车联网时代的安全难题怎么破?
汽车不再是独立的机械个体,而是功能超强的移动终端,但随之而来的安全隐患也日益凸显。正在天津举行的第三届世界智能大会上,汽车被“黑”这一话题引发了会上会下广泛关注。和电脑、手机等不同,汽车如果被“黑”,轻则导致信息泄露、财物受损,重则会危及人身安全。
车联网被黑客劫持并不只是电影里才有的场景。现实中,信息安全事件已经在智能网联汽车领域发生多起。据《2018智能网联汽车信息安全年度报告》显示,仅过去一年,就有14起智能网联汽车信息安全事件发生,包括5起数据泄露事件和9起汽车破解事件。
业内人士介绍,黑客发现车载嵌入式操作系统或车载软硬件存在漏洞后,通过复杂技术手段,综合利用多个不同系统漏洞实施攻击,轻则可以盗走车辆,重则可以部分控制行驶状态下的汽车。
作为智能网联汽车“领头羊”的特斯拉,就曾有过150辆汽车被黑客攻破盗走的情况。
中国是全球最大的汽车市场,也是全球最大的移动互联网市场,这二者的融合使得中国天然就拥有肥沃的车联网土壤。随着车辆开放连接逐渐增多,相关设备系统间数据交换更为紧密,网络攻击、木马病毒、数据窃取等互联网安全威胁,也逐渐渗透延伸至车联网领域。
智能汽车为何容易被攻击
现在很多厂商都在布局互联网汽车,也很巧妙地将人们的注意力转移到了消费、娱乐、实用性上面,而对汽车安全风险问题提的很少。
汽车信息安全目前面临十大风险,包括不安全的云端接口、未经授权的访问、系统存在的后门、不安全的车载通讯、车载网络未做安全隔离等。
不法分子通过这些漏洞风险,可以入侵服务器篡改数据内容、破坏硬盘数据;在车主未操作汽车的情况下,使汽车开车门、上电、点火等;通过暴露的调试端口,造成车载娱乐系统固件被攻击提取等。
“万物均要互联,一切皆可编程”,这意味着物理世界和虚拟世界已经打通,线上线下的边界正在消失,网络空间的攻击将会穿透虚拟空间,直接影响到物理世界的安全。加之物联网的发展,联网的智能设备增长可多达百亿计,每个智能设备都可能成为攻击的切入点。
车联网时代如何对黑客说“不”
“我国已开展网络安全的检测评估,指导相关检测机构搭建车联网网络安全测试,验证环境。”工信部网络安全管理局网络与数据安全处处长付景广告诉记者,相关部门针对自动驾驶以及车载零部件等进行安全检测,同时组织对车联网平台进行检查评估,并防范非法控制位置信息等敏感数据泄露风险。
为了保障车联网产业健康发展,国家有关部门将推动把车联网网络关键设备纳入国家网络关键设备安全检测认证体系,加快构建车联网安全的监测预警、信息共享、应急处置等机制,规范漏洞的披露行为,不断提升态势感知和应急处置水平。
汽车信息安全至关重要,但信息安全领域整体面临着人才能力不足、技术匮乏和工具短缺等问题,智能网联汽车产业发展受到了一定程度的影响。随着汽车“新四化”(即电动化、智能化、网络化、共享化)的不断发展,舆情共享与分析将成为解决汽车信息安全问题的重要手段。
智能网联汽车信息安全实践
结合国家战略指引、技术研究和实际案例分析,几维安全对智能网联汽车的云端、APP端、T-Box端的风险点和安全保障措施进行深度分析,推出了多维度基于底层算法的安全保障技术。
几维安全基于智能网联汽车云管端的信息安全防护
(一)APP防护
1、JAVA代码反编译防护
利用Android汇编语言的高强度Java2C技术进行Android APP的JAVA代码进行保护。
2、SO虚拟化保护
利用几维安全独有KiwiVM代码虚拟化保护对So核心代码逻辑进行保护,保护关键协议代码和通信模块。
3、Android APK完整性保护
加固通过对APP安装包所有文件内容做交叉校验,并且做校验数据及校验代码做加密保护,可以及时检测到APP是否是原有官方版本,并阻止非官方版本启动运行。
4、APP动态运行防护
加固提供的动态防御技术以反调试保护为基础,同时针对关键函数及环节做监控,借助于轮询查看,主动侦测等方法,保护移动APP在运行时的安全。
5、APP本地文件及数据加密保护
通过安全SDK在Android文件系统层实现的透明化数据加密机制,有效的对所有资源文件读写操作做保护。
(二)T-BOX防护
1、固件协议代码保护
利用MBS块调度或KiwiVM代码虚拟化保护技术进行固件协议模块保护
2、固件数据加密
通过几维安全SDK对终端数据进行安全加密存储,关键密钥隐藏于KiwiVM虚拟机中。
3、固件完整性校验算法保护
对固件完整性校验等关键算法进行MBS块调度或KiwiVM代码虚拟化保护,避免攻击者绕过校验逻辑。
(三)通信安全
1、通信数据加密
使用基于KiwiVM代码虚拟化保护技术的白盒密钥SDK,密钥隐藏于虚拟机中,隐藏算法逆向特征,使得密钥无法提取及解密数据。
2、通信数据校验
通过几维安全基于通信协议加密SDK的验签功能,通过hash函数生成签名,通过KiwiVM隐藏算法特征和校验过程。
随着汽车新四化的不断发展,智能网联汽车成了标配,而在这一过程中保障汽车信息安全显得尤为重要。作为智能网联汽车发展的基石,信息安全保障与智能化应用同步部署必要性日益凸显,便利、安全的兼顾还需共同持续努力。
