有人能够入侵并控制汽车这一事实本身就令人恐惧,电影中的场景变成了现实。再加上汽车中的软件会处理和存储我们的个人数据,这种恐惧达到了一个新的高度。
一旦发生安全漏洞,我们的驾驶数据、联系人、通话记录、消息甚至位置信息等信息都可能落入他人之手。制造商的责任越来越大,不仅在物理安全方面,而且在网络安全方面,因为这两个方面是相辅相成的。
因此,如果有人认为入侵汽车是不可能的,那么他们应该再想想。2024 年,由 Sam Curry 领导的一组研究人员在起亚的门户网站中发现了一个漏洞,该漏洞使他们能够重新分配 2013 年后生产的任何起亚汽车的互联网连接功能的控制权。同样的研究人员还成功远程劫持和跟踪某些斯巴鲁车型。
根据 VicOne 的报告,汽车行业面临的网络攻击损失高达 225 亿美元,其中包括数据泄露造成的 200 亿美元、系统宕机造成的 19 亿美元以及勒索软件造成的 5.38 亿美元损失。
汽车系统的网络安全风险
汽车系统面临各种网络安全威胁,包括远程黑客、物理攻击、软件漏洞和恶意软件。
远程攻击:如今的车辆配备了蓝牙、Wi-Fi 和蜂窝连接以方便使用和实现功能性,但如果这些系统没有得到适当的保护,黑客就可以远程访问车辆的网络。
物理访问攻击:车辆具有诊断端口(如 OBD-II),用于维护和故障排除,但如果攻击者能够物理访问车辆,他们就会利用这些端口。此外,车辆内部网络(如CAN 总线,连接刹车和发动机控制等关键系统)容易受到篡改,黑客可能利用这些端口操纵车辆功能,如速度、刹车,甚至禁用安全功能。
软件漏洞:与任何软件一样,错误和弱点都可以被利用,从而允许攻击者获得未经授权的控制或窃取车辆的敏感数据。
恶意软件和勒索软件:黑客可以通过远程方式或通过受感染的 USB 驱动器将恶意软件注入车辆系统。勒索软件可以锁定关键系统,使车辆无法运行,直到支付赎金为止。
CAN 和 LIN 等车载网络控制着从发动机到座椅调节等关键功能,但它们的设计并未考虑到安全性,因此容易受到黑客攻击。
为了保护这些系统,正在实施加密(保护数据)、身份验证(验证设备身份)和入侵检测系统 (IDS)(检测可疑活动)等措施,以防止未经授权的访问和操纵。
未来的安全问题
自动驾驶汽车正在为交通运输行业带来革命性的变化,但事实上我们无法控制车辆,虽然听起来很先进,但也令人担忧。
未来,我们可能会拥有 5 级自动驾驶的机器人出租车,汽车将能够完全在无人干预的情况下运行,这对每个人来说都是一个巨大的挑战,需要处理随之而来的所有可能问题。在这些汽车上路之前,制造商和监管机构必须优先考虑网络安全措施,以确保技术及其乘客的安全。
这些措施必须解决外部威胁(例如远程黑客)和内部威胁(例如车辆自身软件或传感器系统内的漏洞)。
自动驾驶汽车的安全性需要确保人工智能算法、传感器(激光雷达、雷达、摄像头)和云端服务之间的通信安全。这些连接对于自动驾驶汽车的运行和与环境的互动至关重要。
车对万物 ( V2X ) 通信和无线 ( OTA ) 更新可能是制造商应该解决的主要弱点。V2X 涵盖车辆与其周围环境之间的各种通信类型。目标是通过允许汽车与其他实体“对话”来提高道路安全、交通效率和自动驾驶能力。
另一方面,OTA 更新是制造商或服务提供商直接向车辆发送的无线软件更新。您无需将汽车送到经销商处进行软件升级或错误修复,而是通过互联网发送更新,类似于智能手机接收更新的方式。
拦截 V2X 通信或 OTA 更新可能导致比窃取数据更严重的后果,因为这些功能控制着车辆的关键功能。
美国政府还对自动驾驶汽车使用外国技术表示担忧,并提议禁止此类软件和硬件,以减轻间谍活动和国家安全风险。这增加了汽车网络安全的地缘政治维度。
监管格局
问题可能在于各国的监管方法不同,因此全球合作对于建立自动驾驶汽车的网络安全标准至关重要。
在欧盟,通用安全法规2019/2144规定了对新车辆的严格网络安全要求,包括安全软件更新和基于风险的安全措施。
相比之下,美国依赖国家公路交通安全管理局(NHTSA)的自愿指导方针,该指导方针鼓励采取主动的安全措施,但不具有可执行性。
ISO 和 SAE 等全球标准组织在塑造行业实践方面发挥着关键作用,尤其是通过ISO/SAE 21434标准,该标准概述了在整个生命周期内保护车辆系统的框架。
驾驶时的网络意识
并非所有危险都来自针对复杂系统的攻击,有时它们来自驾驶员。
例如,在社交工程和网络钓鱼攻击中,有人可能会收到一封看似来自汽车制造商的电子邮件,警告用户需要进行关键软件更新。如果用户相信了该邮件,他们可能会点击链接,按照说明操作,然后在不知情的情况下打开入侵之门。
如今,汽车上还配备了各种应用程序,让生活更加便捷,无论是导航还是流媒体音乐。但存在一个潜在风险:许多此类应用程序都连接到公共 Wi-Fi 网络。如果应用程序缺乏安全连接,它可能会将您的数据,甚至您的汽车系统暴露给网络攻击。
汽车制造商和网络安全专家必须优先努力提高消费者的意识,帮助消费者了解他们的数据是如何被使用的以及如何保护自己。这包括解释为什么定期更新软件、使用安全的 Wi-Fi 网络以及确保车辆具有内置安全功能很重要。
驾驶员还应注意潜在风险,例如不安全的蓝牙连接、存储车辆数据的云服务中的漏洞以及连接系统密码保护的重要性。
未来,随着联网汽车、自动驾驶系统和物联网集成的兴起,汽车行业必须继续实施积极主动的网络安全策略,以防范潜在威胁。