文 | 中汽智联技术有限公司 张巧 李翠萍
当前,汽车产业与人工智能、5G、大数据等技术深度融合,智能网联汽车新产品不断推出。智能化、网联化、电动化正以一种相互促进、相互融合的方式重塑汽车产业生态,并推进汽车产业链供应链的重构。汽车逐渐由信息孤岛的交通工具发展成为集出行、娱乐、服务等为一体的数字空间。与此同时,智能网联汽车也面临更多信息安全风险。据汽车网络安全公司 Upstream Security 统计显示,自 2020 年起,全球范围内公开报道的汽车信息安全事件累计多达上千起,仅 2023 年,汽车信息安全事件就有 295 起。截至 2023 年底,由中汽中心建设并运营的车联网产品安全漏洞专业库(CAVD)累计收录汽车漏洞数据超 3000 条,影响车辆规模预估达千万余辆,智能网联汽车信息安全风险威胁不容小觑。
一、智能网联汽车信息安全风险分析
智能网联汽车信息安全是一个复杂系统的安全问题,既包括硬件安全、固件安全、操作系统安全、应用安全等传统安全问题,还包括数据安全、人工智能算法安全、供应链安全等新型安全问题。根据分析研究,智能网联汽车系统面临的攻击可以分为近程攻击、中程攻击和远程攻击,近程攻击可针对 ECU、车内网络、USB 等,中程攻击主要针对 Wi-Fi、蓝牙、RFID 等无线电通信,远程攻击则是将云端服务等作为攻击对象。
(一)智能网联汽车信息安全风险分类
从汽车架构的视角,可以将智能网联汽车面临的信息安全风险分为车端、管端、云端以及其他关联生态四个维度。
1. 车端信息安全风险
车端的信息安全风险主要来自车载信息娱乐系统(IVI)、车载网联通信终端(T-BOX)、车载网关(GW)等具有联网功能的智能终端模块,主要涉及车端协议、车载系统及硬件安全等。针对车端的攻击面包含 UDS/OBD、USB、CAN 总线以及车载以太网等。常见的车端信息安全风险有 ECU 篡改、恶意软件更新、地图数据库中毒、消息注入攻击、总线关闭攻击、密码/密钥攻击及终端攻击等。
2. 管端信息安全风险
智能网联汽车网络传输层携带了车端和云端的业务数据,涉及车内系统、车载网络和云端服务多个部分。管端的信息安全风险包括远程信息安全风险和中程信息安全风险两大类。一方面,攻击者可以通过 HTTPS、网络路由协议等远程通信作为切入点,发起中间人攻击、消息篡改、重放攻击、窃听、消息注入攻击以及会话劫持等,带来远程信息安全风险。另一方面,通过近场通信方式,包括蓝牙、无钥匙进入系统、Wi-Fi、NFC、自定义无线电、摄像头和雷达等,攻击者可以对车辆功能发起攻击,此类风险可归为中程信息安全风险。
3. 云端信息安全风险
智能网联汽车可以通过蜂窝网络或 Wi-Fi 开展车辆管理或远程信息处理服务,可以实现远程车辆控制、远程软件更新、人机交互以及远程娱乐和信息服务等功能,提高了车辆的智能性、便利性。但与此同时,车云交互的增多也将车载网络更多暴露给外部攻击者。例如,攻击者可能尝试通过云服务接口访问车辆的控制接口,执行未经授权的操作,如启动发动机等;云服务可能成为黑客注入恶意软件的目标,通过入侵云端系统,攻击者可能试图将恶意代码传播到车辆系统中,危及车辆的稳定性和安全性。目前,智能网联汽车云端信息安全风险主要来自 Web 应用安全、中间件安全、移动安全、云服务安全和数据库安全等,相关安全风险主要有 SQL 注入、跨站点脚本(XSS)、跨站请求伪造(CSRF)、不安全的通信、不安全的身份验证、不安全的授权、不安全的数据存储和代码篡改等。
