您现在的位置: 主页 > QQ黑客资讯 > QQ黑客新闻 > 文章内容

奇虎360:汽车黑客并不遥远,宝马因漏洞召回220万

作者: QQ黑客 来源:未知 时间: 2016-03-04 阅读:
QQ黑客基地网报:奇虎360是国内安全领域颇有建树的一家互联网公司专业破解文件密码,微信,QQ,陌陌,邮箱,聊天记录查询, 专业手机 ,通话清单,短信内容,网站入侵 等等....,从PC端的主动安全到车联网的“泛安全”,奇虎360经历过怎样的思考?在2月26日由《AutoR智驾》与雅森国际共同主办的“第六届中国汽车消费论坛暨互联网汽车创新峰会”上,奇虎360车联网事业部负责人刘建皓,为我们带来了一家安全公司的前沿思考。
  编辑丨AutoR智驾 xiaoPAI
  车联安全之路
  奇虎360车联网事业部负责人刘建皓
  
  我今天带来的议题是车联安全之路,为什么现在的汽车需要学习智能化?首先汽车智能化是由于万物互联导致的汽车行业的发展,发展到一定的程度就会出现网络安全的问题,就要有相应的解决方案。
  在以往的印象中,360提供免费杀毒,手机卫士、安全浏览器,为上网提供安全,我们把这种保护扩展到安全领域,称之为安全2.0。我们想保护儿童、家庭、行车安全,以及万物互联的安全。
  
  我们将主打“泛安全”的概念,所以在汽车安全方面也做了很重要的投入。我认为汽车会成为未来第四大互联中心。大家应该有所体会,以前我们上网购物玩游戏都在电脑上,到现在,很多人不用电脑,改用手机平板。未来等到汽车自动驾驶或者无人驾驶汽车得到发展,人的双手被解放以后,在车上面也有相同的使用场景。大屏、网络可以形成以汽车为中心的商业机会。所以我们认为汽车未来会成为第四大互联中心。
  
  我认为,未来汽车第一步实现的将是车联网。现在一部分产品就可以通过网络、手机控制汽车,开车门或是启动空调。这是最基本的车联网的功能。
  第二步是互联网汽车,现在的互联网厂商造汽车,把车载系统做得非常多元化,已经把互联网引入到了车载系统里。主驾驶的屏幕是液晶的,可以看到仪表,而副驾驶也有屏幕,可以享受到互联网内容。
  第三步是智能网联汽车,这也是《中国制造2025的绿皮书》的重点规划方向,届时我们可以通过汽车智能化降低交通事故率,满足国家发展的要求。
  
  这些不同的功能如何定义?我们认为软件定义汽车功能。奇虎360在研究特斯拉的过程中,发现即使一辆最低配置的特斯拉汽车,只要升级了7.1版本的软件就可以享受无人驾驶系统。
  实际上特斯拉卖的是基础硬件平台,后续功能通过软件升级实现,包括自动驾驶功能也是通过软件定义实现的。特斯拉把软件部署在车身,让用户测试后采集数据,再返回到云端平台做出决策,等升级到7.2版本的时候,自动驾驶功能就会越来越好。
  低配版本特斯拉汽车升级到自动驾驶需要付费,我们花2.45万元买了服务。特斯拉把卖车这件事情,通过软件更新实现了增值服务,它已经改变了汽车行业的消费理念。
  
  汽车发展到这种程度时,网络安全问题会有哪些?
  首先看一下案例,从2013年到2015年,汽车被破解的次数越来越多。宝马汽车Connected Drive功能存在漏洞,召回了220万辆汽车,大家可以计算一下整车厂损失了多少?
  就是因为软件漏洞可能会给整车厂带来损失,所以近几年汽车网络安全备受关注。大家可以看看汽车的变化,在最近10年的时间里,汽车里的ECU单元从10多个发展到40多个。这些ECU之间要通讯协作,要有人机交互、车机交互,功能越多越复杂,越容易受到攻击。
  
  我们总结了三种类型的汽车攻击,第一是从车联网TSP云端下手。日产电动新能源汽车的TSP存在漏洞,攻击者可以通过云端直接控制汽车,还可以启动汽车和更改空调设置,而且可以控制世界上任意一辆连接到这个TSP上的汽车。
  第二是可以通过OBD设备,或者通过智能手机和车载APP的入口下手,控制一辆汽车。通过无线网络攻击,现在的TPMS也可以成为一个攻击的途径。以智能钥匙为例,去年曝光的一个漏洞,可以通过破解智能钥匙的算法,无限制地开启车门。
  第三是通过智能网联汽车的传感器下手。如果要实现自动驾驶,我们需要远距离毫米波雷达,车身上的超声波传感器,还有一个前置的高清摄像头。入侵者可以通过一定的手段让这三个设备都失灵,还可以逼停在马路上行驶的智能汽车。
  
  360的理念是“无安全不智能”,在互联网风口下如何做好汽车安全?
  汽车智能化以后越来越多的控制是交给操作系统的,而不是人主动控制的。依靠系统就有可能存在漏洞,怎么才能解决这个问题?用户怎么才能放心去买智能汽车或是无人驾驶汽车?这是一个非常严峻的挑战。
  我本人在做信息安全工作,安全工作中的运维体系、管理体系、技术体系,放在汽车安全模型里也同样适用。
  
  智能管理控制系统是新能源汽车的核心部件,我们之前研究过如何黑掉电池管理系统,这个实验很危险,我们只在理论层面上研究如何保护这些单元。
  我们还有一个攻防平衡理论,实际上攻击行为不是由一个环节构成的,多个环节出了问题,才会形成一条路径。我们把这条路径通过安全加固的措施断掉,断掉之后把风险控制在一定程度,用了一种非常低价的方案解决了高风险的问题。
  我们的具体方案主要是,首先通过全面评估检查,先看被测试汽车有没有具体高危的问题,再通过深入挖掘和平台防控,部署监控措施。通过快速的应急响应,还有行业安全培训和沟通反馈,全面加强整体的安全性,这就是360车联网的安全框架。
  
  现在的攻击不是一蹴而就的,黑客不会直接作案,作案以前会有很多繁杂的试探,这个过程我们的安全监控可以感知到。比如说黑客要测试开门指令,肯定会用大量脚本进行测试,此时开门的信号频度和用户正常开门的频度是不一样的,这时候可以通过有效的安全监控,在攻击之前锁定权限,阻止安全风险的发生。
  我们做安全方面的研究,是为了打消市场对于智能汽车的顾虑,也是给整个汽车行业保驾护航,让我们造出来的车更加安全,
  我今天的演讲到此结束!谢谢大家!