/ 安全报告

360发布《2018智能网联汽车信息安全报告》,合规车辆5年后才能上市

3月20日,360发布了《2018年智能网联汽车信息安全年度报告》(下称《报告》),360智能网联汽车安全事业部负责人刘健皓出席了该活动。

自2015年起,360智能网联汽车安全实验室每年都会发布相关报告。通过回顾历年的汽车安全事件,分析漏洞破解案例,统筹行业标准制定情况、车厂重视程度和供应商的解决方案和能力,《报告》会为汽车信息安全产业提出相应建议,以应对安全方面的挑战。

亿欧汽车现场了解到,《2018报告》梳理了智能网联汽车的信息安全方面的进展,内容涵盖行业发展、安全标准规范、安全事件以及2019年发展建议等领域。

一年内发生14起智能网联汽车信息安全事件

随着“汽车四化”的发展,智能网联越来越成为车企研发新车的标准。2018年1月,国家发改委发布了《智能汽车创新发展战略(征求意见稿)》,其中要求智能汽车的新车占比要达到50%,中高级别智能汽车实现市场化应用。

但随着智能网联汽车的普及,其信息安全愈来愈受到企业和用户的重视。2018年,比亚迪、吉利、小鹏等整车厂纷纷表示要重点关注智能网联汽车的安全问题,大陆、博世、哈曼等Tier 1则陆续推出保障信息安全的解决方案,360、百度、腾讯等互联网公司也持续在此方面进行探索。

事实上,汽车的信息安全事件确实时有发生。据《报告》,仅过去一年,就有14起智能网联汽车信息安全事件发生,包括5起数据泄露事件和9起汽车破解事件。

img

以数据泄露为例,2018年7月,由于数据管理平台Level One Robotics and Controls,在使用远程数据同步工具rsync处理数据时,备份服务器没有限制使用者的IP地址,也未设置身份验证等用户访问权限,导致百余家车企的机密文件被曝光,包括大众、特斯拉、丰田、福特、通用、菲亚特克莱斯勒等车企。

其内容不仅涉及车厂发展蓝图规划、工厂原理、制造细节、客户合同材料、工作计划,甚至员工的驾驶证和护照的扫描件等隐私信息都被曝光,共计157千兆字节,包含近47,000个文件。

满足安全标准规范的汽车出现,还需再等5年

基于此,刘健皓指出,目前的智能网联汽车面临着控制安全和隐私泄露两大问题,黑客可从动力系统、车身控制、智能驾驶、信息娱乐系统等四个方面危及汽车信息安全。具体而言:

动力系统:该系统受到恶意指令的干扰,可能会出现交通事故

车身控制:黑客可模拟、干扰钥匙信号,利用云端漏洞远程解锁车辆,造车财产损失

智能驾驶:传感器漏洞、V2X恶意信号等,都会影响车辆智能驾驶决策系统,导致大面积交通事故

信息娱乐系统:其自身的系统漏洞可为黑客提供攻击入口,同时泄漏车辆驾驶、轨迹、车主等信息。

目前,国内外正积极针对以上问题制定相关标准规范,其参与机构不仅包括3GPP、ISO/TC22/SC32/WG11联合工作组、ITU-T(国际电信联盟电信标准分局)、CCC(The Car Connectivity Consortium,车联网联盟)等国际组织或联盟,也包括SAC/TC114/SC34(全国汽车标准化技术委员会的智能网联汽车分技术委员会)、SAC/TC260(信息技术安全标准化技术委员会)、CCSA(中国通信标准化协会)等机构。

刘健皓表示,制定相关标准的机构有很多,最终标准还未确定,车厂还处于观望状态。他预计,2023-2024年才会出现满足相关标准的车辆,此前的汽车或多或少都存在问题。对于因5G大热V2X技术而言,刘健皓坦言,由于V2X易产生“蝴蝶效应”,因而这项技术更需要安全作为保障。

所以,公司于2018年推出了车联网安全整体解决方案“360安全大脑”,针对车载联网终端、车载中央网关、车载娱乐系统、车联网APP等,打造了终端防护软件汽车卫士、车载联网防火墙等产品。目前360已与比亚迪、长安、东风、一汽、长城、奔驰、吉利等车企合作,有15万多辆智能汽车连接到汽车安全大脑,预计2020年增长至100万辆。

系统攻击面已从汽车终端转向了云端

回顾2018年,汽车信息安全已进入“刷漏洞”时代,众多汽车厂商惨遭漏洞威胁,其漏洞甚至取得了CVE编号。而现在,系统攻击面已从汽车终端转向了云端。对此《报告》为汽车厂商、供应商、服务提供商提出了三点建议:

1、多方面考虑数据安全,防止数据泄露。加强对数据安全的考量与投入,至少从访问控制、身份认证、数据加密与脱敏、容灾备份与恢复、安全审计等五个方面考虑数据安全。

2、企业建立自身信息安全标准,准守信息安全开发流程。目前,国际或者国内的安全标准仍处于建设时期,智能网联汽车仍处于没有安全标准及规范的状态,企业应严格遵守开发流程并建立自身信息安全标准。

3、建立动态安全实施监测机制,及时发现并处理。汽车使用周期较长,应持续对其进行动态监测,及时对潜在安全威胁进行分析、评估、处置,通过修改配置、安装补丁、访问控制等安全措施,修复潜在漏洞,提升安全防御能力,达到智能网联汽车的攻防平衡。还可对潜在安全问题或安全事件进行预研,提前部署相应解决对策。

对于未来的发展规划,刘健皓向亿欧汽车表示,目前360的车联网安全业务已趋于成熟,正在打造保障自动驾驶安全的新业务线。

报告下载

360发布《2018智能网联汽车信息安全报告》,合规车辆5年后才能上市
分享