还记得吗?曾经的购车者在为其车辆选择娱乐配套时,最大的选择在于单碟播放还是六碟连放。而如今,他们要购买的汽车可能更像是一部带着车轮的智能手机。
这是因为汽车行业现在整合了最新的大众化技术(包括创新信息娱乐系统),目的是改善司机和乘客的驾乘体验。仪表盘地图和娱乐应用、车载 Wi-Fi 热点和视频通话就是最新款汽车的信息娱乐功能的例子。
然而,这些现代化的便利设施却带来了更多网络攻击漏洞,因为具有这项功能的联网技术可能成为网络罪犯进入汽车系统的门户。
UL 消费者技术部的业务开发经理 Gonda Lamberink 是 UL 车辆网络安全团队的成员之一,该团队致力于提高用户对汽车技术黑客潜在风险的认识,并建立更好的安全防范措施。
Lamberink 表示:“当您想到联网汽车时,如今的信息娱乐系统与外部世界具有最强的连接性,这使它成为汽车中更加暴露的系统之一。例如,任何通过 APP 商店下载或购买的应用程序都存在网络风险。现在,您移动设备上运行的应用程序可通过仪表盘主控单元进行操作,并打开通往汽车的入口,从而增加了车辆遭受网络攻击的风险。”
然而,这些风险远大于通过蓝牙或 USB 与汽车仪表盘连接的智能手机应用程序的数据漏洞。由于娱乐系统还通过 CAN 总线和其他内部车辆网络与其他汽车系统进行接口,因此关键的安全功能可能会受到牵连。网络犯罪分子可能会控制汽车的音频设备、温度,甚至刹车系统。
UL 在加州弗里蒙特和荷兰莱顿的团队进行研究,并与客户合作,以发现联网汽车技术中潜在的网络安全风险。通过渗透测试以及对不同信息娱乐系统和联网汽车系统进行漏洞分析和模糊测试,结合威胁建模和风险分析,团队密切合作并紧密协调,以最佳方式进行安全测试。最终,该团队提出重要发现,帮助客户了解潜在的风险。
Lamberink 表示:“该行业已经意识到了安全风险。由于外部曝光,车载娱乐系统一直是网络安全焦点的核心领域;且大体而言,汽车制造商已经建立了车载安全专家团队,以应对附加娱乐功能所带来的潜在漏洞问题。”
驶向未来
除了更奢华的信息娱乐系统,对于自动驾驶汽车的广泛应用,汽车制造商和软件开发商也只是刚开始触及该领域。与车载娱乐系统一样,自动驾驶系统也有其自身的网络和物理安全风险。这些风险并没有阻止激烈的竞争 — 由世界各地的政府推出这一新兴技术。政府机构也更多地讨论网络安全监管,以降低风险。
在美国,国会议员正在努力通过首项针对无人驾驶汽车技术的联邦立法。众议院有一项法案,该法案将“禁止各州制定特定的无人驾驶汽车规则,并允许制造商在不满足现有汽车安全标准的情况下,每年部署多达 10 万辆自动驾驶汽车。”与此同时,英国交通部敦促制造商“设计出黑客行为”,并强调:如果来自销售联网汽车的公司的产品遭到黑客攻击,则该公司的董事会成员将被追究个人责任。
Lamberink 表示:“黑客风险是真实存在的。如果今天汽车发展为带着车轮的移动电话这一大趋势呈现出安全与安保问题,那么明天自动驾驶功能和智能交通生态系统这一趋势会面临更大的问题。在不久的将来,汽车将会更加紧密地联系在一起。汽车行业要跟上安全风险的步伐,这一点至关重要。”
UL 通过与关键利益相关方合作,提出并解答那些联网汽车和自动驾驶汽车的软件设计安全所需的棘手问题,在汽车网络安全问题方面取得领先地位。根据 Lamberink 的说法,要对网络安全漏洞进行积极的测试,而不是当问题出现时才做出应对,这应该是汽车制造商在将汽车投放于市场和行驶之前进行的标准测试方案。这样做可以为联网汽车和自动驾驶汽车提供更高级别的网络安全保障,也为司机提供了一种平和的心态。
