對于安全行業(yè)從業(yè)者來說，找洞算是日常工作了。

近日，在美國舊金山 Moscone Center 舉行的安全會議 RSAC 2020 上，360 Sky-Go 團(tuán)隊表示，他們又挖到了 19 個漏洞，研究人員通過利用多個漏洞形成的攻擊鏈，可實現(xiàn)對梅賽德斯-奔馳的非接觸式控制，例如未授權(quán)的遠(yuǎn)程解鎖車門、啟動引擎等操作。而這 19 個漏洞將影響 200 萬輛奔馳汽車。

簡直闊怕。

萬物互聯(lián)時代，車聯(lián)網(wǎng)作為智能網(wǎng)聯(lián)的重要組成部分，代表著傳統(tǒng)汽車行業(yè)觸手可及的未來，擁有著很大的發(fā)展空間和市場潛力。 

2018 世界智能網(wǎng)聯(lián)汽車大會上，工業(yè)和信息化部部長苗圩曾表示：“預(yù)計至 2020 年，我國智能網(wǎng)聯(lián)汽車的市場規(guī)?？蛇_(dá)到千億元以上，車聯(lián)網(wǎng)是一種市場趨向”。

2020 年，一場突如其來的疫情讓網(wǎng)聯(lián)汽車意外迎來了春天。

2 月 24 日，11 部委聯(lián)合出臺《智能汽車創(chuàng)新發(fā)展戰(zhàn)略》該戰(zhàn)略的提出意味著車聯(lián)網(wǎng)產(chǎn)業(yè)將在中國獲得高速發(fā)展重大機遇。具體表現(xiàn)在：

• 智能網(wǎng)聯(lián)汽車成為汽車產(chǎn)業(yè)應(yīng)對嚴(yán)峻挑戰(zhàn)的突破口之一。

• 汽車電子產(chǎn)業(yè)發(fā)展獲得智能、網(wǎng)聯(lián)、安全新契機。

• 車路協(xié)同核心之一的智慧道路將呈現(xiàn)爆發(fā)式建設(shè)。

• 汽車產(chǎn)業(yè)新商業(yè)模式和數(shù)據(jù)開放模式成為重要方向。

其中，智能、網(wǎng)聯(lián)、安全的汽車電子產(chǎn)品國產(chǎn)化是新契機，未來智能化、網(wǎng)聯(lián)化、安全化不僅作用在車載電子裝置上，用于提高汽車附加值，也將作用在電子控制系統(tǒng)上，直接影響汽車的整車性能、安全性和舒適性。在提升汽車的安全性方面，要搭建多層縱深防御、軟硬件結(jié)合的安全防護(hù)體系，加強車載芯片、操作系統(tǒng)、應(yīng)用軟件等安全可靠性設(shè)計，開展車載信息系統(tǒng)、服務(wù)平臺及關(guān)鍵電子零部件安全監(jiān)測，強化遠(yuǎn)程軟件更新、監(jiān)控服務(wù)等安全管理。實施統(tǒng)一身份權(quán)限認(rèn)證管理。建立北斗系統(tǒng)抗干擾和防欺騙安全防護(hù)體系。按照國家網(wǎng)絡(luò)安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)規(guī)范，建設(shè)智能汽車網(wǎng)絡(luò)安全態(tài)勢感知平臺，提升應(yīng)急處置能力。

可見，網(wǎng)聯(lián)汽車的安全性將是接下來工作的重中之重。

汽車黑客能有多“黑”

看過《 速度與激情 8》的童鞋們應(yīng)該都記得，電影里通過遠(yuǎn)程控制汽車的片段吧，驚險又刺激，但如果這一幕發(fā)生在現(xiàn)實生活中就不那么好玩了，這就是拿生命開玩笑。

想象一下，你駕車行駛在某座城市的主干道上，旁邊就是地價高得嚇人的 CBD。在這樣一條繁華的道路上，你的車突然失去了控制，原本在自動駕駛模式里打游戲的你被兩車的沖撞驚到，彈出的安全氣囊包裹了你。然后你聽到了充滿金錢的碰撞聲——砰！砰！

數(shù)輛汽車的沖撞和追尾讓整個交通陷入了癱瘓。汽車的滴滴聲，叫罵聲，電話里吵架的聲音綿延不絕。而所有的駕駛員都感到奇怪，為什么突然之間，我的車就失控了呢？

原因是，你可能被黑客攻擊了。

如果說可以實現(xiàn)完全自主能力的汽車是發(fā)展的未來，那么針對這樣的系統(tǒng)的黑客，將成為汽車領(lǐng)域網(wǎng)絡(luò)安全的主要焦點。畢竟，如果能遠(yuǎn)程控制車輛的行駛，對于整個城市都會是巨大的安全隱患。

