腾讯科恩实验室近日宣布,他们利用安全漏洞对特斯拉进行了无物理接触远程攻击,实现了对特斯拉驻车状态和行驶状态下的远程控制,并且宣称拿到了全部控制权限。
这是全球范围内第一次通过安全漏洞成功无物理接触远程攻入特斯拉车电网络、并实现任意的车身和行车控制。
早在2015年,克莱斯勒公司的联网汽车的车载信息系统也遭遇黑客的破解,进而导致重大安全隐患:黑客可以通过网络对汽车进行远程遥控。对此,克莱斯勒不得不紧急召回140万辆汽车,面临1.05亿美元的民事责任赔偿,以及数亿美元的损失。
在两名黑客的演示中,他们证明了可以从任何接入互联网的地方,“远程获取汽车的关键功能操作权限,比如踩下刹车、让引擎熄火、把车开下公路,并令所有电子设备宕机”。
汽车被控制驶离公路
汽车安全成为一个重要的问题,于是我们去探访了汽车安全领域的创业公司——VisualThreat 创始人严威。
VisualThreat由清谷资本(TEEC Angel Fund)在2015年时第一轮融资进入,是清谷资本对未来汽车布局的重要节点之一。
VisualThreat是一家汽车智能安全解决方案提供商,它的产品可以理解为“车里的杀毒软件”,而且有空中可以动态更新的汽车攻击库。
为什么想到做汽车安全?
严威在安全领域做了十五年,觉得汽车安全是一块非常主要的领域。
随着车联网的发展,汽车的数据、财产安全、车主的生命安全都非常主要,严威觉得这是一个潜在的市场。而且随着汽车越来越智能化,新的车型也会有越来越多的安全隐患。但是,
原有的PC安全和手机安全应用都不能直接用在汽车安全上。汽车里的嵌入式系统和PC或者手机相比存储空间小,有其独特的特点,就像“不能把大象装在火材盒子里”
汽车安全的隐患
黑客可以通过不同的行为组合来远程或者近程来控制汽车,这些都可以被定义为“攻击行为”,而汽车病毒更多是汽车内部系统上的一些破坏性应用,但其实危害更大的是汽车攻击可以直接控制动力系统、刹车、转向。
汽车的安全性和价格没有直接关系,很多豪华车、进口车照样有问题。越新的汽车、功能越多,安全隐患可能更大。
VisualThreat的产品是什么样的?
VisualThreat给出的解决方案是一套类似于电脑中杀毒软件的应用程序。
严威演示了常见的汽车攻击行为,黑客可以远程控制刹车和车等,而在开启了VisualThreat的保护后,黑客的攻击失效了,并且这些可疑的行为都记录了下来。VisualThreat 的实时监控网络安全管理系统提供了一个清晰易懂的分析和报告界面。
VisualThreat的安全防御体系采用先进的防火墙和安全策略更新机制,最大限度阻断汽车攻击,并利用分析攻击事件的相关性和增量式安全空中更新OTA机制来确保智能汽车的安全要求。
为了建立更好的安全防御体系,VisualThreat要和汽车厂商紧密密合作,他们团队除了安全领域的人,团队内也有汽车行业出身的人。
为你的未来备好铠甲
车联网安全问题如此严峻,当然会有人想要来解决。严威给出了几家大公司所做出的解决方案。
德尔福把关注点主要放在了入侵网关方面,Denso 则主要是制定白名单,控制远程攻击,将可疑信息提前过滤,并且在 OBD 前端也做一个防火墙,用来认证和过滤。密歇根大学车联网实验室通过增加过滤器和 IDS(Intrusion Detection Systems,入侵检测系统),以及组合网关来进行信息的过滤。
Harman的方案是通过设立网络防火墙抵御来自手机 App 方的病毒。严威表示,IDS 是美国现有的解决方案中最为通传的法则,其实说简单点儿,就是做好监控,不管谁来都一清二楚,遇到威胁还能发出警报。
和传统企业的合作
严威在安全领域耕耘了很久,当问到做网络安全和汽车安全有什么不同时,严威表示一辆车的开发周期很长,经常一辆车从设计到正式生产需要接近4-5年的时间。所以和汽车厂商合作需要非常有耐心,有时不得不把步子放慢。严威说他们已经和多家中国和美国领先的汽车厂商在合作中,建立了信任事情就好做了。
无人驾驶时代
根据美国最近颁布的自动驾驶政策指南,信息安全成为无人驾驶15项评分标准之一。
随着无人驾驶技术的日益邻近,无人驾驶领域的网络安全问题的重要性会越发凸显,无人驾驶汽车的智能系统可能遭到黑客攻击,以及智能道路基础设施出现故障等甚至有人认为网络安全是无人驾驶汽车面临的最大风险。
“这是一块更大的市场”,严威表示,而VisualThreat也已经开始布局。
閱讀更多 清谷逆創 的文章
