據外媒報道,近日,一家公司的安全研究人員攻破特斯拉無鑰匙系統,只需不到10秒鐘就能開啟車門。據悉,研究人員分別在Model 3和Model Y上進行測試,結果均可以解鎖和啟動汽車。這家公司還表示,這個漏洞並非只針對特斯拉,而是覆蓋了絕大多數支援無鑰匙進入的智慧汽車。
顯然,當汽車成為數字化生活的新智慧終端,智慧汽車的數字安全成為焦點問題。對此,360天樞智庫安全專家表示,當汽車越來越數字化之後,整個汽車部件都得重新程式設計,汽車要和車廠聯網之後,安全風險前所未有。特別是駕駛汽車過程中,如果出問題就不堪設想。因此,對智慧汽車安全的重視,需要遠遠超過IoT、手機和電腦等智慧終端。
上述專家認為,智慧網聯汽車的安全問題已超過傳統物理安全,升級為更復雜的數字安全問題。他指出,當前智慧網聯汽車面臨四大風險:一是,程式碼數量增加使得車載系統安全缺陷激增;二是,網路連線汽車導致攻擊面增加;三是,車企網聯程度不斷提高,雲端成最大安全隱患;四是,資料驅動汽車,帶來資料安全風險攀升。
正如上述攻破特斯拉無鑰匙系統開啟車門一樣,國內車企也存在漏洞可導致攻擊者控制汽車。據360車聯網安全實驗室統計,在國內25家車企的53款在售智慧網聯汽車中,360公司共計發現漏洞1600餘個,其中雲端漏洞1000餘個,可導致攻擊者遠端批次控制該品牌所有的智慧網聯汽車;車端漏洞600餘個,可導致攻擊者近距離非接觸式控制汽車,如開關車門、啟動引擎等。Upstream釋出的《全球汽車網路安全報告》顯示,與2018年相比,2021年公開報道的針對汽車的攻擊事件數量增長了225%。
目前,國內愈加重視智慧汽車安全問題。政策方面,去年8月,工信部發布《關於加強智慧網聯汽車生產企業及產品准入管理的意見》,要強化企業主體責任,加強汽車資料安全、網路安全、軟體升級、功能安全和預期功能安全管理;今年3月,工信部印發《車聯網網路安全和資料安全標準體系建設指南》,要求在法律法規基礎上,加速形成我國汽車資料安全的標準體系。
行業方面,作為全球最大的數字安全公司,360參加了30多個車聯網網路安全標準,將在汽車網路安全方面的領先優勢標準化,貢獻到業界,提供給產業共享、利用已有的安全成果,快速提升安全技術能力。同時,以360雲端安全大腦為核心的車聯網安全框架,以安全大資料分析為基礎,利用威脅情報訂閱、知識庫、安全專家等關鍵能力賦能於車企,提升車企的安全對安全威脅的檢測發現能力。同時依託本地安全大腦構築車企安全基礎設施,完善車輛出廠前後的車聯網安全檢測和實時檢測,保證每一輛出廠的車都符合安全要求的同時,透過360車聯網安全監測平臺,幫助車企分析和應對安全威脅,做到威脅的可感、可視、可追蹤,進而保證終端使用者的安全。
業內指出,傳統碰撞測試等手段無法發現當前智慧汽車的數字安全隱患,亟需建立智慧網聯汽車“數字空間碰撞測試”,即建立智慧網聯汽車“數字空間碰撞測試”機制和相關標準,保障汽車出廠安全和持續檢測。透過依法合規地對車身網路、車雲網絡、車數網路、車聯網路和車企網路進行滲透測試,發現汽車“雲、管、端”全系統數字安全問題,保障汽車出廠安全。同時,在車檢和軟體線上升級環節,增加“數字空間碰撞測試”要求。
