■

汽車的信息系統(tǒng)安全直接影響到使用者的人身財產(chǎn)安全和公共安全，已經(jīng)成為制約移動互聯(lián)網(wǎng)汽車產(chǎn)業(yè)發(fā)展的關鍵問題。

近年來，隨著電子控制技術的發(fā)展和物聯(lián)網(wǎng)的興起，現(xiàn)代汽車中使用了大量電子控制設備，并通過無線通信網(wǎng)絡連接到互聯(lián)網(wǎng)，成為互聯(lián)網(wǎng)上的終端設備。智能網(wǎng)聯(lián)汽車中大量應用智能硬件、人工智能、無線網(wǎng)絡、云計算等互聯(lián)網(wǎng)領域的技術，提升了汽車的舒適性和自動化水平。然而，移動互聯(lián)網(wǎng)汽車在為外部網(wǎng)絡訪問提供更多應用軟件和遠程信息處理接口時，信息安全風險迅速升高，數(shù)據(jù)傳輸被截獲、加密數(shù)據(jù)遭破解、遠程控制失靈等都可能會讓汽車聯(lián)網(wǎng)變得不安全。從2010年至今，已經(jīng)發(fā)生了多起汽車信息安全漏洞事件，受到人們越來越多的關注。汽車的信息系統(tǒng)安全直接影響到使用者的人身財產(chǎn)安全和公共安全，已經(jīng)成為制約移動互聯(lián)網(wǎng)汽車產(chǎn)業(yè)發(fā)展的關鍵問題。

互聯(lián)網(wǎng)汽車的攻擊方式多種多樣，主要可分為車內(nèi)攻擊和遠程攻擊。車內(nèi)攻擊主要通過直接接觸汽車內(nèi)部硬件設備，從硬件上進行攻擊。遠程攻擊則無須接觸汽車設備，通過無線網(wǎng)絡進入車輛控制系統(tǒng)或者破壞無線通信系統(tǒng)。

●車內(nèi)攻擊

車內(nèi)攻擊主要通過對汽車總線的攻擊來進行?，F(xiàn)代車輛中使用了大量嵌入式設備和電子控制單元（ECU），不同的電子設備之間使用總線協(xié)議進行通信，以此控制車輛的行為并監(jiān)測車輛的狀態(tài)。由于汽車總線設計之初是在封閉網(wǎng)絡環(huán)境中使用，并沒有考慮安全問題，所以很容易被破解。只要將特制的硬件工具接到總線接口，就可以竊聽總線數(shù)據(jù)、偽造協(xié)議，實施重放攻擊和拒絕服務攻擊。

車載診斷接口（OBD）原本是汽車機修師用來連接汽車診斷儀的接口，許多廠商為了給用戶創(chuàng)造更好的體驗，給予OBD過多權限，例如可以接收Wi-Fi信號等，目前是最容易受到攻擊的位置。奇虎360公司的安全團隊曾經(jīng)開發(fā)了一個汽車安全總線測試平臺“CAN-Pick”，能夠向總線中寫入數(shù)據(jù)，能夠模擬控制車門、車燈、引擎等設備。除此之外，一旦直接接觸到汽車控制系統(tǒng)的硬件，就完全可以通過逆向工程提取固件重新編程或者獲取存儲器中的數(shù)據(jù)。對于目前推廣的新能源汽車，由于電池管理系統(tǒng)與充電樁存在交互，也存在被攻擊的風險。

●遠程攻擊

隨著汽車與外部設備的連接越來越多，暴露的攻擊面也越來越大，不論是Wi-Fi網(wǎng)絡還是短距離無線通信系統(tǒng)都特別容易受到攻擊。人們可以利用智能手機、智能可穿戴設備等，通過物聯(lián)網(wǎng)與汽車進行連接，這時經(jīng)由外部網(wǎng)絡，攻擊者就可以對汽車發(fā)起攻擊，對汽車進行控制。2015年，美國安全專家克里斯·瓦拉塞克（Chris Valasek）和查利·米勒（Charlie Miller）就通過車載聯(lián)網(wǎng)娛樂系統(tǒng)侵入汽車電子系統(tǒng)，遠程控制了數(shù)十千米外一輛正在行駛的克萊斯勒公司的Jeep自由光汽車，漏洞曝光后克萊斯勒公司緊急召回了140萬輛可能受影響的汽車。

