汽车越来越多地接入互联网,被更为复杂的计算机系统和软件控制,汽车制造商和立法者似乎正联合起来,为更好的汽车网络安全而努力。
大众公司9月14日宣布,将成立由前以色列安全机构主管尤瓦尔·狄思金领衔的网络安全公司。该公司名为 CyMotive Technologies ,大众控股40%,剩余股份由狄思金和另两位前以色列辛贝特情报机构(国家安全局)主管控制。
大众电气电子发展部主管沃克马·塔内伯格在声明中说:“汽车与互联网日渐集成。为应对下一个十年面临的巨大挑战,我们需要扩展网络安全专业技能,系统性地为客户提升车辆网络安全。CyMotive Technologies 就为此提供了非常棒的平台。这是在网络安全上的长期投资,能让车辆及其生态系统更加安全。”
去年,菲亚特克莱斯特汽车(FCA),全球第七大汽车生产商,召回了140万辆汽车以修复能致使无线入侵并操控致命功能的软件漏洞。
上个月在拉斯维加斯举行的黑帽大会上,证明了FCA吉普切诺基可被无线入侵的黑客,又演示了该车的控制器局域网(CAN)可通过物理连接上OBD-II车载诊断系统诊断端口侵入。
仅仅9小时,黑客就证明了,通过暴力攻击,他们可以访问并控制电子系统,比如时速表,还能利用诊断消息控制车辆转向和刹车。
1996年其,所有汽车便装上了OBD-II。车辆的CAN就是连接现代车辆里数十个电子控制单元(小型电脑)的网络。
现代汽车的几十个电脑系统所携代码一般有1亿行之多。而每1000行代码,便会有可供潜在黑客侵入的15个漏洞。
在去年两名独立安全专家演示吉普切诺基遭黑之前,汽车行业并没有看到即时的威胁。
去年就统统被打脸了。漏洞曝出,他们不得不计算一下修复的代价——140万辆车,每辆100美元。瞬间,摆在眼前的就是1.4亿的开支。这让他们改变了对待汽车网络安全的态度。
吉普切诺基仅仅是PT&C|LWG鉴证咨询服务公司去年网络安全报告中指出的“最易受攻击5款车”之一。
其他几款最易受攻击的车型包括:2014英菲尼迪 Q50、2015 凯迪拉克Escalade、2010和2014丰田普锐斯,以及2014福特Fusion。
具最高风险网络漏洞的汽车,通常也是车载功能联网最多的,尤其是车载物理组件连接无线电或WiFi网络的情况。
奥迪的zFAS自动驾驶控制主板
Gartner报告称,到2020年,联网汽车数量将达1.5亿,其中60%到70%将具备消费、创建和共享Web数据的功能。
IHS Automotive 研究公司称,到2035年,路上行驶的自动驾驶汽车将达2100万辆。
本周,4位国会议员喊话美国高速公路安全管理局(NHTSA),提请他们领导整个行业,斩断愈驱复杂和无线联网的车载电脑系统面临的网络安全威胁。
众议院能源和商务委员会的共和党成员,指向了利用OBD-II端口及其所连设备,对车载内部网络施行的潜在电子攻击。
研究人员已经可以利用直连OBD-II端口或连上此端口的设备,引发一系列后果,从数字驱动雨刷或喇叭之类恼人的事,到更为致命的远程解锁车门或阻断刹车/动力转向系统。
7月,美国运输部长安东尼·福克斯称,NHTSA将很快发布汽车行业网络安全指南。
本周并非首次多名立法委员敦促NHTSA解决车辆网络安全问题。去年,众议院能源和商务委员会便向NHTSA发函,要求跟踪或评估无线联网车辆的潜在网络漏洞。该委员会还向美国所有主要汽车生产商发出了类似的函件。
立法者们指向不断增加的带WiFi、信息娱乐系统、无线软件升级、智能手机接口和自动驾驶功能的汽车,这些功能都增加了可能的黑客切入点。
该委员会主席,共和党人弗雷德·阿普顿在信中说道:“我们正在进入网络安全新时代。新联网设备和服务的大爆炸正在家居现有网络安全挑战。这将对汽车行业形成巨大挑战。”
NHTSA曾称,车辆网络安全需要层次化的研究方法,其中就包括了立法,而汽车行业必须采取独立措施以帮助改善网络安全态势。
今年,汽车行业响应NHTSA的号召,成立了信息共享和分析中心(ISAC),帮助行业积极主动地协同解决网络安全威胁。
Navigant Research 咨询公司一名分析师最近针对汽车网络安全联合发表了一份报告,称以色列突然冒出了一批初创公司,包括 Argus Cyber Security 和TowerSec。但不是每家公司都对保护汽车采取同样的措施。
比如说,控制器局域网(CAN)连接车内各电子控制单元(ECU),而Argus就提供嵌入CAN的入侵检测和预防模块。TowerSec则是提供嵌入到现有ECU的软件。Karamba的软件作为车辆原始出厂设置的一部分集成进去,目的是在控制信息娱乐系统、车载咨询系统和OBD系统的ECU之间建立防火墙。
今天的每一辆新车,至少都有某种程度上的自动化能力。基本上,路上跑的每辆车,都需要某些方面的网络安全。
(责任编辑:宋编辑)