我們不妨來看幾個例子。

2015 年著名的“白帽黑客”Charlie Miller 和 Chris Valasek 聯(lián)手，利用克萊斯勒 Uconnect 車載系統(tǒng)的漏洞為一輛切諾基刷入了帶有病毒的固件，向 CAN 總線發(fā)指令遠(yuǎn)程接管了車輛的加速、制動和轉(zhuǎn)向。如此嚴(yán)重的安全漏洞迫使克萊斯勒全球緊急召回 140 萬輛車，也是汽車圈內(nèi)第一起由于黑客隱患發(fā)起的大規(guī)模召回。

2016 年黑客通過 Uber 工程師發(fā)布在代碼共享網(wǎng)站上的密鑰獲得了 Uber 用戶和駕駛員數(shù)據(jù)，導(dǎo)致全球 5700 萬用戶的個人信息被暴露。出事后 Uber 第一時間想到的不是報警，而是直接付給了黑客 10 萬美元讓對方刪掉信息，這件事直到 2018 年才被曝光。

不過，即便給黑客交了贖金，汽車安全的事件依舊層出不群。

2019 年也爆出過一些黑客入侵汽車系統(tǒng)的案件，比如 7 月有匿名黑客向福布斯宣稱，只需按一個按鈕就可以關(guān)閉 25000 輛汽車的引擎，并公開了其發(fā)現(xiàn)的漏洞，事后汽車公司隨即進(jìn)行了一系列補救。

但是這跟辦公計算機中病毒不一樣，畢竟人和汽車的結(jié)合不是單純的計算機系統(tǒng)，一旦被黑可能就再也沒有機會重啟了。

那么，在車企交了贖金也沒辦法阻止汽車安全事件發(fā)生時，車企要怎么辦呢？

顯然，安全企業(yè)這時就變成了車企的“保護(hù)神”，有人研究盾就有人研究矛。

2019 年，奔馳率先與 360 達(dá)成合作，攜手修復(fù)了 19 個奔馳智能網(wǎng)聯(lián)汽車有關(guān)的潛在漏洞，并向漏洞發(fā)現(xiàn)團(tuán)隊 360 Sky-Go 頒發(fā)卓越獎。受此啟發(fā)，奔馳計劃在 2020 年發(fā)起聚焦安全的“漏洞報告獎勵”(Bug Bounty)項目，鼓勵為其提供漏洞報告的安全研究員及團(tuán)隊。

值得一提的是，目前，360 已與國內(nèi) 70% 的主流汽車廠商合作，也是全球唯一能提供整套智能汽車安全產(chǎn)品方案的企業(yè)，覆蓋汽車制造的設(shè)計、開發(fā)、測試、運營各個階段，有超 30 萬輛路面上行駛的汽車接入 360 汽車安全大腦，獲得實時防護(hù)。截至目前，360 汽車安全大腦共攔截攻擊 35000 次，為車廠提供安全評估，累積發(fā)現(xiàn)車聯(lián)網(wǎng)超 500 個安全問題，影響 450 萬輛智能汽車。

360 汽車安全大腦如何為車企保駕護(hù)航？

那么，360 汽車安全大腦是什么？它能為車企做什么呢？

據(jù)360 介紹，360 汽車安全大腦是一套針對智能網(wǎng)聯(lián)車輛網(wǎng)絡(luò)安全風(fēng)險的完整解決方案，由“車載-云”端到端的安全產(chǎn)品體系組成，構(gòu)建能夠感知、分析、響應(yīng)汽車網(wǎng)絡(luò)攻擊的縱深防御體系。通過部署在車端的軟硬件安全產(chǎn)品，將安全相關(guān)的數(shù)據(jù)收集到云端平臺，感知汽車網(wǎng)絡(luò)安全風(fēng)險。云端通過汽車安全大腦提供的分析引擎、知識庫和專業(yè)的分析人員，對車端的數(shù)據(jù)進(jìn)行自動化分析、溯源，發(fā)現(xiàn)并處理攻擊事件，從而消除攻擊帶來的影響，免疫同類攻擊再次發(fā)生。

