ecu黑客攻击(etc被黑客攻击)
本文目录一览:
- 1、联合国将出台自动驾驶安全标准,为什么是德国和日本主导
- 2、超过200万辆奔驰曝出安全漏洞:智能汽车如何抵御黑客攻击?
- 3、油门刹车全乱套 看黑客如何玩坏你的车
- 4、黑客屡次入侵汽车网络系统如何保证安全
联合国将出台自动驾驶安全标准,为什么是德国和日本主导
1、联合国主导可行?
汽车网络安全不同于互联网网络安全,孰轻孰重我们是心知肚明的。随着智能硬件产业的极速发展,车联网已然步入第二阶段,更多的智能车载设备也逐渐出现在我们的视线中,其中移动互联交互是重要功能之一。
根据实际数据显示,2015年全球市场保有的汽车约有1.5亿辆不同程度地可以实现与自身之外的其他物或虚拟网络(含互联网、WIFI、蓝牙等)互联。
汽车网络之所以不安全,主要因素是因为CAN(控制器局域网总线)很难实现保护,其中涉及到两个目前仍难以解决的问题。
其一时因为ECU(车载电脑)的计算处理能力不足,智能算法能力上有所欠缺,其二便是汽车网络没有足够的带宽支撑,高效的数据传输速度需求难以满足。
自动驾驶系统对于带宽的依赖程度将会更高才有可能形成告诉的车载网络环境,与传感器、处理器性能相结合才能确保系统能及时接收环境讯息并迅速做出反应。
由于目前并没有有效应对汽车网络安全的防护措施,各国在汽车自动驾驶安全标准上各有争议,何况防护汽车网络安全极为艰巨,并不是单纯的汽车制造商就能完成的,而且汽车网络安全的威胁与恐怖袭击、间谍活动、网络犯罪和威胁社会安全都有所关联。
由于各国国情不同,联合国作主导接管并提出方案显然更容易让世界接受,也便于在未来各国设定相关条规时,可对其进行遵照借鉴。
2、安全标准建设话语权,各国相争高下?
早在今年一月,日本与德国便一起联合向联合国提出此方案,要求制定自动驾驶的国际安全基准。
对照图下的各国对于汽车网络安全的标准建设进程来看,日本、欧洲、美国方面已有对汽车网络安全上储备,其中日本和德国提出的理念都偏向信息安全,美国则是更为关注对自动驾驶的制造建设与通讯,而中国市场对于自动驾驶抱以宽容的态度,但在争议与安全标准制定方面,相比上述三个国家来说没有过多的限制与关注。
众所周知,美国、德国、日本都具备高水准的大型汽车制造商,那为何美国具有谷歌、特斯拉这类科技巨头,并最早着力研发自动驾驶的却仍不在主导列表里呢?
因为美国在此方面已有相关的独立标准,2015年1月国会议员Edward Markey、Richard Blumenthal联合向参议院提交了一项新立法议案:汽车安全和隐私草案(SPY Car Act),未来这项立法将责成NHTSA(美国公路交通安全管理局)和FTC(联邦贸易委员会)建立联邦标准,以保护联网汽车的安全。
而中国虽是目前全球最大的汽车市场,但在车联网与自动驾驶技术方面发展都稍慢一步的前提下,对于汽车网络安全的警惕与重视并没有如此强烈。
3、日本、德国主导,何德何能?
我们知道,联网汽车具备许多优点,包括改善交通流量,更好的节油性能和更先进的信息娱乐设备。
但是在另一方面,联网汽车受到入侵的途径也会增加,这样可能会导致车主个人、财务和车辆的相关信息出现泄漏风险,联网汽车也会因此成为黑客的攻击对象,例如2015年夏天,白帽黑客查理 米勒和克里斯 瓦拉塞克入侵了JEEP切诺基。
汽车网络是一个行走在路上的复杂 IT 系统,其中包含许多通过汽车内部网络连接的电子控制元件(ECU)。为了保障整个系统的安全,汽车制造商需要从整体出发,在系统的所有层面都采取足够的应对措施。
虽然各国开始对联网汽车进行相应的监管,但仅仅是触及到问题表面而已,最为重要的是,我们必须认识到安全和隐私标准化的迫切需求。
日本是全球车联网的先行者,也是目前全球车联网最发达的国家之一。
至1981年起本田汽车公司与日本消费电子厂商阿尔派合作共同研发,推出了世界第一款陀螺仪车载导航,并在此基础上率先推出了车联网服务,与移动互联网相融合,增强汽车用户的黏性。
然而至2014年后日本便频繁发生攻击轮胎压力监测系统、使用广域网攻击车载LAN和解析防盗器密钥等恶意事件,由此,日本便开始对汽车网络安全的进入高度戒备状态,并研究拓展、制订了相应的对策和管理方针。
于此同时,德国也是较早汽车网络完全的重视并对其进行测试实验企图找到应对方式的国家之一。
早在2011年,以戴姆勒为首的德国大型汽车制造商及零配件供应商组成的财团,便开始在莱茵-美因地区进行汽车联网实验,其中在法兰克福周边共有120辆彼此联网的汽车在对这项新技术的实用性进行测试。
加上德国具有高端顶尖的汽车制造技术,宝马、奥迪等家喻户晓的品牌在近年里相继推出汽车新技术,在车联网与自动驾驶等方面都有所成就,这将有利于他制定研究汽车网络安全标准规范。
4、自动驾驶的未来
这些真实上演的黑客入侵汽车行为,让消费者感到十分担忧,这不仅是命悬一线的重要一环,更是未来自动驾驶汽车发展的绊脚石之一。
暂且抛却数据预测不谈,未来的五年至10年里,自动驾驶汽车要进入极速发展的前提还是以联网为重,因为只有庞大的数据库才可能支撑着目前仍处于茫然的人工智能深度学习晋升到另一个阶段。
但除去汽车网络安全标准法规已有制定并于11月将出世、谷歌对于AI制定了五个安全规则之外,并无其他正式且被认可的安全标准法则,所以人工智能与自动驾驶方面的法律法规的制定仍是未来发展受限的重要阻碍。
所以,我们对于期待未来自动驾驶的到来还需要再等等,因为科技的力量终将会冲破人为因素与世俗标准,穿梭至岁月的长河里与我们的生活相遇。(本文首发钛媒体)
超过200万辆奔驰曝出安全漏洞:智能汽车如何抵御黑客攻击?
