【智能驾驶】数字钥匙打开汽车安全潘多拉磨盒,2019年智能网联汽车发生“十大安全事件”...

来源:AutoR智驾

【导读】3月24日,360举办了一场线上发布会,正式发布了《2019智能网联汽车信息安全年度报告》,从智能网联汽车网络安全发展趋势、新兴攻击手段、汽车安全攻击事件、汽车安全风险总结和安全建设建议等方面对2019年智能网联汽车信息安全的发展进行了梳理。同时,360还建议针对2019年新出现的安全问题构建主动纵深防御策略,为智能网联汽车新四化撑起“保护伞”。

根据360的总结,2019年智能网联汽车发生了“十大安全事件”。

这十个在全球范围内出现的事件包括:基于通信模组的远程控制劫持攻击、基于生成式对抗网络(GAN)自动驾驶算法攻击、特斯拉PKES系统存在中继攻击威胁、特斯拉Model S/X WiFi协议存在缓存区溢出漏洞、共享汽车APP存在漏洞、基于激光雷达的自动驾驶系统安全性存疑、Uber爆出存在账号劫持漏洞、后装汽车防盗系统存在漏洞、丰田汽车服务器遭到入侵、宝马遭受APT攻击。

通过对这些事件的分析,360在《2019智能网联汽车信息安全年度报告》(以下简称《报告》)中总结出当前汽车安全的四大风险:

——汽车攻击事件快速增长,攻击手段层出不穷;

——智能网联汽车缺乏异常检测和主动防御机制;

——数字钥匙成为广泛引起关注的新攻击面;

——自动驾驶算法和V2X系统将成为新的热点攻击目标。

2019年,车联网领域出现了两种新型攻击方式:一个是基于车载通信模组信息泄露的远程控制劫持攻击,一个是基于生成式对抗网络的自动驾驶算法攻击,这两种新型攻击方式能够影响大部分车企。

对于前者,360认为数字车钥匙打开了汽车安全的潘多拉盒子。目前,数字车钥匙可用于远程召唤、自动泊车等新兴应用场景,但这也导致了数字钥匙易受攻击。

通信模组作为车辆与外界网络连接的第一道防线,如果遭到黑客的破解,将会实现远程开闭车门车窗,启动关闭引擎等控车操作,威胁到用户的生命财产安全。

经过大量研究发现,此类漏洞广泛存在于车企的车联网系统中,亟需引起广大车企的关注。

360表示,数字车钥匙的“短板效应”显著,身份认证、加密算法、密钥存储、数据包传输等任一环节遭受黑客入侵,就会导致整个数字车钥匙安全系统瓦解。

目前常见的攻击方式,是通过中继攻击方式将数字车钥匙的信号放大,使钥匙收到并响应汽车短距离内的射频信号,从而完成一个完整的挑战应答通讯过程,从而盗窃车辆。也有通过研究PKES加密算法,破解车钥匙密钥的方式,利用算法漏洞复制车钥匙的密钥,实现解锁车辆。

2019 年,欧洲和美国相继爆出通过中继攻击的方式对高端品牌车辆实施盗窃的事件。尤其是在英国地区,仅 2019 年前 10 个月就有超过 14000 多起针 PKES 系统的盗窃事件,相当于每 38 分钟就有一起此类盗窃案件发生。

据悉,小偷的作案时间通常不到 30 秒,作案中继设备和攻击教程甚至在网络上也可以购买,这将对人身和财产安全造成极大的伤害。

在2018年,360就探索出了通过破解通信模组,利用私有APN渗透车企TSP平台,从而实现批量远程控制车辆的攻击方式。

360智能网联汽车安全实验室在发现此类新型攻击方法以后,就投入了对安全通信模组的研发。通过对传统通信模组进行了升级改造,在原有模组的基础架构之上,增加了安全芯片建立安全存储机制。集成了TEE环境保护关键应用服务在安全环境中运行,并嵌入了入侵检测与防护模块,提供在TCU端侧上的安全监控,检测异常行为,跟攻击者进行动态的攻防对抗。通过主动防御的方式,抵御新型车联网攻击。

2019月12月,360与奔驰梅赛德斯奔驰共同发现并修复了19个引发此类攻击的漏洞,其中包含6个CVE漏洞,影响在路车辆200余万辆。之后在2020年2月28日开幕的RSA大会上,双方还共同对此次漏洞研究成果发表了演讲。

*360 Sky-Go安全研究员陈元恺与奔驰研发中心产品安全负责人盖·哈帕克在RSA大会上

基于生成式对抗网络的自动驾驶算法攻击,则主要源于在深度学习模型训练过程中,缺失了对抗样本这类特殊的训练数据。

《报告》指出,虽然深度机器学习代表了技术的未来方向,但在目前的实际运用中,通过研究人员的实验证明,可以通过特定算法生成相应的对抗样本,直接攻击图像识别系统,神经网络算法仍存在一定的安全隐患,值得关注。

