安全是所有0前面的1。
【快訊】安全的世界裡似乎一刻都不消停。近日,英國消費雜誌《Which?》聯合網絡安全公司發佈通告稱:大眾Polo SEL TSI手動1.0L的汽車計算機系統中,負責牽引力控制的模塊存在安全漏洞,黑客可藉此獲取車輛信息娛樂系統中存儲的電話號碼、地址以及導航歷史記錄等敏感信息;此外,研究人員還可使用最基本的電腦工具,攔截並修改福特福克斯純鈦自動1.0L汽車中的輪胎壓力監控系統(TPMS)中傳感器所發出的消息,以誤導駕駛員做出錯誤行駛判斷。前有奔馳、寶馬、豐田等廠商屢遭黑客甚至國家級APT組織的攻擊,而今,福特大眾廠商也面臨漏洞危機挑戰。尤其在大數據、雲、5G進一步發展當下,未來汽車領域也將越發智能化、互聯網化,而與之同來網絡安全問題也將變得更加凸顯,更加不容忽視。
大眾福特汽車陷重大安全漏洞危機
面臨生命安全與數據洩露雙風險
近日,英國消費雜誌《Which?》聯合網絡安全公司Context Information Security發佈通告稱:
大眾、福特兩大汽車行業巨頭計算機系統存在大量安全漏洞,可導致車輛監控、預警系統發出錯誤信息,誤導駕駛員行駛判斷,並洩露車主信息娛樂系統中的相關敏感信息。
報告顯示,大眾Polo SEL TSI手動1.0L的汽車計算機系統中,負責車輛溼滑路面行駛時牽引力控制的模塊存在安全漏洞,黑客可藉此獲取車輛信息娛樂系統中存儲的電話號碼、地址以及導航歷史記錄等敏感信息。
此外,研究人員還發現,只要抬起汽車前部的大眾徽章就能進入前雷達模塊,黑客可通過這一動作進一步篡改車輛碰撞預警系統。
而福特汽車的安全漏洞似乎更嚴重一些。研究人員發現,他們使用基本的亞馬遜的“廉價筆記本電腦和售價25英鎊的小工具”,就能攔截篡改福特福克斯車型上由輪胎壓力監控系統(TPMS)發送的消息,比如,在輪胎沒有充氣時錯誤地報告輪胎已經正確充氣,以此干擾駕駛員做出正確的行駛判斷。
在更進一步的分析中,福特計算機系統的代碼中還被發現了一些包括wifi詳細信息和一個似乎是福特生產線計算機系統的密碼,掃描過後,確認該網絡屬於是福特位於密歇根州底特律的裝配廠。同樣的,福特汽車中也存在應用程序隨時共享車輛敏感信息的現象。
安全研究人員所測試的這兩款車型在世界範圍內的購買率十分之高,一旦這些漏洞被黑客組織用於投入實戰進行攻擊,後果不堪設想。
對此,《Which?》雜誌的編輯麗莎·巴伯(Lisa Barber)表示:
"現在,大多數汽車都包含功能強大的計算機系統,但是對這些系統的監管缺乏明顯意義,這意味著它們可能會受到黑客的廣泛攻擊,從而使駕駛員的安全和個人數據面臨風險。"
然而,這份擔憂並非首次,汽車廠商遭遇網絡攻擊早有先例,巨頭汽車廠商紛紛在列……
汽車巨頭深陷被攻擊漩渦
未來汽車工業安全引人擔憂
今年,2月28日,在RSA 2020“Security Strategy & Architecture”(安全策略與架構)會議上,360Sky-Go團隊披露,去年在梅賽德斯-奔馳聯網汽車的安全研究項目中,發現多達19個安全漏洞。通過結合硬件和軟件漏洞形成的攻擊鏈,可以實現對中國境內百萬輛梅賽德斯-奔馳聯網汽車實現非接觸式遠程控制。以至於在去年12月,奔馳就與360達成合作,共同促進行業聯網汽車信息安全能力。
奔馳汽車算是萬幸,在危機爆發前及時被安全廠商發現預警並採取了有效防護。然而,下面的寶馬、豐田卻沒那麼幸運了,更為糟糕的是,它們遭遇的是國家級黑客的攻擊。
2019年,德國慕尼黑寶馬汽車公司的計算機網絡遭遇越南國家級APT組織“海蓮花”的滲透攻擊,致使其內部多臺計算機被遠程監視和控制,迫不得已下,該公司在6月份將有關計算機進行了脫網。
無獨有偶,去年2月豐田汽車也被“海蓮花”黑客組織攻擊,旗下多家子公司受到影響,包括:豐田東京銷售控股有限公司、東京豐田汽車公司、豐田東京卡羅拉在內的多家子公司皆受牽連,近310萬豐田用戶的敏感信息被置於黑客的服務器內。
然而,不止於寶馬豐田等巨頭汽車廠商遭遇國家級黑客攻擊,伴隨5G、大數據、AI技術廣泛應用,汽車向著智能化、網聯化、電動化和共享化發展,未來整個汽車工業安全都引發我們深重的擔憂。
因為,在未來,智能駕駛系統、信息娛樂系統、底盤控制系統和動力控制系統都將與互聯網聯接,並通過網絡進行數據傳輸和軟件升級,這都為黑客組織提供了絕佳的“狩獵”機會:從安全極為重要的汽車系統,到對後端服務器的數據中心黑客行動,再到共享汽車領域的身份盜竊,甚至還有隱私問題。
黑客可以從任意環節下手,進行牟取更高的價值與利益。尤其當國家級黑客組織將汽車工業廠商納入攻擊版圖後,鎖定關鍵目標,竊取敏感數據、機密情報,甚至更進一步的恐怖襲擊,這似乎都有可能。
以至於當被問及5G之下哪個行業將最先出現網絡安全隱患?
安全巨頭廠商的董事長兼CEO周鴻禕先生直接回答:“車聯網”,並在去年全國“兩會”上,強調“網絡安全應成為智能汽車標配”。智 庫 時 評
從汽車廠商自身曝出漏洞,到被國家級黑客組織攻擊,這無疑再次給汽車行業敲響了警鐘。數字化新基建的到來,把網絡安全列為智能汽車標配愈發迫在眉睫。而對此,智庫認為:
1.智能車輛乃是未來數字化城市的基礎載體,需完善配套的智能汽車安全管理體系,加強安全法規及技術的研發力度。
2.建立車企乃至供應鏈的安全機制,確保車輛出廠前達到既定安全標準,出廠後可做到安全動態監控及實時防禦。
3.建立安全測試及靶場體系,通過攻防博弈來從實戰角度提升系統安全與穩定。