在车联网领域,也许安全人员已经提前扑灭了数场不为人知的“森林大火”,但终有一天我们也许会面临一次前所未有的汽车安全威胁。但只要全球汽车产业链能够精诚合作,提升对于安全防护的重视程度,那么这场“大火”的发生,就可能被无限期推延。
作者丨周到
▼
丰田“刹车门”、高田“气囊门”……传统汽车因为质量问题造成车辆大规模召回,乃至部分零部件企业破产的情况已经不胜枚举。但随着汽车智能化时代的到来,由车辆软件漏洞而带来的黑客攻击,将成为直接危及社会资产乃至人身安全的新威胁。这尽管在大多数人看来有些危言耸听,但随着一些过去不为人们所知的案例曝出,愈发严峻的现实正在我们面前展开。
2019年11月,360 SKY-GO安全研究团队宣布,他们和梅赛德斯奔驰共同发现并修复了19个安全漏洞。通过这些漏洞,黑客能实现批量远程开启车门、启动引擎等控车操作,影响涉及奔驰已经售出的200多万辆汽车,这也是迄今为止影响范围最广,涉及车辆最多的车联网漏洞挖掘事件。
360发布的《2019年智能网联汽车信息安全年度报告》
不过,奔驰的安全漏洞曝出并不是孤立事件。在360公司SKY-GO团队发布的《2019智能网联汽车信息安全年度报告》中首席出行官看到,过去一年的全球汽车出行产业,竟然因为黑客攻击造成了如此惨重的损失。
「数字钥匙存在漏洞,窃贼30秒盗走特斯拉Model S」
2019年4月,由戴姆勒投资建立的共享出行Car2Go在芝加哥有100辆豪华高端车被盗,被迫停止了在该地区的运营工作。更可怕的是,这其中的一部分车辆还被用作违法犯罪活动。根据相关研究人员披露,CarGo的APP遭到破解是导致这次车辆集体被盗的原因。最终经过一番抓捕,地区检察官对21位嫌疑人提出了指控,但恶劣的影响已经覆水难收。在多重因素的影响下,Car2Go在2019年6月宣布退出中国市场,并逐步缩减了在北美市场的业务。
由此可见,基于智能手机实现的数字车钥匙APP尽管带来了很多便利,但短板也非常明显。据介绍,数字钥匙的安全性不仅依赖于车钥匙上的环境载体安全芯片(SE)和可信执行环境(TEE)系统,其整个业务逻辑上的各个环境都需要紧密配合。比如安全的服务器,以及采用加密的传输通道和双向认证的传输协议。而在其中任何一个环节出现漏洞,那么整套流程就会被破解,进而让黑客窃取用户隐私,甚至取得车辆的远程控制权限。
首席出行官认为,对于普通车主来说,选择可靠的网络环境来使用数字车钥匙有助于规避这种风险。例如,不要在公共WIFI上使用APP解锁或控车,最好连接4G运营商的网络。但对于车企来说,防止这类风险最好的办法,莫过于定期梳理安全威胁并进行风险管理。
但由于车企和供应商此前缺乏关注,在2019年欧洲和美国曝出了多次对包括手机APP以及数字钥匙中的攻击事件。在英国,仅2019年前10个月就有超过14000多次针对数字钥匙的车辆盗窃事件,平均每38分钟就有一次盗窃发生,而小偷作案时间通常不超过30秒。这其中最知名的一次攻击,便是英国博勒姆伍德地区的一次特斯拉被盗案件。
在事件中,两个窃贼在30秒钟内,使用中继攻击设备成功盗走了1辆特斯拉Model S。在过程中,小偷利用一个中继类设备,现在车主房屋周围搜集特斯拉钥匙发送的信息,并进行识别和放大,让Model S以为钥匙就在车辆附近。在这个过程中,小偷并没有设计破解钥匙和车辆的认证算法机制,只是重放了中继设备采集车钥匙发送的信号,并没有篡改信号内容。而中继设备的价格也在日益降低,甚至有黑客在网络上非法销售。
随后,特斯拉更新了车钥匙算法,修复了漏洞。但经过研究人员的分析发现,常见的数字钥匙系统均存在未启用固件读写保护、使用缺乏双向认证机制的通信协议、缺少安全分区等问题。而此次事件中特斯拉钥匙的供应商同时也在为多家知名车厂提供方案,显然这也为破解留下了漏洞。
