2017智能网联汽车信息安全报告发布：汽车的漏洞会永远存在

随着汽车智能网联技术的不断发展，汽车的信息安全开始越来越受到全行业的关注。然而，对于汽车信息化水平的提高所带来的信息安全问题，行业并没有得到有效的解决方案。4月2日下午，360集团发布《2017智能网联汽车信息安全年度报告》（以下简称《报告》）。在报告中，360集团从智能网联汽车信息安全规范、CVE漏洞分析和破解案例分析三个角度阐述了2017年智能网联车辆信息安全的发展历程。此外，在现场交流环节，360车联网安全实验室的工作人员还分享了汽车信息安全领域的几个真实案例。汽车信息安全已进入“刷漏洞”时代。2017年4月，中国政府发布了《汽车工业中长期发展规划》，再次聚焦智能汽车，明确了不同层次的智能驾驶系统。并提出了2020年和2025年新车装配率的要求。根据国家发展改革委的预测，预计2020年，中国智能网联汽车的新车占比将达到50%。届时，每年将有数千万辆智能汽车投放市场，中国将进一步成为智能网联汽车第一大国。然而，智能网联汽车存在许多信息安全漏洞。黑客一旦通过漏洞进行攻击，将给用户造成巨大的人身和财产损失。目前，已发现的漏洞涉及TSP（内容服务提供商）平台、APP应用程序、远程通信盒（T-Box）互联网接入系统、车载IVI系统的CAN-BUS总线等多个领域和环节。这些漏洞有的可以远程控制汽车，有的甚至会直接对车内驾驶员和乘客造成人身伤害。值得庆幸的是，汽车信息安全从一开始就受到电信行业、汽车行业、汽车电子设备行业和互联网服务提供商的关注。现代汽车由许多互连的、基于软件的IT组件组成。为了避免安全问题，需要进行严格的测试。目前，汽车制造商不断加大对汽车网络安全的投入，第三方和汽车制造商已经建立了CVND等漏洞平台，旨在通过共享漏洞信息来提高汽车网络安全领域的整体安全能力。“2017年，汽车信息安全进入了刷漏洞时代。”360集团智能网联汽车安全实验室负责人刘建伟介绍。目前，国内外汽车信息研究人员发现的TCU、安全气囊等漏洞也获得了CVE漏洞编号，这表明智能汽车信息安全漏洞开始受到广泛关注。对此，《报告》指出，“刷漏洞”已成为攻击智能网联汽车的最新手段，汽车制造商应配备信息安全团队，持续监控漏洞。与此同时，汽车信息安全标准亟待建立。加快发展国内外安全标准在过去几年中，国内外汽车信息安全标准的发展也在持续进行。国际组织（ISO/SAE）正在制定21434（道路车辆信息安全工程）标准。本标准主要从风险评估管理、产品开发、运维和流程审计四个方面保障汽车信息安全工程的发展。中国代表团也积极参与了这一标准的制定，国内几家汽车信息安全企业和车场也参与了这项标准的讨论。该标准将于2019年下半年完成，预计2023年将完成符合该标准的安全施工车辆。同时，《智能交通系统中通信设备的安全软件更新功能》标准也已发布，项目中仍有新标准。

<……

g alt=“Discovery，Dolphin，Mazda，Subaru，Tesla”src=“/eeimg/｛HostI｝/img/20230304013543981567/1.jpg”/>

ISO/TC22道路车辆技术委员会成立ISO/TC22/SC32/WG11网络安全信息安全工作组（来源：SAE）。在国内标准制定方面，2017年，全国汽车标准化技术委员会组织召开了两次汽车信息安全工作组会议。全国信息安全标准化委员会、中国通信标准协会等主要国家标准委员会和联盟组织正在积极研究汽车信息安全标准的相关工作，加快制定汽车信息安全规范。关于增强汽车信息安全能力的四点建议在活动现场的通信环节，360智能网联汽车安全实验室的研究人员还在《报告》中解释了几起智能汽车破解案例。在《报告》中，360个方面对4起开裂案例进行了详细梳理和分析。其中包括斯巴鲁遥控钥匙系统和车载娱乐系统的漏洞，马自达汽车技术娱乐系统的破解，特斯拉汽车联网系统的攻击，以及使用“海豚声”（超声波信号）攻击来破解语音控制系统并打开天窗。对此，360智能网联汽车安全实验室在过去一年与多家厂商的安全实践基础上，对智能网联的汽车信息安全建设提出了建议。首先，汽车制造商应成立信息安全团队或组织，培训专职人员带头开展信息安全工作，并将后台和前台放在一起解决信息安全问题，为全面保护奠定良好基础。第二，进行合理有效的威胁分析。就360而言，车企的信息安全人员应该清楚地意识到，没有绝对安全的系统。人们应该做的是建立一个有效合理的威胁分析基础，而不是为了不必要或低概率的安全风险而花费高昂的保护成本。对此，安保人员应建立动态防护体系，可根据总量进行动态调整，实现攻防平衡。第三，对产品上线前的安全验收进行控制。从以往的破解案例来看，目前汽车领域的信息安全手段相对落后，许多汽车智能产品在开发设计之初没有考虑信息安全。同时，国内外还没有相关的安全标准来指导汽车制造商做积极的发展。因此，目前最重要的关键环节是在上线前对安全验收进行控制，并解决最严重、最广泛的漏洞，从而达到相对安全的状态。后续，车企也要做好持续的漏洞监测，确保不会有新的漏洞导致入侵。最后，360还建议各大汽车制造商、供应商和安全公司在国内汽车智能技术领先的条件下，贡献自己的智慧和能力，引领国际标准。有关“2017智能网联汽车信息安全年度报告”的详细信息，请点击链接下载报告的完整版本。2017智能网联汽车信息安全年度报告_定稿_电子版。pdf随着汽车智能网联技术的不断发展，汽车的信息安全开始越来越受到全行业的关注。然而，对于汽车信息化水平的提高所带来的信息安全问题，行业并没有得到有效的解决方案。4月2日下午，360集团发布《2017智能网联汽车信息安全年度报告》（以下简称《报告》）。在报告中，360集团从智能网联汽车信息安全规范、CVE漏洞分析和破解案例分析三个角度阐述了2017年智能网联车辆信息安全的发展历程。此外，在现场交流环节，360车联网安全实验室的工作人员还分享了汽车信息安全领域的几个真实案例……