4. 其他关联生态
随着汽车智能网联交互功能的逐渐增多,汽车其他关联生态也从手机端 App 等扩展到了智能充电设施、路侧网联设备等,相关生态接口也给汽车引入了新的安全风险。其中,手机端 App 作为车辆控制的终端,一旦相关风险被恶意利用,极有可能对车辆安全运行造成影响。智能汽车的手机端 App 常见的安全风险主要包括 SQL 注入、Root、代理环境、反编译、模拟器攻击、验证码爆破风险、系统 API Hook、二次打包、通信、密码爆破、共享对象(so)文件、签名校验、动态调试、进程注入、数据明文存储、Logcat 日志、任意文件上传、XSS 漏洞等。
(二)典型智能网联汽车信息安全风险分析
近年来,智能网联汽车信息安全风险整体呈现种类多、覆盖广的态势。同时,随着行业技术发展和产品功能迭代,汽车面临的信息安全风险也在不断变化。根据中汽信息安全研究中心发布的 2022 年车联网十大安全风险,当前汽车产品的典型安全风险包括不安全的生态接口、存在已知漏洞组件、系统固件可被提取及逆向、系统存在后门、失效的身份认证、未经授权的访问、不安全的加密、敏感信息泄露、不安全配置以及车内域控未做安全隔离。其中,不安全的生态接口主要源于企业在产品开发过程中,对于车与车、车与云、车与人以及车与路等通信接口的安全防护措施不完善。存在已知漏洞的组件,是由于汽车产品中引入的第三方开源组件数量增多,但对它们的漏洞识别和分析并不充分。而失效的身份认证则反映了汽车软件开发过程中身份校验的不足。
二、智能网联汽车信息安全风险的特点
随着智能网联汽车渗透率不断提高,在产业发展和产品升级的同时,相关网络安全威胁工具和知识也在不断更新,网络攻击的频率和复杂程度也在逐步增加。根据近年来的实践案例及相关研究,可以总结出智能网联汽车信息安全风险的以下特点。
(一)汽车信息安全风险逐渐由物理接触式转向远程攻击
传统的物理接触式攻击需要攻击者直接接触车辆或其相关设备,而远程攻击则在无需物理接触的情况下实现,使得潜在的攻击者能够通过网络远程操控汽车系统。据 Upstream Security 统计,2023年公开报道的安全事件中 95% 以上的汽车安全攻击是通过远程攻击实现的,这表明汽车信息安全风险正逐渐由物理接触式攻击演变为更为隐蔽的远程攻击。这一变化带来了更广泛的安全威胁,包括但不限于远程劫持、未经授权访问车辆系统和窃取车辆数据,甚至远程控车等。
(二)后端攻击增多导致敏感数据泄漏及控车风险增加
随着汽车网联化程度不断提高,远程信息处理服务器等后端系统在收集和管理与车辆状态、车辆位置、使用模式和驾驶员行为相关的大量敏感数据方面发挥着至关重要的作用。越来越多的智能化功能依赖于后端系统来提供服务,车辆与后端服务器间的业务交互频繁,增加了其漏洞利用的可能性以及网络攻击的潜在影响。此外,由于后端系统实现控制和数据访问方面可能关联多个车型、数百万辆车辆,因此更易吸引恶意威胁参与者的攻击。2023 年,汽车行业因后端服务器攻击导致的数据泄露事件显著增加,例如,丰田远程车载信息通信服务 T-Connect 数据泄露事件、日产汽车北美公司第三方服务商配置错误导致数据泄露等。
(三)汽车生态扩展和供应链延伸导致单点安全风险的潜在影响范围扩大