「智能汽车时代,安全漏洞可能成倍增加」
读者们可能都听说过,能否实现全车的在线升级,即“整车OTA”,成为了如今判断一辆车究竟是否为“智能汽车”的标准。车辆从分布式架构,逐步演进为域集中式架构和中央集中式架构。简而言之,车辆变得更像是智能手机,硬件不再像过去那样,只被某一个特定功能所独享。就像是车辆ADAS摄像头,不仅可以用做探测前方车辆以及道路标志线,未来还能够作为感应雨刷的探测器。
尽管这种做法能够提升车辆的智能化水平并降低硬件成本,但共享的硬件将会面临被非法调用、恶意占用等安全威胁。随着关键ECU(微控制器)的功能整合程度进一步提高,代码量的增加会导致漏洞随之增长。例如蔚来ES8在2019年知名的“长安街停车升级”事件,便是因为该公司未向用户提供终止升级并安全回滚到可用版本的功能所导致的。因此,车主在当时不得不在长安街主路上等待车辆升级完成。而SKY-GO团队的负责人告诉首席出行官,如果这项漏洞被黑客所利用,可能会导致后者使用拒绝服务攻击,让车辆无法正常启动。
那么问题就来了,汽车企业如何才能规避安全风险呢?这个问题需要从车辆和系统的开发,监控,运营等方面来解决。
首先,包括车企、供应商在内的汽车产业链上下游公司需要建立安全责任体系,并严格执行安全标准开发产品。其次,车企对黑客的攻击不能只是被动防御,还要对车辆、服务器等攻击面进行动态监控,主动发现攻击行为并及时阻断。只有这样才能够形成安全闭环,在提早发现威胁后,及时发布补丁程序。只有在造成严重影响之前解决问题,车企才能够避免遭受因召回、舆情负面带来的损失。毕竟作为一个事关生命安全的产品,汽车要比手机对安全更加敏感。
最后,车辆信息安全体系的搭建,绝对不只是车企以及供应商的事情。网络安全公司、高校乃至“白帽子”(发现漏洞后主动上报,提供修补线索的正面黑客),都应当成为车企在智能化时代的新盟友。早在2013年,特斯拉就设立了“安全研究名人堂”,用于表彰发现特斯拉产品漏洞的安全团队,360的SKY-GO、腾讯的科恩实验室都曾多次上榜。而在2016年,通用汽车也和致命的白帽黑客平台HackOne合作发布了“漏洞悬赏计划”。受到此前的教训,奔驰也计划在今年发起聚焦安全的“漏洞报告奖励”,邀请全球技术人员共同提升车辆的信息安全系数。
本文来源于汽车之家车家号作者,不代表汽车之家的观点立场。
油门刹车全乱套 看黑客如何玩坏你的车
最近两位黑客又一次成功地黑掉了一台自由光。不过与上次不同的是,这次黑客是通过电脑连接OBD接口进而实现了对车辆ECU系统的控制。这样两位黑客可以随意地控制这台车进行加速、制动等动作,甚至让方向盘实现180度的转向也是可能的。
黑客屡次入侵汽车网络系统如何保证安全
联网汽车必须建立全生命周期的网络安全管理。首先在ECU层面,这些ECU相当于一个个功能不一的微型计算机,控制着车辆中的各种功能组件,包括发动机控制单元、挡风玻璃雨刮器、车辆进入控制系统等,这意味着都要有相应的保护机制。第二个层面就是ECU之间的通信安全也必须进行保护,这关系到车辆的整个系统。第三个就是车辆与外界之间的众多接口的安全也必须进行保护。第四个就是后台云端的数据也必须安全,必须保护。
而除了预防保护外,一旦出现网络攻击,及时捕捉线索及应对至关重要。长期监测汽车系统的现状,而监测结果会定期汇报给安全操作中心,一旦遇到严重问题,汽车制造商和供应商可在短时间内寻获解决方案,开发安全补丁,并通过无线更新功能快速更新车队系统,人们不必再前往汽车维修店寻求帮助。
除了软硬件防御和应对措施外,由于汽车已经成为万物网的一部分,在考虑网络安全时,必须跳出汽车的框架,延伸至云和后端。
希望可以帮到你,谢谢!
