当前位置:首页 > 物联网 > 智能应用
[导读] 车厂Fiat Chrysler最近因为软件漏洞而召回130万辆小货卡…想象一下,如果是黑客先发现那个漏洞而且用以发动攻击呢?

 车厂Fiat Chrysler最近因为软件漏洞而召回130万辆小货卡…想象一下,如果是黑客先发现那个漏洞而且用以发动攻击呢?

上方大图:美国橡树岭国家实验室(ORNL)旗下的国家交通研究中心(NTRC)内部的车用传动系统动力计,能测试不同载重与路况下的货柜联结车引擎系统。

汽车网络安全不能适用“人多势众”这种说法,而且刚好相反,其主要理由有二:首先,当连网车辆的数量飙升,对于黑客的吸引力也越大,因为这代表者潜在受害者族群更大;其次,每辆车的科技通讯系统软硬件内容不段增加,意味着对黑客来说有更多能攻击的潜在弱点。

今日的汽车内部动辄有上亿行软件程序代码、60个控制单元,这大部份是因为车厂持续为产品增添安全、娱乐、导航、自动驾驶等功能,其他理由包括有越来越多车队科技通讯工具选项出现、其使用率也越来越高,许多货运业者、出租车行等利用以管理监测旗下车辆的绩效、驾驶行为以及货物状况。

随着车厂与售后市场供货商开发更多应用,每辆车子的软件程序代码数量也将会持续呈倍数成长;每一行程序代码都是一个可能被黑客利用的潜在机会,就算程序开发者也一直在努力除错、想尽办法在黑客之前找出那些弱点。最近有一个案例是,车厂Fiat Chrysler因为软件漏洞而召回130万辆小画卡,该漏洞会导致事故发生时侧边安全气囊不作用、安全带也不会收紧,而且已经造成至少1人死亡、2人受伤的惨剧。

想象一下,如果是黑客先发现了该软件程序代码漏洞而且开始利用,例如在货卡行驶于高速时触发安全气囊,甚至是让某特定物流公司的一整队相同型号小货卡车队都遭遇相同情况…或是黑客利用其他程序代码对车辆传动系统实施勒索软件攻击,要求该种货卡的车主或车队经营者支付赎金,才能让车子再度发动…

这类场景并不是假设;举例来说,在一个针对Ford Escape休旅车以及Toyota Prius混合动力车辆的概念验证中,黑客成功在远程让剎车失效,并掌控方向盘,而且这已经是四年前的事了。从那时候到现在,市面上的车辆又添加了更多科技通讯软硬件,也创造了更多潜在的漏洞。

汽车网络安全面临的挑战与攻击向量并非新鲜事,而是PC、服务器以及其他传统IT系统曾经历过的遭遇之翻版。以前面提到的勒索软件为例,这种攻击方式在十几年前就出现过,所以现在许多企业组织应该已经很擅长应对;但实际上,工作场所的勒索软件攻击仍然猖獗而且不断增加,主要是因为IT部门呈现扁平化发展。

以PC为例,这些装置通常没有时间去下载修补程序或更新Windows等基础平台,更别说是其他应用程序如浏览器、PDF阅读器等;修补程序与软件更新一旦未执行,就会为勒索软件以及其他各种黑客攻击制造机会。无怪乎根据HPE (Hewlett Packard Enterprise)的调查,前十大软件攻击漏洞都有超过一年以上的历史,而且68%超过三年。

如果这还不够,现在的IT部门也需要支持越来越多额外的新科技,例如数字广告牌等影音装置,以及智能大楼管理应用的物联网设备;影音与物联网装置跟PC、服务器一样,也需要软件更新、下载修补程序以应对黑客攻击,而问题在于IT部门对PC/服务器的经验更广泛,还在学习如何维护影音与务联网系统、了解它们的弱点所在。

车队基本上就是这种情况的现在进行式。在车队总部,会有某个部门──大概就是IT部门──需要负责开发并强化车辆网络安全政策;为妥善达成任务,他们首先得了解攻击向量并开始无止尽地下载修补程序与软件更新,以应对那些黑客攻击。这需要大量时间、人力以及金钱,就像是维护影音与物联网装置那样。

