旧版搜索
  • 新版搜索
  • 旧版搜索

历史搜索 全部删除

    热门搜索

      正在阅读:

      有些人动动手指,车企就不得不召回百万辆车

      扫一扫下载界面新闻APP

      其他途径关注界面…
      菲亚特-克莱斯勒

      有些人动动手指,车企就不得不召回百万辆车

      汽车版的360能挡得住汽车版的CIH或米开朗基罗或熊猫烧香或各式蠕虫和木马吗?

      上海汽车报 ·

      记得最早,360出的电脑版,后来开始有了手机版和电视版,有不少人都在琢磨,包括360在内,哪家网络安全供应商能最先出个汽车版的APP呢?汽车版的360能挡得住汽车版的CIH或米开朗基罗或熊猫烧香或各式蠕虫和木马吗?

      智能时代对传统汽车行业的冲击是巨大的,曾经仅在科幻电影中出现的自动泊车、辅助驾驶等未来科技正逐渐成为现实。以传统汽车为基础,加载雷达、摄像头等传感器或控制器,通过车载传感系统与信息通信系统实现汽车与环境、网络及其他设备的交互,智能汽车将原本由人工与机械控制的部分交予信息系统来执行。

      汽车网络安全已经开始引起关注

      尽管智能科技有美好的前景,但智能汽车的安全问题也逐渐被大家热议。近年来,智能汽车遭受攻击的案例逐渐增多。

      2014年7月,在北京举行的GeekPwn上,国内某顶尖安全团队的极客们展示了如何远程控制特斯拉。他们通过一台笔记本电脑,远程打开了特斯拉的天窗,并且随意控制了特斯拉的灯光与喇叭。此前,一家互联网公司发布消息称,经过对特斯拉Model S安全性能的一系列测试发现,可利用该车应用程序中的设计缺陷对其进行攻击。例如,远程控制车辆,实现开锁、鸣笛、闪灯、开启天窗等操作。

      今年3月,日产聆风(Nissan Leaf)配套的NissanConnect应用被曝存在安全隐患,黑客可侵入该应用来控制车辆的风扇设置(或导致电池耗尽)、下载过往的日志文件。日产随即将该应用紧急下架,并表示很快会推出一个更新的版本。

      以往案例中,影响最大的要数Charlie Miller和Chris Valasek这两名黑客破解了克莱斯勒车机系统。他们利用无线连入车机,无论何时、无论何地,只需一台笔记本,就可以轻松地远程控制车辆刹车、转向以及换挡等功能。

      事实上,Miller和Valasek的“入侵行为”是以研究为目的的,他们曾表示:“我们的目标是让驾驶员远离网络攻击,安全地驾驶汽车。我们指出汽车的安全漏洞,促使其他研究人员解决这个问题,并提出建议。”但这样做的后果却让整个汽车行业坐立不安,他们发现的这个漏洞让克莱斯勒看上去像一个筛子,并直接导致克莱斯勒召回了超过140万辆汽车。

      汽车网络安全的潜在风险与应对

      智能汽车与网络的交互接口、远程访问端口,以及自身系统与外部系统的物理端口为黑客的攻击打开了方便之门。

       

       

      政府立法:

      SPY汽车法案(提案):2015年7月21日,美国国家公路交通安全管理部门(NHTSA)与美国联邦贸易委员会(FTC)共同努力,建立相应的消费者数据隐私规则和车载计算机网络安全规则,以防止所有在美国生产销售的汽车遭受黑客攻击。

      美国国家环境保护局《研究如何提高车辆和道路安全:车辆数据私隐》(Examining Ways to Improve Vehicle and Roadway Safety: Vehicle Data Privacy):2015年10月,环保局拟议法例,旨在要求美国国家公路交通安全管理部门建立汽车网络安全咨询委员会(ACAC),为汽车制造商制订应对网络攻击,保障安全性的最佳实践。

      行业规范:

      2014年11月,美国汽车制造联盟(AAM)与全球汽车厂商协会(AGA)共同发布了消费者隐私保护原则——车辆技术和服务隐私原则(Consumer Privacy Protection Principles: Privacy Principles for Vehicle Technologies and Services),其中涉及收集、使用和共享个人和车辆信息。

      标准化机构正在初步建立相关的标准和措施。例如,SAE车辆电气系统安全委员会正在制订网络安全指南(J3061)和硬件保护的安全性(J3101)需求;ISO正在制订TC22计划,以确认是否需要在ISO26262(第二版)中增加功能性安全和网络安全的通信信道等内容。