基于安全大數(shù)據(jù)構(gòu)建的車聯(lián)網(wǎng)異常行為檢測引擎，可以有效收集車聯(lián)網(wǎng)系統(tǒng)中的情報數(shù)據(jù)，控制數(shù)據(jù)和狀態(tài)數(shù)據(jù)，通過大數(shù)據(jù)和人工智能算法，有效發(fā)現(xiàn)車聯(lián)網(wǎng)系統(tǒng)中的異常行為。汽車安全大腦結(jié)合了 360 安全大腦安全大數(shù)據(jù)、威脅情報庫、知識庫等關(guān)鍵能力，深度關(guān)注汽車從零部件至整車的安全風(fēng)險，有效應(yīng)對新型攻擊，保護(hù)智能汽車的網(wǎng)絡(luò)安全。同時，360 汽車安全大腦可根據(jù)車廠的不同安全需求，為車廠提供定制化的安全管理需求，滿足設(shè)備資產(chǎn)管控、漏洞管理、安全事件管理、態(tài)勢感知等要求。

從端-網(wǎng)-云的角度看，智能汽車安全風(fēng)險主要存在 7 大類安全風(fēng)險，分別是越權(quán)攻擊、滲透攻擊、DNS（域名解析）劫持、升級包篡改、漏洞攻擊、總線攻擊、惡意應(yīng)用。

簡單的說，就是車與外部的每一個接口都可能被利用，每一個控制單元都可能被攻擊。因為，與傳統(tǒng)汽車相比，智能網(wǎng)聯(lián)汽車涉及更多的車載軟件代碼(上億行代碼)、更多的聯(lián)網(wǎng)電子控制單元( 70+ECU )、更多的傳感器，硬件及軟件功能擴展過程中本身蘊含可以優(yōu)化的漏洞。

黑客可以使用這些相同的物聯(lián)網(wǎng)連接無人駕駛汽車，通過藍(lán)牙、WiFi、輪胎壓力傳感器以及通過汽車的 CAN 總線連接幾乎任何外部切入點一旦黑客控制了 CAN 總線，攻擊 AI 系統(tǒng)是最常見的手段，同時突破自動駕駛汽車的網(wǎng)絡(luò)防御。比如黑客可能試圖通過汽車傳感器/網(wǎng)絡(luò)，讓車載人工智能認(rèn)為是真實的方式注入虛假數(shù)據(jù)，從而導(dǎo)致人工智能做出錯誤決定并使人員或貨物處于危險之中。

目前來看，黑客的攻擊入口主要集中在車載娛樂系統(tǒng)、數(shù)據(jù)傳輸通道和 T-Box（車載終端系統(tǒng)）三個層面，其中最容易被攻擊的是 T-Box 。

而 360 汽車安全大腦則體現(xiàn)了“軟硬兼施+動態(tài)防御”的安全理念。

360 汽車安全大腦針對汽車這個“終端”上容易遭受攻擊的點——車載聯(lián)網(wǎng)終端、車載中央網(wǎng)關(guān)、車載娛樂系統(tǒng)、車聯(lián)網(wǎng) APP 等，打造了智能汽車的“裝甲”，包括終端防護(hù)軟件汽車衛(wèi)士，硬件層面的“車載聯(lián)網(wǎng)防火墻”等。360 還與紫光共同研發(fā)了汽車專用安全芯片，既從硬件層面保障安全，也能支持云端安全策略實時更新。

同時，針對車聯(lián)網(wǎng)的安全問題，360 還推出了 360 車機管家、車載入侵檢測與防御系統(tǒng)（車載IDPS）、360 汽車防火墻、車聯(lián)網(wǎng)安全運營平臺等產(chǎn)品，全方位保護(hù)汽車安全。

安全的問題，往往都是道高一尺魔高一丈。近日，在美國舊金山剛剛落下帷幕的 RSAC 2020 會議上，通用汽車公司首席執(zhí)行官 Mary Barra 也談到了推出自動駕駛汽車和生物識別增強車載交互技術(shù)的重大風(fēng)險，在這些領(lǐng)域，一個網(wǎng)絡(luò)安全事件可能會破壞新興汽車技術(shù)數(shù)百億美金的研發(fā)投入。

她預(yù)計，到 2022 年，全球汽車行業(yè)網(wǎng)絡(luò)安全領(lǐng)域的職位空缺估計在 180 萬到近 400 萬個之間。“如果沒有合適的人和合適的工具，在這個互聯(lián)的世界里，汽車安全風(fēng)險將會成倍增加?！?/p>

因此，對于車企來說，找到專業(yè)的安全企業(yè)做安全的守護(hù)，是目前的最好辦法。 雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。