導(dǎo)語(yǔ)：近日，三位國(guó)外“黑客”再次利用汽車(chē)的第三方軟件0day漏洞，成功攻擊奧迪TT汽車(chē)的安全氣囊，使其關(guān)閉。要知道，2015年2月美國(guó)通用汽車(chē)公司OnStar系統(tǒng)安全漏洞剛剛被曝存在安全隱患。2015年7月，兩名“黑客”就在美國(guó)入侵切諾基車(chē)聯(lián)網(wǎng)系統(tǒng)，通過(guò)蜂窩數(shù)據(jù)獲得切諾基的IP地址后，讓汽車(chē)與假移動(dòng)基站通信，“這樣在800公里之外也能攻擊汽車(chē)，距離不是問(wèn)題。”破解切諾基“黑客”之一的米勒表示。

中國(guó)汽車(chē)咨詢(xún)中心網(wǎng)在11月26-27日上海舉辦的“第五屆中國(guó)車(chē)身電子與網(wǎng)絡(luò)技術(shù)論壇”上，就以“應(yīng)對(duì)功能、成本與安全的新挑戰(zhàn)”為主題，對(duì)汽車(chē)安全問(wèn)題進(jìn)行了重新定義。

被破解的后果是，切諾基被遠(yuǎn)程操控翻入路旁的溝渠里。隨后，克萊斯勒公司宣布在全美召回約140萬(wàn)輛存在軟件漏洞的汽車(chē)，這也是首例汽車(chē)制造商因?yàn)楹诳惋L(fēng)險(xiǎn)而召回汽車(chē)的事件。

本次破解奧迪TT安全氣囊的“黑客”，是來(lái)自CrySyS實(shí)驗(yàn)室的András Szijj和Levente Buttyán，以及布達(dá)佩斯技術(shù)和經(jīng)濟(jì)學(xué)院的Zsolt Szalay。

他們利用的車(chē)聯(lián)網(wǎng)漏洞來(lái)自第三方安全軟件，該軟件目前被眾多汽車(chē)品牌使用。與米勒遠(yuǎn)程劫持切諾基不同的是，此次三位“黑客”需要利用一臺(tái)PC通過(guò)USB口接入奧迪TT，才能劫持汽車(chē)，實(shí)現(xiàn)關(guān)閉汽車(chē)安全氣囊等動(dòng)作。

事實(shí)上，眾多微型計(jì)算機(jī)被安裝在汽車(chē)內(nèi)，遍布發(fā)動(dòng)機(jī)以及各個(gè)部件。這就給了“黑客”找到各部分信息，阻斷這些信息，繼而控制汽車(chē)的可能。從去年破解特斯拉開(kāi)始，到今年破解比亞迪秦的自動(dòng)移車(chē)系統(tǒng)，再到破解切諾基和奧迪安全氣囊都是如此。

破解切諾基的車(chē)聯(lián)網(wǎng)系統(tǒng)時(shí)，“黑客”是通過(guò)發(fā)現(xiàn)汽車(chē)固件V850沒(méi)有任何授權(quán)設(shè)置，這使他們利用汽車(chē)不同硬件將CAN總線的信息發(fā)送至關(guān)鍵電子控制單元變得容易。

在汽車(chē)連接WIFI時(shí)，破解切諾基的黑客也發(fā)現(xiàn)了WPA2的密碼漏洞。雖然每天只有幾秒能找到密碼，但是仍然給了他們可趁之機(jī)。在切諾基某個(gè)部件第一次設(shè)置密碼時(shí)，通過(guò)GPS設(shè)置，會(huì)有一個(gè)默認(rèn)的時(shí)間密碼，黑客則根據(jù)這個(gè)密碼測(cè)算出相應(yīng)數(shù)據(jù)。

目前，車(chē)聯(lián)網(wǎng)安全漏洞頻發(fā)，與智能汽車(chē)和新能源技術(shù)升級(jí)不無(wú)關(guān)系。在這樣的背景之下，中國(guó)汽車(chē)咨詢(xún)中心網(wǎng)所主辦的“第五屆中國(guó)車(chē)身電子與網(wǎng)絡(luò)技術(shù)論壇”聚焦車(chē)輛網(wǎng)絡(luò)的平臺(tái)化與架構(gòu)設(shè)計(jì)，以及在測(cè)試技術(shù)與網(wǎng)絡(luò)安全方面的經(jīng)驗(yàn)，尤其需要關(guān)注傳統(tǒng)的IT行業(yè)對(duì)于汽車(chē)電子方面有哪些可借鑒的能力很有必要。

因?yàn)楹诳驮谏?jí)破解手段后，往往是通過(guò)插入車(chē)輛診斷端口與智能手機(jī)連接為切入點(diǎn)。一旦智能手機(jī)被連接到車(chē)載網(wǎng)絡(luò)后，汽車(chē)的基本安全和司機(jī)的個(gè)人信息就存在安全風(fēng)險(xiǎn)。

因此，汽車(chē)行業(yè)的高智能化也逐漸面臨與互聯(lián)網(wǎng)領(lǐng)域一樣的安全危機(jī)。從特斯拉到國(guó)產(chǎn)新能源車(chē)比亞迪秦，再到傳統(tǒng)車(chē)切諾基和奧迪TT等系統(tǒng)漏洞的破解，黑客攻擊開(kāi)始頻繁跟汽車(chē)行業(yè)產(chǎn)生關(guān)聯(lián)。

這就需要汽車(chē)廠商及相關(guān)產(chǎn)業(yè)鏈在設(shè)計(jì)、開(kāi)發(fā)和測(cè)試中充分考慮信息系統(tǒng)安全，政府加以推動(dòng)建立相應(yīng)規(guī)范、標(biāo)準(zhǔn)和體系。汽車(chē)與網(wǎng)絡(luò)安全行業(yè)的合作也應(yīng)該趨于常態(tài)化，共同應(yīng)對(duì)和解決不斷變化的車(chē)聯(lián)網(wǎng)安全問(wèn)題。

本屆論壇重點(diǎn)關(guān)注

1. 面對(duì)復(fù)雜應(yīng)用的架構(gòu)設(shè)計(jì)

2. 硬件測(cè)試與聯(lián)網(wǎng)汽車(chē)數(shù)據(jù)安全

3. 模塊化汽車(chē)電子開(kāi)發(fā)流程

4. CANFD、LAN的設(shè)計(jì)與集成技術(shù)

5. 汽車(chē)電子成本與能耗控制

 本屆論壇關(guān)于“安全”的聚焦

1. 如何建立聯(lián)網(wǎng)汽車(chē)網(wǎng)絡(luò)安全的開(kāi)發(fā)模式與體系

2. 新一代MCU技術(shù)如何提升聯(lián)網(wǎng)汽車(chē)的安全性能

3. 基于真實(shí)攻防測(cè)試的安全威脅分析

4. 更縝密的用戶(hù)訪問(wèn)控制：如何實(shí)現(xiàn)網(wǎng)絡(luò)公鑰驗(yàn)證與加密算法

5. 威脅建模與防御性編程：應(yīng)對(duì)數(shù)據(jù)安全領(lǐng)域的新挑戰(zhàn)

6. 如何評(píng)估實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)安全的資源及代價(jià)?

論壇官方網(wǎng)站：

http://www.autochina360.com/forum/jutihuiyi/huiqian/2015/1008/724291.html

參會(huì)聯(lián)系人：陳小姐
電話：021-31317590

手機(jī)：15921591853
電子郵件：eva.chen@timerchina.com