全作出了系统的部署。目前,工信部正就网络安全标准体系框架征求意见。
按照国内智能网联汽车标准数量,这几年逐渐的提高,2018年-2020年显著增加,2020年超过30件。
这些车辆的安全防范效果如何?据了解,中国软件评测中心智能网联汽车测评工程技术中心(以下简称赛迪汽车)参考ISO/SAE-21434《道路车辆 信息安全工程》、20191065-T-339《汽车信息安全通用技术要求》等国内外标准,提出了智能网联汽车信息安全渗透指标体系,主要有四个方面,即车载信息交互安全、车内外通信安全、APP安全以及接口安全。并选取了市场上已经投入使用的10款车型,在保持车辆完整的情况下进行测试,从中发现涉及安全性的问题。
除了参考上述标准外,赛迪汽车还特别针对此次测评专门制定了两个新规划,分别是智能网联汽车车载端信息安全测试规范评价和自动驾驶汽车信息安全测试评价,这些评价标准也应用到工信部的相关工作中。
测试的场景重点围绕三个方面,一是完成入侵,包括恶意发送指令,个人信息泄露。二是近距离攻击风险,用户接触攻击。三是APP调试,OBC文件的解析方面。总体来说,覆盖了现代智能网联汽车可能遭遇的主要风险。
在大会现场,安晖发布了相关测试结果。从中可以看到,此次测试的10款车型在安全方面主要有以下几点问题。
一是语音助手的身份校验。语音助手是智能网联汽车的标配,我们使用语音助手的时候是否知道我们是谁,是否保证我们的安全,在这样的身份验证方面,70%车型没有完全考虑到这一点。
二是60%的车辆在车载信息交互模式、第三方应用和软件升级安全校验方面存在一定的风险,这些风险可能带来一定的安全隐患,尤其是在工程模式入侵方面,认证机制比较柔弱,服务风险较高。用户的权限,缺少有效的隔离,如果多用户使用,对权限如何控制,考虑不是很多。包括个人隐私的泄露、系统的篡改、恶意程序的篡改可以变得轻而易举。
三是车内外的通信。通过测评,发现有5款车与PSP的通信对接是篡改的,4款车OBD安全方面存在风险,还有1款车钥匙的指令可以重放,导致随时不可预计的指令注入,将会引发很大的风险。
四是通信攻击,包括蓝牙的攻击,缺少安全的认证机制。TST服务方面,OBD攻击和无限钥匙风险方面,也存在一些缺陷,与预期存在较大的差距。
基于测评结果,安晖表示,对于智能网联汽车整体的发展还是非常看好的,希望智能网联汽车在发展的同时做好安全保障,为此提出四个方面的建议:
第一,对于政府部门,需要加强完善智能网联汽车政策法规,针对智能网联汽车安全,出台指导性的文件。
第二,希望整个行业凝聚在一起,共同加强网络安全的防护。
第三,对于整车厂,零部件供应商而言,除了大发展,大创新,还要提高安全意识,更加重视网络信息安全,提高能力。
第四,对于第三方机构,加强安全防护和安全测评能力的建设,更好地帮助企业提升安全保障水平,助力智能网联汽车行业发展。