[汽车之家 互联出行] 有一个问题一直困扰我们:在汽车智能网联“大普及”的时代,我们获取了便利,其背后的风险如何?我们的汽车面临着哪些信息安全隐患,可能危害到车主怎样的自身权益。为此我们和JIVIC汽车信息安全实验室(清华大学苏州汽车研究院和江苏省智能网联汽车创新中心联合建立)合作,希望通过科学严谨的测试,来探究这些问题。而经过前期大量对汽车网联App的测试,我们发现,信息安全是一个大家都在努力,但仍需要继续加大关注的问题。
为什么要做汽车信息安全测试
我们曾和很多从事汽车信息安全技术的企业和从业者沟通,得到这样一个听起来有些骇人的结论:一切联网设备,没有不能被破解的,当然也包括汽车在内。但是,这不意味着车企在信息安全上投入的精力和费用都是徒劳无功的,相反,它们非常有价值。
《速度与激情8》中有一个经典片段,反派黑客入侵了纽约曼哈顿街头一整片区域超过一千辆汽车,并控制它们拦截部长的车队。
现实生活中当然没有那么科幻了,但汽车被“黑客团队”破解其实是常有的事。黑客侵入汽车事件在2013年-2019年之间不断发生,根据 Upstream 最新报告的统计,公开报道的针对智能网联汽车网络安全攻击的事件,由 2018 年的 80 起激增到了 2019 年的 155 起,攻击类型也呈现多样化的发展趋势。其中比较知名的就涉及Jeep、丰田、特斯拉品牌,三个事件又恰巧和三种主要入侵汽车的方式一一对应。
他们能在不接触汽车的情况下,入侵并控制汽车的多媒体系统、动力系统以及刹车系统等。此次危机导致克莱斯勒公司不得不召回140万辆车。
2020年3月,腾讯科恩实验室指出雷克萨斯及丰田车型存在安全漏洞,黑客能够利用已识别的蓝牙安全漏洞运行部分车载功能。
越来越多的攻击事件显示,黑客针对不同攻击面的研究能力也愈发深入,黑客使用自制破解工具进行攻击的事件也屡见不鲜,在暗网论坛上甚至可以购买到黑客制作的破解工具和破解教程。
我们要测试什么?
信息安全漏洞风险极大,一旦被利用,在车辆上体现出的常见问题包括数据隐私泄露、软件系统篡改、系统失效失控,车辆被盗乃至被远程操控等。
测试内容涵盖广播、证书、储存文件、info、描述文件、网页以及病毒等,在测试结果中我们将挨个解释在这些方面的漏洞和警告可能会给车主带来怎样的影响和风险。
之所以测试安卓系统环境,是由于苹果iOS系统的App Store商店本身有自己的检验流程,安全性已经有一定程度的把关,并且由于软件包形式的问题,测试iOS版本应用需要厂商送测,故第一批15款App均利用APK软件包在安卓环境下进行测试。(本期发布7款App测试结果,涉及奔驰、现代、本田、雪佛兰、特斯拉、福特六个汽车品牌)
后续汽车之家和JIVIC汽车信息安全实验室还会针对汽车网络架构安全、设备安全、ECU安全、无线连接安全等领域进行深度合作。
加载中
