來而不往非君子

許暉

混蛋的人與混蛋的事情

許多小時(shí)候鐘情于玩遙控航模的70后讀者，都會(huì)記得當(dāng)年的遙控設(shè)備上可以自行更換的晶體振蕩器，也就是模友口中的晶振。為了能友好地跟模友們一起好好玩耍，大家都會(huì)墨守成規(guī)地遵循著，玩耍之前先溝通協(xié)調(diào)，通過更換不同頻率的晶振，懸掛好自己設(shè)備頻率的號(hào)牌，避免與他人的遙控“撞頻”。可總有那么一些混蛋的人會(huì)默默地從衣服兜里掏出一把涵蓋所有頻段的晶振，然后奸笑著塞進(jìn)遙控器使壞。正是因?yàn)檫@種混蛋的人干出混蛋的事情，遙控器廠家不斷更新遙控加密技術(shù)，設(shè)置更多的頻點(diǎn)，將遙控技術(shù)升級(jí)至PCM、2.4G 頻段甚至5G頻段，把這看作早期的黑客入侵與封堵設(shè)備漏洞一點(diǎn)都不為過。

時(shí)代在變，領(lǐng)域也在變，就連混蛋的人可能也變老了，唯一不變混蛋的事情仍存在。隨著互聯(lián)網(wǎng)、人工智能、云計(jì)算和大數(shù)據(jù)等技術(shù)的應(yīng)用，汽車已經(jīng)不再像以前一樣僅僅被人們當(dāng)成是交通工具，如今汽車正慢慢走進(jìn)人們的生活，成為生活的一部分。人們對(duì)汽車與各個(gè)設(shè)備之間信息互通的要求越來越高。車內(nèi)設(shè)備不僅要與手機(jī)等智能設(shè)備連接，同時(shí)還需要方便地接入互聯(lián)網(wǎng)，與交通管理系統(tǒng)、周邊其他車輛進(jìn)行信息共享，即車聯(lián)網(wǎng)。汽車中使用的智能聯(lián)網(wǎng)系統(tǒng)沿襲了既有的計(jì)算和聯(lián)網(wǎng)架構(gòu)，所以也繼承了這些系統(tǒng)天然的安全缺陷。隨著汽車中ECU和連接的增加，也大大增加了黑客對(duì)汽車的攻擊面，尤其是汽車通過通信網(wǎng)絡(luò)接入互聯(lián)網(wǎng)連接到云端之后，每個(gè)計(jì)算、控制和傳感單元，每個(gè)連接路徑都有可能因存在安全漏洞而被黑客利用，從而實(shí)現(xiàn)對(duì)汽車的攻擊和控制。一旦被黑客控制，不僅會(huì)造成駕駛者的個(gè)人信息和隱私被泄露，還會(huì)直接帶來人身傷害和財(cái)產(chǎn)損失，同時(shí)還會(huì)導(dǎo)致品牌和聲譽(yù)受損，甚至上升成為危及國(guó)家安全的社會(huì)問題。

“刷漏洞”時(shí)代的到來

從360集團(tuán)發(fā)布《2017智能網(wǎng)聯(lián)汽車信息安全年度報(bào)告》來看，2017年，汽車信息安全已進(jìn)入刷漏洞時(shí)代。智能網(wǎng)聯(lián)汽車確實(shí)存在眾多漏洞，黑客一旦通過漏洞攻擊，將會(huì)給用戶帶來巨大人身、財(cái)產(chǎn)安全危害。目前已經(jīng)發(fā)現(xiàn)的漏洞涉及到TSP平臺(tái)、APP應(yīng)用、Telematics Box（T-BOX）上網(wǎng)系統(tǒng)、車機(jī)IVI系統(tǒng)、CAN-BUS車內(nèi)總線等。報(bào)告對(duì)2017年度汽車信息安全漏洞進(jìn)行了詳細(xì)解析，有的漏洞可以遠(yuǎn)程控制汽車、有的漏洞可以對(duì)人身造成傷害。國(guó)內(nèi)外汽車信息研究人員發(fā)現(xiàn)的TCU和安全氣囊等漏洞也分別獲得到CVE漏洞編號(hào)，說明智能汽車信息安全漏洞開始受到普遍關(guān)注。

