车网中国 综合新闻 9月29日~30日,2015中国互联网安全大会(ISC 2015)在北京国家会议中心召开,在为期两天的会议中,来自美国、以色列、澳大利亚、韩国和中国等全球多个国家的120位世界顶级安全智库和安全专家出席,大会围绕110个议题进行头脑风暴,共同探讨网络安全行业未来。
新能源汽车与智能化紧密结合成为未来行业发展趋势,“黑客”继去年破解特斯拉后,再度升级破解手法,车联网安全对攻战面临“二次发酵”。
360公司董事长兼CEO周鸿祎在会上表示“今天大多数已知的威胁和攻击都可以防御,但企业和机构面临更多的是未知的威胁和漏洞,所以传统的防火墙产品和防病毒技术已经力不从心,需要通过大数据技术的应用才能防御新的安全威胁。”
漏洞层出
正如周鸿祎所说,未知的互联网安全漏洞是一个“开放命题”,横纵两轴上的安全防护,已难严防来自网络黑客从各个维度发起的攻击。车联网的快速发展,不断将汽车推向智能化的同时,其系统的安全性也变得日益严峻。
今年,美国已有黑客破解行驶途中的克莱斯勒乘用车,他们通过远程操控车辆,在高速行驶中强行中断燃油供给致使车辆停车。出人意料的是,黑客掌握了该款克莱斯勒车型的破解方法后,可以将同一品牌的所有车型一并破解。这让克莱斯勒在事后召回已售的140万辆车。
360公司的资深安全技术顾问、网络安全攻防实验室刘健皓独家告诉记者,今年他们也破解了比亚迪秦,和去年破解特斯拉一样,他们发现在手机APP一端,比亚迪秦存在安全漏洞。因为比亚迪秦有一个功能是在无人状态下,车主可以通过手机APP操纵车辆从停车位中倒车。也正因如此,给了黑客以远程操控车辆启动和倒车的可能。
破解之谜
记者在采访过程中发现,无论是去年被黑客破解车辆系统漏洞的特斯拉、还是今年被破的克莱斯勒,抑或是比亚迪秦,他们的共同点是在车联网系统上实现了高度的智能化。通过互联网,汽车可以将相关数据传回车厂,用户也可通过APP反向控制车辆。
“一旦“黑客”知道车辆与互联网连接的IP地址,就可以通过第三方移动设备,对车辆电路板上的相应数据信息进行改写,发出指令随意控制车辆。”刘健皓说。
他强调,目前大力推向新能源汽车领域的分时租赁,其网络安全隐患更大。因为分时租赁基于手机APP进行操控,并且与车辆安全系统直接连接,用户通过手机APP可以进行找车、还车、打开车门,甚至是启动车辆等操作,如果在手机APP上没有做好网络安全性防护,未来无论是新能源车还是传统车辆都会有很大的安全风险。
应对之策
随着车联网的发展,传统车和新能源车与网络的联系日益密集,整车厂通常会选择将智能汽车的网络组件和车辆的电子控制组件相分离,保证车辆的单一性,降低其联网后存在的网络安全问题。
这样在遇到黑客攻击时,容易受到攻击的只是车辆上的网络软件,不至于影响到整个品牌的车辆安全系统。因为基于IT网络的防盗要比车辆零部件的电子防盗更难。因为车联网的变化是随时更新,这意味着其漏洞也将随时更新,这种漏洞演化的速度是几何倍的增长,在防护领域的控制风险就被无限地增加。
显然,类似于比亚迪这样的整车厂很清楚其车联网的系统漏洞,于是在今年360破解比亚迪秦的云端数据漏洞之时,关闭了云服务器,这种车辆数据的唯一性掌控也可以帮助其控制黑客的攻击。
下一步,新能源与车联网的融合将进一步通过手机APP实现,特斯拉、乐视超级汽车、苹果造车等现在和未来的概念化产品,在实现智能化充放电、寻找车辆以及无人驾驶等未来技术的同时,也需要业内对智能新能源汽车和传统车进行互联网安全技术的不断升级。