乌里提。汽车信息安全已进入“刷漏洞”时代。2017年4月，中国政府发布了《汽车工业中长期发展规划》，再次聚焦智能汽车，明确了不同层次的智能驾驶系统。并提出了2020年和2025年新车装配率的要求。根据国家发展改革委的预测，预计2020年，中国智能网联汽车的新车占比将达到50%。届时，每年将有数千万辆智能汽车投放市场，中国将进一步成为智能网联汽车第一大国。然而，智能网联汽车存在许多信息安全漏洞。黑客一旦通过漏洞进行攻击，将给用户造成巨大的人身和财产损失。目前，已发现的漏洞涉及TSP（内容服务提供商）平台、APP应用程序、远程通信盒（T-Box）互联网接入系统、车载IVI系统的CAN-BUS总线等多个领域和环节。这些漏洞有的可以远程控制汽车，有的甚至会直接对车内驾驶员和乘客造成人身伤害。值得庆幸的是，汽车信息安全从一开始就受到电信行业、汽车行业、汽车电子设备行业和互联网服务提供商的关注。现代汽车由许多互连的、基于软件的IT组件组成。为了避免安全问题，需要进行严格的测试。目前，汽车制造商不断加大对汽车网络安全的投入，第三方和汽车制造商已经建立了CVND等漏洞平台，旨在通过共享漏洞信息来提高汽车网络安全领域的整体安全能力。“2017年，汽车信息安全进入了刷漏洞时代。”360集团智能网联汽车安全实验室负责人刘建伟介绍。目前，国内外汽车信息研究人员发现的TCU、安全气囊等漏洞也获得了CVE漏洞编号，这表明智能汽车信息安全漏洞开始受到广泛关注。对此，《报告》指出，“刷漏洞”已成为攻击智能网联汽车的最新手段，汽车制造商应配备信息安全团队，持续监控漏洞。与此同时，汽车信息安全标准亟待建立。加快发展国内外安全标准在过去几年中，国内外汽车信息安全标准的发展也在持续进行。国际组织（ISO/SAE）正在制定21434（道路车辆信息安全工程）标准。本标准主要从风险评估管理、产品开发、运维和流程审计四个方面保障汽车信息安全工程的发展。中国代表团也积极参与了这一标准的制定，国内几家汽车信息安全企业和车场也参与了这项标准的讨论。该标准将于2019年下半年完成，预计2023年将完成符合该标准的安全施工车辆。同时，《智能交通系统中通信设备的安全软件更新功能》标准也已发布，项目中仍有新标准。

ISO/TC22道路车辆技术委员会成立ISO/TC22/SC32/WG11网络安全信息安全工作组（来源：SAE）。在国内标准制定方面，2017年，全国汽车标准化技术委员会组织召开了两次汽车信息安全工作组会议。全国信息安全标准化委员会、中国通信标准协会等主要国家标准委员会和联盟组织正在积极研究汽车信息安全标准的相关工作，加快制定汽车信息安全规范。关于增强汽车信息安全能力的四点建议在活动现场的通信环节，360智能网联汽车的研究人员……

费蒂实验室还在报告中解释了几起智能汽车开裂的案例。在《报告》中，360个方面对4起开裂案例进行了详细梳理和分析。其中包括斯巴鲁遥控钥匙系统和车载娱乐系统的漏洞，马自达汽车技术娱乐系统的破解，特斯拉汽车联网系统的攻击，以及使用“海豚声”（超声波信号）攻击来破解语音控制系统并打开天窗。对此，360智能网联汽车安全实验室在过去一年与多家厂商的安全实践基础上，对智能网联的汽车信息安全建设提出了建议。首先，汽车制造商应成立信息安全团队或组织，培训专职人员带头开展信息安全工作，并将后台和前台放在一起解决信息安全问题，为全面保护奠定良好基础。第二，进行合理有效的威胁分析。就360而言，车企的信息安全人员应该清楚地意识到，没有绝对安全的系统。人们应该做的是建立一个有效合理的威胁分析基础，而不是为了不必要或低概率的安全风险而花费高昂的保护成本。对此，安保人员应建立动态防护体系，可根据总量进行动态调整，实现攻防平衡。第三，对产品上线前的安全验收进行控制。从以往的破解案例来看，目前汽车领域的信息安全手段相对落后，许多汽车智能产品在开发设计之初没有考虑信息安全。同时，国内外还没有相关的安全标准来指导汽车制造商做积极的发展。因此，目前最重要的关键环节是在上线前对安全验收进行控制，并解决最严重、最广泛的漏洞，从而达到相对安全的状态。后续，车企也要做好持续的漏洞监测，确保不会有新的漏洞导致入侵。最后，360还建议各大汽车制造商、供应商和安全公司在国内汽车智能技术领先的条件下，贡献自己的智慧和能力，引领国际标准。有关“2017智能网联汽车信息安全年度报告”的详细信息，请点击链接下载报告的完整版本。2017智能网联汽车信息安全年度报告_定稿_电子版。pdf格式

标签：发现海豚马自达斯巴鲁特斯拉

汽车资讯热门资讯