这将使得某些方面失去控制,特别是在供货商的支持上;举例来说,许多货运业者传统上每3~5年会出售或交易一批车辆,因为保修期与维修方式的成本上升,但因为景气周期性因素(包括现在),市面上有越来越多二手卡车,迫使车队老板不得不把车辆保留更多年。

车辆的年份越老,车上的科技通讯系统供货商就越不太可能愿意为那些较旧的产品提供修补程序与软件更新,有一些供货商甚至已经结束营业或被收购,除非有其他厂商接手提供支持,车队老板就得搞清楚该如何自己确保这些“孤儿”的安全性。这种情况对于很多CIO或IT部门经理应该都很熟悉,他们也会遇到那种已经5年甚至10年的设备,供货商早就不见了、被收购了,或是停止支持旧产品。

以上只是车队遇到的情况,私家车面临的安全漏洞问题更严重;看看消费者家里的PC就知道,因为很多人不知道定期下载修补程序与软件更新的重要性,受到恶意软件威胁可说是家常便饭。有鉴于此,试想该如何教育消费者们为连网汽车程序修补与更新软件?在一辆车子上会有60个控制单元具备固件与软件。

不断扩大的风险

为了触及最广大的潜在市场,车用科技通讯系统硬件需要平价,车厂与企业客户会在考虑为车辆添加这类装置时,对每一分钱斤斤计较。这种情况也会带来网络安全风险;举例来说,「低成本」往往意味着执行核心任务刚好足够的处理性能以及内存容量,而对于处理安全性问题已经没有太多、甚至没有空间。

那些车用科技通讯装置对于使用它们的车辆本身或是所链接的企业网络,都可能有“后门”;黑客通常会寻找阻力最小的攻击途径,因此如果企业的防火墙或是其他网络安全设备看起来很“硬”,黑客就会把焦点转移到受到较少保护的系统上──而在这个案例中就是企业的车队。解决方案之一是确保来自那些车用科技通讯装置的馈入数据是透过安全设备路由。

还有一个问题是黑客的终极目标,也许跟车用科技通讯系统完全无关,例如是储存产品开发信息或员工个人资料的公司服务器;在这种案例中,车用科技通讯系统只是一个达到目标的手段。不过也有以车用科技通讯系统数据为目标的案例,黑客可能会想知道货运路线,以劫持货车运送的高价值货品。

美国橡树岭国家实验室(ORNL)旗下的国家交通研究中心(NTRC)的底盘动力计设备,能在受控制的环境中测试载客车辆。

另一个情况牵涉新兴的车对车通讯(V2V),这种技术让邻近的车辆能彼此沟通以避免碰撞;根据市场研究机构Juniper Research预测,到2022年全球市场将会有一半以上的新车都配备V2V功能,这大概是3,500万辆、占据整个汽车市场的2.7%,对于某些黑客来说会是很有吸引力的攻击目标。

潜在的攻击向量之一,是让少数几辆配备V2V的车子感染恶意软件,然后利用这些感染车辆来散播恶意软件到每一辆与它们通讯的车辆;还记得我们前面提到的,消费者往往对于自家车子上的科技通讯娱乐系统漠不关心?这些车子就会是黑客首先攻击的明显目标。

根据Juniper的研究:“为了让V2V成功,厂商的装置必须要包括蜂巢式连结以提供空中下载(OTA)固件更新;”这种策略具备潜在优点与缺点──如果车厂或第三方供货商自动推送软件更新,将之列为维修服务合约的一部份、而不是让车队老板们或消费者自己下载,就可能提升安全性;但是,如果黑客在空中拦截修补程序与软件更新,就能用以发现漏洞所在。

大约在十年前(2008年),美国卡内基美隆大学(Carnegie Mellon University)教授的团队证实了从软件修补程序来自动产生攻击点的方法,在一篇已发表的研究中,那些攻击漏洞的平均生成时间为114.6秒,而最短的时间只要1.2秒。

以上是几个汽车网络攻击会如何、为何以及在何处发生的案例,除了经过设计的车辆系统安全性是车厂必须提供的,还有其他能减少「攻击表面」(也就是车辆受攻击之途径)的工作要做;例如定期保养能确保车子内的软件是最新状态,并在修补程序或是召回事件发布时实时通知。美国国家高速公路交通安全管理局(NHTSA)负责维护一个网站,可供车主注册数据,在车厂宣布召回车辆时收到通知讯息。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