      行业应对:

      尽管智能汽车网络安全问题才初露头角,但早有先锋企业探索出可行的解决方案。比如,以色列初创公司Argus是一家在汽车网络安全领域的领先企业。该企业为汽车制造商提供一整套服务,使他们能够识别网络元素和其他关键部件的漏洞,并与新兴法规的要求保持一致。

      一些传统的汽车企业供应商已经开始持续投资于研发完整的多层安全架构解决方案,如哈曼(Harman)提供“5+1汽车安全框架”,即聚焦于提供五大关键安全功能(硬件安全模型、管理程序、操作系统访问控制、应用沙盘和网络防护,并且与无线更新(OTA)相结合)。

      汽车制造商本身也应积极参与防护智能汽车网络安全的工作。目前已有不少业界领先的车企对此做出了不懈努力。

      特斯拉与通用汽车发起了安全漏洞披露项目,通过雇佣外界“白帽”黑客或黑客社群,从攻击者的角度寻找现有的安全漏洞,这比常用的渗透性测试能提供更多的安全建议。

      戴姆勒不仅设立了类似的黑客团队,同时也与竞争者联合收购并合作建立互惠共赢的安全性平台(Here地图服务),以提供不易遭受入侵的网络服务;克莱斯勒与网络运营商Sprint合作建立全网络级别的安全防护,其可以在Sprint的网络中识别并拦截攻击命令;戴姆勒与安全技术服务商Oberthur Technologies合作装载内嵌安全性软件的用户身份识别模块(SIM),用以保障智能车辆连接移动网络的可靠性与安全性。

      宝马启用HTTPS技术,在传统的数据传输中添加了加密/身份验证层,以提供其验证通信身份的方式与加密通信信息的方法。

      这些尝试无一不是反映了汽车制造商对网络安全的重视。但同时,安全问题更应纳入智能汽车的全生命周期考量范围,从而最大程度减轻高度智能化带来的隐患。

       

       

       

      本文为转载内容,授权事宜请联系原著作权人。

      菲亚特-克莱斯勒

      114
      • 克莱斯勒中国召回部分进口大切诺基汽车,共计2040辆
      • 克莱斯勒(中国)汽车销售有限公司召回部分进口大捷龙汽车
      引擎密码
      点赞
      收藏
      看评论
      沉浸模式

      评论

      暂无评论哦,快来评价一下吧!

      下载界面新闻

      微信公众号

      微博
      菲亚特-克莱斯勒

      有些人动动手指,车企就不得不召回百万辆车

      汽车版的360能挡得住汽车版的CIH或米开朗基罗或熊猫烧香或各式蠕虫和木马吗?

      上海汽车报 · 2016/08/07 19:59

      记得最早,360出的电脑版,后来开始有了手机版和电视版,有不少人都在琢磨,包括360在内,哪家网络安全供应商能最先出个汽车版的APP呢?汽车版的360能挡得住汽车版的CIH或米开朗基罗或熊猫烧香或各式蠕虫和木马吗?

      智能时代对传统汽车行业的冲击是巨大的,曾经仅在科幻电影中出现的自动泊车、辅助驾驶等未来科技正逐渐成为现实。以传统汽车为基础,加载雷达、摄像头等传感器或控制器,通过车载传感系统与信息通信系统实现汽车与环境、网络及其他设备的交互,智能汽车将原本由人工与机械控制的部分交予信息系统来执行。

      汽车网络安全已经开始引起关注

      尽管智能科技有美好的前景,但智能汽车的安全问题也逐渐被大家热议。近年来,智能汽车遭受攻击的案例逐渐增多。

      2014年7月,在北京举行的GeekPwn上,国内某顶尖安全团队的极客们展示了如何远程控制特斯拉。他们通过一台笔记本电脑,远程打开了特斯拉的天窗,并且随意控制了特斯拉的灯光与喇叭。此前,一家互联网公司发布消息称,经过对特斯拉Model S安全性能的一系列测试发现,可利用该车应用程序中的设计缺陷对其进行攻击。例如,远程控制车辆,实现开锁、鸣笛、闪灯、开启天窗等操作。

      今年3月,日产聆风(Nissan Leaf)配套的NissanConnect应用被曝存在安全隐患,黑客可侵入该应用来控制车辆的风扇设置(或导致电池耗尽)、下载过往的日志文件。日产随即将该应用紧急下架,并表示很快会推出一个更新的版本。