正所謂不知者無畏，其實(shí)黑客入侵智能汽車的事件一直都在發(fā)生，區(qū)別僅限于先由白帽子發(fā)現(xiàn)還是先有黑帽子掌握罷了。譬如荷蘭電子工業(yè)設(shè)計(jì)師Tom Wimmenhove在多款斯巴魯汽車的鑰匙系統(tǒng)中發(fā)現(xiàn)了一個(gè)嚴(yán)重的安全設(shè)計(jì)缺陷，攻擊者通過截獲鑰匙系統(tǒng)在對(duì)車輛進(jìn)行上鎖、解鎖或其他操作時(shí)所使用的序列碼。破解算法并計(jì)算出下一個(gè)序列碼將能輕易劫持車輛，而劫持工具成本僅大約15到30美元之間。再如360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室連同浙江大學(xué)徐文淵教授團(tuán)隊(duì)針對(duì)引起外媒廣泛關(guān)注的“海豚攻擊”的研究成果，通過市面上主流智能汽車榮威eRX5的進(jìn)行測(cè)試驗(yàn)證。實(shí)驗(yàn)人員成功使用了“海豚音”對(duì)車載語音助手進(jìn)行了攻擊測(cè)試，實(shí)現(xiàn)了可以在人耳聽不到的情況下，通過超聲波對(duì)車載語音助手下達(dá)指令，達(dá)到開啟天窗、控制空調(diào)、導(dǎo)航等功能。

國(guó)內(nèi)外安全標(biāo)準(zhǔn)加快制定與企業(yè)建議

過去幾年，國(guó)內(nèi)外的汽車信息安全標(biāo)準(zhǔn)制定工作也在持續(xù)進(jìn)行中。國(guó)際組織（ISO/SAE）正進(jìn)行21434（道路車輛-信息安全工程）標(biāo)準(zhǔn)的制定。該標(biāo)準(zhǔn)主要從風(fēng)險(xiǎn)評(píng)估管理、產(chǎn)品開發(fā)、運(yùn)行、維護(hù)、流程審核等四個(gè)方面來保障汽車信息安全工程工作的開展。中國(guó)代表團(tuán)也積極參與此項(xiàng)標(biāo)準(zhǔn)的制定，國(guó)內(nèi)幾家汽車信息安全企業(yè)、整車廠，也參與了該標(biāo)準(zhǔn)的討論，該標(biāo)準(zhǔn)將于2019年下半年完成，預(yù)計(jì)滿足該標(biāo)準(zhǔn)進(jìn)行安全建設(shè)的車型于2023年完成。國(guó)內(nèi)標(biāo)準(zhǔn)制定方面，2017全國(guó)汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)已經(jīng)組織兩次汽車信息安全工作組會(huì)議，全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)等各大國(guó)標(biāo)委，聯(lián)盟組織在積極研究汽車信息安全標(biāo)準(zhǔn)相關(guān)工作，加快汽車信息安全標(biāo)準(zhǔn)的制定進(jìn)度。

編輯感言

根據(jù)2017年智能網(wǎng)聯(lián)汽車信息安全領(lǐng)域所發(fā)現(xiàn)的漏洞以及破解案例看來，目前汽車信息安全已處于一個(gè)穩(wěn)定期。各廠家都已經(jīng)注意并重視汽車信息安全風(fēng)險(xiǎn)帶來的隱患，行業(yè)內(nèi)部也開始制定相關(guān)標(biāo)準(zhǔn)解決此類問題。但目前態(tài)勢(shì)還是安全建設(shè)滯后于安全研究的，所以組建信息安全團(tuán)隊(duì)或組織、進(jìn)行合理有效的威脅分析、控制上線前產(chǎn)品安全驗(yàn)收、關(guān)注標(biāo)準(zhǔn)建設(shè)和法律法規(guī)將成為車企急需解決的四大防范措施。