【沙龙干货】KEEN吕一平:开放的汽车会存在很多攻击面!

0

导语:一旦车联网被引入,数据卡被连接进入到车联网,汽车将成为一个终端,它会跟服务端连接。汽车将成为一个智能终端,所具备的特性其实跟智能手机没有区别。汽车也就具有了广泛的攻击面!

文 ▎AutoLab

未来黑客对汽车能做什么?仅仅轻松打开车门把车开走,真是图样图森破!就在现在,黑客利用智能汽车的漏洞甚至可以轻松操纵你的车进行转向和行驶,电影《速度与激情6》中任意操纵其他车辆行驶状态的情况已经离我们不远了。

“目前黑客并没有进攻汽车,等到智能汽车的普及率达到10%,在互联网时代出现的安全问题将在汽车界重新上演”Keen团队碁震云科技COO吕一平在AutoLab第48期沙龙上讲。

本次沙龙出乎我们的意料,竟然惊动了特斯拉美国总部,特斯拉美国负责技术安全的老总为了我们的沙龙竟然特意赶来了上海!当然也是因为Keen团队找到了很多特斯拉的漏洞。

Keen Team是唯一在世界顶级信息安全大赛Pwn2Own上三次夺冠、同时攻破桌面和移动终端操作系统的团队,也是亚洲第一个参赛并夺冠的白帽安全研究团队。公司的数百项安全研究成果已经应用于世界上每一台Windows、Mac OS、Android和iOS智能设备,是谷歌project zero国际安全社区研究合作项目,亚洲地区第一个合作伙伴。

Keen所看到的未来,不仅是手机终端,而是整个物联网行业的智能设备,像桌面品牌windows,像移动品牌安卓和ios,未来发展趋势就是互联网IOT,智能设备,包括智能汽车。

虽然设备跟系统都在做变化,但是所面临的安全问题其实没有改变。智能汽车行业将遇到的问题会和智能终端遇到的问题非常相似。吕一平以智能终端为引,类比简析智能汽车的问题。

Keen将移动端平台上的安全性问题分为六个层层次,分别是云,云应用分发,进场,应用操作系统,和芯片。黑客能够在六个层次上对移动终端进行攻破或通过其中安全漏洞窃取信息。Keen在对客户研究过程中发现很多问题,不少是高风险问题,而移动端有很多风险是针对用户的。汽车行业和车联网做智能化面临的风险也是这些。

汽车会成为下一个互联网的终端,可以把汽车看成一个手机,它其实是一个互联网进入终端。传统汽车是一个封闭的汽车,但是开放以后,会面临很多安全问题。

汽车本身是一个封闭的公共系统,不对外开放,一旦车联网被引入,数据卡被连接进入到车联网,汽车将成为一个终端,它会跟服务端连接。汽车将成为一个智能终端,所具备的特性其实跟智能手机没有区别。所以,汽车行业面临从封闭的公共系统向更开放的互联网系统重新转化的过程。

今年8月份两名美国黑客公布了他们的汽车研究成果,汽车已经进入了远程利用的阶段,能够利用发现的安全问题对远程系统做远程的控制。

比如,利用蓝牙通讯协议中存在的一些安全问题,就可以对车或对它的刹车等做控制。原来可能需要对汽车攻击,再对车联网攻击,现在只需对车载车系统连接进行攻击再攻击车联网即可达到远程刹车控制。

但其实黑汽车是非常难的事情,因为非常复杂。第一,汽车系统本身从信息安全角度对技术人员是非常陌生的领域,车辆的硬件、软件如何配合,车联网如何与传统车辆互动,都十分复杂。第二,汽车研究成本会非常高。如做手机研究,买70个手机样本一共只需五万元;而做汽车研究,一辆车几十万,成本高昂。

虽然软件上的安全漏洞不能被完全消灭掉,尤其引入的技术越多,问题就会越多,每当引入一个新技术,就会出现一个新的安全问题,但是对个层面采取保护措施能够有效防止问题爆发。如果一个厂商重视安全,做了很多安全保护机制,就可以大大提升攻击成本。黑客规则:永远摘最低的苹果,而苹果长得越高,对于黑客攻击成本就越高。厂商安全保护机制越强悍,黑客团队攻击成本会越高,漏洞价值也越大,相对安全风险会降低,同时这些安全问题不会广泛暴露。

如何去应对汽车智能化的威胁。借鉴微软的安全教训和经验,需要培养安全意识。

2001年,微软发布windowsXP,当时XP的安全性是0分。因为XP并不是基于安全理念和安全架构设计的产品,它关注满足用户体验。到2003年,XP平台遭遇冲击波病毒,整个互联网感染了上千万台windows服务器跟客户端。微软恶毒谴责黑客,引发黑客社区极大愤慨,致使更多人研究windows公布XP漏洞,以至于2004年微软又经历了一次大规模按照市场振荡波,上千万台主机受害。之后微软开始与黑客合作,五年间花费大量资产广招人才,同时引入一系列的措施来做安全防空,所以到2006年的Vista代码安全性达到95分了。

汽车厂商在发展时应培养这样的意识,安全漏洞永远找不完,只要有新的应用出现就一定有新的问题出现。需在动态过程中不断收获问题、发现问题、解决问题。

Comments are closed.