      以往案例中,影响最大的要数Charlie Miller和Chris Valasek这两名黑客破解了克莱斯勒车机系统。他们利用无线连入车机,无论何时、无论何地,只需一台笔记本,就可以轻松地远程控制车辆刹车、转向以及换挡等功能。

      事实上,Miller和Valasek的“入侵行为”是以研究为目的的,他们曾表示:“我们的目标是让驾驶员远离网络攻击,安全地驾驶汽车。我们指出汽车的安全漏洞,促使其他研究人员解决这个问题,并提出建议。”但这样做的后果却让整个汽车行业坐立不安,他们发现的这个漏洞让克莱斯勒看上去像一个筛子,并直接导致克莱斯勒召回了超过140万辆汽车。

      汽车网络安全的潜在风险与应对

      智能汽车与网络的交互接口、远程访问端口,以及自身系统与外部系统的物理端口为黑客的攻击打开了方便之门。

       

       

      政府立法:

      SPY汽车法案(提案):2015年7月21日,美国国家公路交通安全管理部门(NHTSA)与美国联邦贸易委员会(FTC)共同努力,建立相应的消费者数据隐私规则和车载计算机网络安全规则,以防止所有在美国生产销售的汽车遭受黑客攻击。

      美国国家环境保护局《研究如何提高车辆和道路安全:车辆数据私隐》(Examining Ways to Improve Vehicle and Roadway Safety: Vehicle Data Privacy):2015年10月,环保局拟议法例,旨在要求美国国家公路交通安全管理部门建立汽车网络安全咨询委员会(ACAC),为汽车制造商制订应对网络攻击,保障安全性的最佳实践。

      行业规范:

      2014年11月,美国汽车制造联盟(AAM)与全球汽车厂商协会(AGA)共同发布了消费者隐私保护原则——车辆技术和服务隐私原则(Consumer Privacy Protection Principles: Privacy Principles for Vehicle Technologies and Services),其中涉及收集、使用和共享个人和车辆信息。

      标准化机构正在初步建立相关的标准和措施。例如,SAE车辆电气系统安全委员会正在制订网络安全指南(J3061)和硬件保护的安全性(J3101)需求;ISO正在制订TC22计划,以确认是否需要在ISO26262(第二版)中增加功能性安全和网络安全的通信信道等内容。

      行业应对:

      尽管智能汽车网络安全问题才初露头角,但早有先锋企业探索出可行的解决方案。比如,以色列初创公司Argus是一家在汽车网络安全领域的领先企业。该企业为汽车制造商提供一整套服务,使他们能够识别网络元素和其他关键部件的漏洞,并与新兴法规的要求保持一致。

      一些传统的汽车企业供应商已经开始持续投资于研发完整的多层安全架构解决方案,如哈曼(Harman)提供“5+1汽车安全框架”,即聚焦于提供五大关键安全功能(硬件安全模型、管理程序、操作系统访问控制、应用沙盘和网络防护,并且与无线更新(OTA)相结合)。

      汽车制造商本身也应积极参与防护智能汽车网络安全的工作。目前已有不少业界领先的车企对此做出了不懈努力。

      特斯拉与通用汽车发起了安全漏洞披露项目,通过雇佣外界“白帽”黑客或黑客社群,从攻击者的角度寻找现有的安全漏洞,这比常用的渗透性测试能提供更多的安全建议。

      戴姆勒不仅设立了类似的黑客团队,同时也与竞争者联合收购并合作建立互惠共赢的安全性平台(Here地图服务),以提供不易遭受入侵的网络服务;克莱斯勒与网络运营商Sprint合作建立全网络级别的安全防护,其可以在Sprint的网络中识别并拦截攻击命令;戴姆勒与安全技术服务商Oberthur Technologies合作装载内嵌安全性软件的用户身份识别模块(SIM),用以保障智能车辆连接移动网络的可靠性与安全性。

      宝马启用HTTPS技术,在传统的数据传输中添加了加密/身份验证层,以提供其验证通信身份的方式与加密通信信息的方法。

      这些尝试无一不是反映了汽车制造商对网络安全的重视。但同时,安全问题更应纳入智能汽车的全生命周期考量范围,从而最大程度减轻高度智能化带来的隐患。

       

       

       

      本文为转载内容,授权事宜请联系原著作权人。