一度闹得沸沸扬扬的特斯拉刹车事件刚过去不久,马斯克又宣布5月份开始交付的的 Model 3 和 Model Y 将全部取消雷达、Autopilot等辅助驾驶,同时屏蔽部分功能,依赖摄像头实现智能识别和驾驶辅助。这个决定本是基于成本和数据的考量以及马斯克本人的喜好,却也让更多人开始关心汽车安全。
想要行车安安全全,可不止是锁好门窗、系好安全带那么简单。随着汽车的电动化、智能化和网联化,汽车已经和电脑、手机等其他联网设备一样,成为了一种智能设备,也与其他联网设备一样面临着不同的信息安全风险。
多个公开的研究案例已经表明,车联网中的信息安全漏洞可以导致车辆的不同系统被控制,甚至导致严重的车辆安全问题。
-
2021年5月,有研究团队发布研究成果,表示能入侵奔驰汽车的车载信息娱乐系统(Head Unit)和车载通讯模块(T-Box),直接对部分功能进行远程控制。
-
2021 年5月,有研究人员发布研究成果,展示通过无人机”入侵“特斯拉。
-
2020年11月,有研究人员利用密钥复制“中继攻击”,在3分钟内成功开走一辆特斯拉Model X。
-
2020年 10 月,GeekPwn 的舞台上,研究人员利用汽车雷达、蓝牙、OBD等不同功能存在的缺陷,让汽车刹车失灵、低速熄火;
-
2020年,研究人员发布论文称,在
道路、树木等物体上投射人影、路标、道路标志线等误导性投影,或者在电子广告牌中嵌入几帧路标,都能误导自动驾驶。
类似的研究在2017年也出现过,当时研究人员利用贴纸或涂鸦的方式修改交通标志,欺骗了自动驾驶。
-
2017年,GeekPwn 大赛现场,研究人员
利用汽车智能盒子漏洞远程接管驾驶,让汽车失控。
-
2017年和2018年,研究人员演示了如何远程入侵、控制特斯拉Model S 和 Model X 。
-
2015年,研究人员发现利用能发射激光脉冲的自制设备能干扰自动驾驶汽车中的LiDAR,导致车辆减速或急刹车。
-
2013年,曾有安全研究员通过网线将电脑接入丰田和福特某两款车的故障诊断端口,最终控制汽车的刹车、转向等。
-
2011年,几名美国研究人员通过蓝牙或蜂窝数据远程控制汽车CAN总线;并在 2012 年演示了破解福特、丰田的过程;
-
2009年 - 2010年,几名美国研究人员将笔记本电脑接入车辆仪表盘的端口,使用专门开发的 CARSHARK 软件,通过汽车的CAN总线发送
消息,最终控制了音响、仪表盘、挡风玻璃、车门、车灯、后备箱、喇叭、刹车等多个汽车元件和功能。
值得庆幸的是,上述案例在现实生活中鲜少出现,因为攻击汽车的研究门槛很高,所以
大多数汽车信息安全的问题是实力雄厚的研究团队在做研究或者参加比赛时发现的。
一般来说
,汽车内部用于控制发动机、油门刹车等的控制系统与用于中控屏、车载娱乐系统等的控制系统是互相独立的,但在硬件上无法100%分割开。
根据我国
汽车标准化技术委员会——智能网联汽车分标委组织制定的汽车推荐性国家标准
《汽车信息安全通用技术要求》
,汽车作为保护对象可划分为
三类子保护对象:车内系统、车外通信和车外系统。
这三个系统又分别涉及不同的软件、硬件、数据及通信系统。因为涉及的版块错综复杂,所以漏洞、弱点可能会出现在意想不到的地方
。
汽车遭遇攻击的原因常见于蓝牙、Wi-Fi 等无线协议栈的漏洞,或是 OTA 升级安全防护缺陷,网络通讯劫持等。
其中,有自适应巡航控制、车道辅助和自动制动等高级功能的车辆面临的风险更大。
根据以往出现的入侵案例,汽车的常见攻击面或攻击途径/后果有以下几种:
-
远程或近距离开车门等:
通过破解汽车控制终端(如钥匙、手机等)或利用蓝牙、Wi-Fi中的漏洞,实现远程或近距离打开车门。2020年11月,有研究人员利用特斯拉 Model X密钥缺乏“代码签名”加密的事实,直接复制密钥,发起“中继攻击”,在3分钟内成功开走一辆 Model X。
-
欺骗汽车智能识别系统
:基于雷达、摄像头等“广义传感器”的智能识别系统,是很多新能源汽车的主流选择。利用激光发射设备、雷达干扰设备去干扰汽车识别系统,或者用修改过的图像去欺骗汽车识别系统,都有可能造成汽车误判甚至失控。
-
植入恶意软件
:通过汽车的车载 MP3 等下载功能或USB等外接功能植入恶意代码,导致汽车信息娱乐系统感染,甚至还能感染其他控制系统,控制发动机、刹车等。
-
控制刹车系统
:真正控制刹车系统的是车载计算机中的微处理器。如果控制刹车的计算机系统被入侵,就能导致刹车失灵,甚至还能让发动机停工。
-
入侵胎压监测系统
:胎压监测系统会在车辆轮胎压力过低或过高时发出预警。
如果这个系统被入侵,可能会出现错误告警或不告警,甚至还能通过这个系统远程跟踪汽车。