汽車上各電子設備之間為了通信的便捷，較多地使用了短距離無線通信系統(tǒng)。由于汽車電子設備大多是功能單一的小型設備，硬件性能有限，無法通過高級加密來保護通信的安全和數(shù)據(jù)的有效性，因此成為易于攻擊的目標。汽車無線鑰匙系統(tǒng)、胎壓監(jiān)測系統(tǒng)都可能面臨通信信息被竊聽、惡意中斷等威脅。

1982年，雷諾公司首次將射頻識別（RFID）技術應用到汽車無線鑰匙系統(tǒng)中，此后該技術被廣泛應用。遙控鑰匙向車輛發(fā)送RFID信號，汽車防盜器接收到正確解鎖碼后開啟車門，發(fā)動車輛。在使用者用遙控鑰匙開鎖時，如果使用HackRF、USBP等軟件無線電（SDR）設備將遙控鑰匙發(fā)出的請求信號錄制下來，使用頻譜分析軟件進行解析，就可以對信號進行破解或者簡單地進行重放，實現(xiàn)對車輛的控制。2017年，荷蘭電子設計專家湯姆·溫曼霍夫（Tom Wimmenhove）使用這種方法破解了多款斯巴魯汽車的鑰匙系統(tǒng)，引發(fā)了人們的關注。

汽車輪胎壓力對于行車安全有至關重要的作用，胎壓過高或過低都會對行車安全造成危害。為了對胎壓進行監(jiān)測，許多汽車安裝了胎壓監(jiān)測系統(tǒng)。胎壓監(jiān)測系統(tǒng)需要在車胎內(nèi)安裝一個能夠發(fā)射信號的傳感器，它可以將胎壓讀數(shù)、車輪轉速和溫度等數(shù)據(jù)發(fā)送到汽車的接收機上，以便司機能夠及時掌握胎壓的狀態(tài)。傳感器和接收機大多采用射頻的方式進行通信，由于缺乏保護措施，信號很容易被捕獲并解碼。傳感器發(fā)送的數(shù)據(jù)包中含有一個系統(tǒng)唯一的ID，通過它就可以對車輛進行跟蹤或者觸發(fā)事件。例如，在停車場出入口布設接收器確定進出停車場的車輛；恐怖分子在路邊放置爆炸物，當接收到某個傳感器ID時將爆炸物引爆。

隨著技術的發(fā)展，未來汽車的智能化控制程度會越來越高。然而，越是現(xiàn)代、先進的事物越容易走向反面，智能化讓汽車足夠強大的同時也讓它變得愈發(fā)脆弱。中國智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)創(chuàng)新聯(lián)盟發(fā)布的《智能網(wǎng)聯(lián)汽車信息安全白皮書2016》指出，當前智能網(wǎng)聯(lián)汽車主要面臨來自4個層面的12大安全威脅，向行業(yè)強調(diào)了智能網(wǎng)聯(lián)汽車信息安全的重要性。汽車信息安全問題近兩年來才逐漸受到關注，目前行業(yè)內(nèi)對此問題缺乏系統(tǒng)的認知，安全防護能力不足，形勢嚴峻。汽車信息安全涉及的層面非常多，傳統(tǒng)汽車廠商對互聯(lián)網(wǎng)病毒、惡意軟件和黑客攻擊手段缺乏了解，而互聯(lián)網(wǎng)信息安全研究機構對汽車行業(yè)則一無所知。面對智能網(wǎng)聯(lián)汽車面臨的新問題，必須加強互聯(lián)網(wǎng)行業(yè)和傳統(tǒng)汽車廠商的交流合作，通盤考慮汽車信息安全問題，研究關鍵安全防護技術，才能保證行業(yè)健康發(fā)展。