针对智能网联汽车面临的安全风险和隐患,《报告》提出了五大安全建议。

第一、建立供应商关键环节的安全责任体系。360认为,汽车网络安全的黄金分割点在于对供应商的安全管理。“新四化”将加速一级供应商开发新产品,届时也会有新一级供应商加入主机厂采购体系,原有的供应链格局将被重塑。供应链管理将成为汽车网络安全的新痛点,主机厂应从质量体系,技术能力和管理水平等多方面综合评估供应商。

第二、推行安全标准,夯实安全基础。2020 年,将是汽车网络安全标准全面铺开的一年。根据ISO21434等网络安全标准,在概念、开发、生产、运营、维护、销毁等阶段全面布局网络安全工作,将风险评估融入汽车生产制造的全生命周期,建立完善的供应链管理机制,参照电子电器零部件的网络安全标准,定期进行渗透测试,持续对网络安全数据进行监控,并结合威胁情报进行安全分析,开展态势感知,从而有效地管理安全风险。

第三、构建多维安全防护体系,增强安全监控措施。被动防御方案无法应对新兴网络安全攻击手段,因此需要在车端部署安全通信模组、安全汽车网关等新型安全防护产品,主动发现攻击行为,并及时进行预警和阻断,通过多节点联动,构建以点带面的层次化纵深防御体系。

第四、利用威胁情报及安全大数据提升安全运营能力。网络安全环境瞬息万变,高质量的威胁情报和持续积累的安全大数据可以帮助车企以较小的代价最大程度地提升安全运营能力,从而应对变化莫测的网络安全挑战。

第五、良好的汽车安全生态建设依赖精诚合作。互联网企业和安全公司依托在传统IT领域的技术沉淀和积累,紧跟汽车网络安全快速发展的脚步,对相关汽车电子电气产品和解决方案有独到的钻研和见解。只有产业链条上下游企业形成合力,才能共同将汽车网络安全提升到“主动纵深防御”新高度,为“新四化”的成熟落地保驾护航。

2019 年,中国的汽车产销分别为2572.1万辆和2576.9万辆,即便车市近两年来持续下行,但中国市场依旧是很多车企的第一大市场,在全球都具有引领作用。而以电动化、智能化、网联化、共享化为核心的汽车“新四化”趋势,已成为政府、整车企业、汽车供应商、科技企业及消费者的共识。

随着“新四化”的不断推进,汽车原本几千上万数量的机械零部件,逐步被电机电控、动力电池、整车控制器等在内的“三电”系统取代。同时新的业务场景催生出例如汽车 T-box,数字车钥匙等在内的电子电气部件,这又衍生出了一系列新的网络安全隐患。

2019 年开始,不少车企与互联网公司牵手,以战略合作和共建实验室等方式携手合作共同解决网络安全问题,意味着“新四化”的变革已经冲出了汽车领域,朝着横向和多元的发展空间并进。

而对于刚刚开始就因疫情陷入困境的2020年,360表示,国内外围绕汽车网络安全的标准将全面铺开,总体上呈现出以自动驾驶、V2X 等应用场景为目标抓手,指导汽车产业链在概念、开发、生产、运维等各阶段开展网络安全活动。虽然疫情耽误了进程,但汽车网络安全标准已经接近成熟,并在全球专业领域基本达成了共识,原计划在2020年落实却未能完成的,预计将会在2021年落实。

未来智能实验室的主要工作包括:建立AI智能系统智商评测体系,开展世界人工智能智商评测;开展互联网(城市)云脑研究计划,构建互联网(城市)云脑技术和企业图谱,为提升企业,行业与城市的智能水平服务。

  如果您对实验室的研究感兴趣,欢迎加入未来智能实验室线上平台。扫描以下二维码或点击本文左下角“阅读原文”

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/488264.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

浏览器驱动放python哪里_Python+Firefox驱动自动化打开浏览器

前言好久没用最简单的打开浏览器方式,这里记录一下,需要的可以看看。安装Python环境这里太简单了,不再重复编写。下载Firefox驱动image解压放到指定目录$ tar zxf geckodriver-v0.27.0-macos.tar.gz$ pwd$ /2020/tools/firefoxdriver/geckodr…

stm32按键输入实验c语言,stm32f103学习笔记(三)按键输入(IO口输入)

学stm32第三天了,才学到按键输入,这进度也是醉了。。。谁叫俺c语言基础不行,还没有学过模数电呢。。开发板上有4个按键:key0,key1,key2和wk_up,分别接在PE4,PE3,PE2和PA0…