随着汽车生态不断扩展,供应链条不断延伸,联网车辆的不断增多,信息安全风险可能带来的影响范围扩大。汽车供应链条可能涉及不同国家和地区的供应商,同时,智能网联汽车本身依赖于大量的软件和电子系统,相关联网系统的复杂性和互联性增加了潜在的攻击面。在此背景下,汽车信息安全风险的潜在影响范围变大。例如,2022 年 11 月,美国互联网车辆服务商 Sirius XM 爆出授权漏洞,攻击者仅需知道车辆识别码(VIN)即可远程解锁、启动、定位、闪烁和鸣笛,据统计,北美有超过 1000 万辆汽车使用 SiriusXM 的联网汽车服务,其中包括讴歌、宝马、本田、现代、英菲尼迪、捷豹、路虎、雷克萨斯、日产、斯巴鲁和丰田等知名汽车品牌。
(四)关键车联网零部件功能升级引入更多安全风险点
在传统的安全风险基础上,技术发展和功能升级引入了更多安全风险点,以远程无钥匙进入系统、远程信息处理系统和云服务、智能充电设施等为代表的新系统在智能网联汽车上的应用越来越广泛。例如,2023 年 3 月,法国安全研究团队在 Pwn2Own 年度黑客竞赛中演示入侵特斯拉 Model 3。研究人员展示了两个独立的漏洞,其中一个涉及对特斯拉网关能源管理系统的攻击,使研究人员能够访问控制车辆安全组件的子系统。另一个通过蓝牙芯片组漏洞入侵车辆的信息娱乐系统,使研究人员能够获得对其他子系统的根访问权限,利用相关漏洞能够执行控车动作,例如在汽车行驶时打开车辆的后备箱或车门等。
三、应对措施
(一)梳理完备的车型资产台账并做好动态维护
对于主机厂而言,一台汽车可能由数十万个零部件组成,涉及几十家供应商,汽车产品物料清单的生产和管理是一项庞大而复杂的工作。因此,为了实现车型资产风险主动识别,摸清车型资产台账是前提也是基础。企业应当通过摸排梳理、供应商管理及资产扫描工具等方式构建完备的车型资产台账,同时,当前汽车频繁的在线升级更新意味着车辆软件物料清单不再是静态的,而是在车辆出厂后很长时间内不断变化,有必要做好资产台账的动态维护及更新。
(二)加强供应链信息安全风险管控
主机厂应强化责任意识,以国内外监管要求为依据,加快网络安全、数据安全管理体系建设,加强供应链网络安全风险管控。将信息安全工作贯穿于整个车型开发过程中,实现正向的信息安全设计、开发、工程验证、后市场监控等全生命周期的流程应用。需要加强对车辆全生命周期的网络安全监测,尤其是车辆量产后在上路运营阶段的风险监控。对联网车辆易受攻击的软硬件进行全面的风险监测,并与各级供应商建立密切的监督和沟通关系,主动识别风险提前干预并加以避免,提升汽车产品安全防护水平。
(三)广泛开展汽车威胁情报收集
构建完备的威胁情报收集体系,从内部和外部两方面入手,融合企业车辆安全运营中心(VSOC)、漏洞管理平台、安全应急响应中心(SRC)等数据系统,并通过情报数据订阅、汽车安全演练、众测等多种手段广泛开展外部信息安全风险监测及汽车威胁情报数据收集。主动收集并识别与车型资产相关的安全风险,并通过构建企业内部的情报共享、实时监测和应急响应机制,在企业内部实现各类安全情报的高效流转,快速监测识别信息安全风险并提供有效的响应和缓解措施。
(四)持续开展车辆威胁分析和风险评估
软件定义汽车时代下,智能网联汽车引入了更多软件组件,且随着各类系统升级不断更新,其需要识别的威胁增多,风险水平显著增加。当前,仅仅在设计开发阶段开展车辆威胁分析和风险评估是远远不够的。车辆全生命周期中会产生复杂和动态的软件物料清单,因此,企业需要构建可扩展的软件物料清单框架,同时开展动态威胁分析和风险评估,从而实现企业车辆开发团队,特别是软件开发方面的长期风险缓解。
(本文刊登于《中国信息安全》杂志2024年第2期)