深度分析懂车联网行业
传统汽车由人工操控的机械产品逐步向电子信息系统控制的智能产品转变是大势所趋。我国已将发展智能网联汽车上升到国家战略高度,全面推进智能网联汽车发展。
企业全面布局:
智能网联化使得车辆信息
安全风险增加
随着智能网联时代的到来,汽车的网联化和智能化功能也越来越多,从外部环境感知到内在设备系统间的交互逐渐增加,打破了汽车控制系统原有的封闭生态,引入了很多来自互联网的安全风险:
- 驾驶主体由“人"转变为"自动驾驶系统";
- 车联网功能增加,信息交互量大;
- 监管对象、内容更加复杂。
大量新技术和网联功能引入,导致信息安全风险增加:
- 程序复杂:至少100台车载电脑,运行6000万行代码,无人驾驶2亿行以上的代码。
- 智能控制:采用感知-决策控制来代替人对机械部分直接控制。信息安全不仅会遭受经济损失,还可能会成为社会安全问题。
- 固有缺陷:使用的计算和联网系统沿袭了既有的计算和联网架构,也继承了这些系统天然的安全缺陷。
- 数据联通:车载信息系统与外界互联互通,共享信息指数增加,涉及用户隐私安全。
- 充电桩:控制模块的PLC电路通过以太网与管理系统连接,在整个网络内部缺少防护。
- 电池管理系统:通过攻击BMS的控制算法从而影响电动车的电池性能。
网联化五大场景下的各类
信息安全威胁
车联网涉及“人、车、路、云”间五大互联场景,可划分为数据、服务平台、通信、智能网联汽车、智能终端五大安全类型,其中数据安全贯穿于各个互联场景。
- 车联网以“两端一云”为主体,路基设施为补充,涉及车-云互联、车-车互联、车-路互联、车-人互联、车内互联五个场景;
- 针对五大互联场景,车联网信息安全分为数据安全、车联网服务平台安全、通信安全、智能网联汽车安全、移动智能终端安全五大类型;
- 其中,数据安全作为车联网信息安全的重点内容,贯穿于车联网的各个互联场景。
车联网服务平台、各通信域、智能网联汽车、移动智能终端也面临着各式信息安全攻击隐患:
近年来,车联网信息安全事件日益增多:
- 根据工信部车联网动态检测情况显示,2020年以来,全球整车企业和信息服务提供商等车联网相关企业受到的恶意攻击达到280余万次,信息安全危害更加严峻;
- 根据Upstream报告统计,公开报告的车联网信息安全攻击事件不断增多,同时攻击类型也呈现多样化的发展趋势;
- 车联网受到多样化的信息安全攻击事件,其中无线钥匙、TSP服务器是重点攻击目标:
- 总结来看,目前信息安全攻击事件主要发生在车-人、车-云、车内互联场景下,而车-车与车-路互联仍处于研发测试阶段,暂未出现较多典型案例。
在车-人、车-云、车内场景下的
典型信息安全案例
在车-人互联场景下的车联网信息安全攻击案例:
- 案例:破解数字车钥匙。利用DST40加密算法的密码长度漏洞缺陷,特斯拉ModelS的数字车钥匙被成功破解,攻击者在数秒内完成复制车钥匙,成功打开车门。
- 案例:共享汽车APP被破解。由于对共享出行公司Car2Go手机APP的破解,导致在美国芝加哥有100辆豪华高端汽车被盗。
在车-云互联场景下的车联网信息安全攻击案例:
- 案例:云端服务器数据泄露。本田印度将HondaCONNECT移动应用程序信息存储在了两个可公开访问的AmazonS3存储桶中,最终导致超过5万名客户的个人详细信息被泄露。
- 案例:Wi-Fi协议存在漏洞。大众高尔夫GTE车型被发现Wi-Fi连接协议漏洞,黑客可以进一步入侵车载导航系统,精确发现车辆所在位置,并实时更新。
在车内互联场景下的车联网信息安全攻击案例:
- 案例:通过OBD接口注入指令。某Jeep车型在被物理接触的情况下,被攻击者通过OBD接口注入指令,控制车辆的动力系统,操控方向盘和刹车系统,严重威胁驾驶员人身安全。
- 案例:IVI车载娱乐系统爆出漏洞。宝马IVI车载娱乐系统ConnectedDrive被爆出远程操控漏洞,其中包括会话漏洞,恶意攻击者借助漏洞绕过VIN车辆识别号,会话验证获取另一用户VIN,并接入访问编辑其他用户的汽车设置。
参考资料来自:中国汽研证券、驭势资本研究所