JMF调用摄像头粉屏的问题(win10 64位系统)

最近突然想做一个人脸识别的程序,图像的获取可以从本地或者摄像头获取。 1、从本地获取比较简单,不多说。 2、从摄像头获取图片。网上查了一下,都是用的JMF(但是JMF已经很久没有更新,而且只支持32位的JDK,如果知道有更…

科技部5个6G重点项目

来源:5G重要信息未来智能实验室的主要工作包括:建立AI智能系统智商评测体系,开展世界人工智能智商评测;开展互联网(城市)云脑研究计划,构建互联网(城市)云脑技术和企业图…

mysqlsql怎么比较当前月与去年的这个月的同比_沃尔沃汽车8月全球销量同比增7.2% 中美两大地区领涨...

加入盖世行业交流群,请加微信(盖世汽车冬冬:gasgoo2015)出示名片,了解更多行业资讯盖世汽车讯 根据沃尔沃汽车官方发布的销量数据,今年8月份,得益于广受欢迎的SUV系列产品,该公司继续保持强劲的销售势头&am…

c#语言程序设计上机实验,C#语言程序设计基础实验指导(第3版)

第1章 绪论1.1 知识点回顾1.2 实验目的和要求1.3 实验内容1.4 实验指导实验1-1 模拟电子邮箱注册实验1-2 创建和调用C#类库程序1.5 补充上机练习第2章 C#数据类型2.1 知识点回顾2.2 实验目的和要求2.3 实验内容2.4 实验指导实验2-1 字符及其ASCII码转换实验2-2 使用ConsoleColo…

POI(java 操作excel,word等)编程

一、下载所需jar包 下载地址:http://poi.apache.org/download.html http://download.csdn.net/detail/likai22/534250 二、上代码 package com.sxdx.excelpoi.action;import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.File…

一文读懂测序技术在新冠病毒检测中的应用(文末附FAQ)

来源:生物探索随着世界疫情的发展,多个国家进入公共卫生紧急状态,全球科学家都在抓紧研究更好的检测、治疗、防控手段。从最初未知β属冠状病毒的快速鉴定到病毒序列的完整破译,再到病毒序列的变异监测,高通量测序技术…

可以用中文编写python_用中文也能寫Python程式

目前的程式設計中,Android平臺上的App開發算是相當熱門,從電腦書的熱賣,也可看出端倪。在網路書店博客來2011年的年度暢銷榜中,就有好幾本是關於Android開發的電腦書,其中奪下電腦類別第五名的就是《Google!Android 3手…

c 高级语言,C作为高级语言?

So, what C do YOU use in you practice? Do you mix the styles, say, arrays and vectors? Are there any rules or best practices here?…现代C,绝对。但是在我看来,这并不排除阵列。仍然存在阵列优于载体的情况。但是当我使用数组时,…

2020技术趋势报告-中文版

来源:德勤咨询今年的技术趋势报告继续在开篇回顾了11年来的技术趋势发展,展示了技术趋势随时间推移的演进全过程,及最新宏观科技力量作为业务转型基础带来的共生效益,和不久的未来的新兴科技力量。随着企业需要适应不断变化的技术…

HBase:分布式列式NoSQL数据库

传统的ACID数据库,可扩展性上受到了巨大的挑战。而HBase这类系统,兼具可扩展性的同时,也提出了类SQL的接口。 HBase架构组成 HBase采用Master/Slave架构搭建集群,它隶属于Hadoop生态系统,由一下类型节点组成&#xff1…

LINUX装魂斗罗游戏,魂斗罗战甲1-支援形态装置搭配思路及攻略

哈喽,老伙计们大家好,虽然真魂战甲这个机制已经出了有段时间了,但是今天我还是要给大家搞一个深度攻略,别问!问就是真男人必须开机甲!其实是很多小伙伴向我吐槽血隼副本和虚空副本太过变态,自己…

ui和python_python 将ui转成py(和UI文件放在同一目录,运行)

-- coding: utf-8 --【简介】ui转换成py的转换工具import osimport os.pathUI文件所在的路径dir ./列出目录下的所有ui文件def listUiFile():list []files os.listdir(dir)for filename in files:#print( dir os.sep f )#print(filename)if os.path.splitext(filename)[1]…

好文 | “智能经济”时代,协作机器人的应用前景与趋势探讨

来源:赛迪顾问本文要点一、协作机器人定义及分类二、全球协作机器人发展概况三、中国协作机器人发展概况四、中国协作机器人发展面临瓶颈及趋势展望1、研发设计人才短缺,协作机器人产业创新驱动力不强2、核心零部件技术缺失,是制约我国工业机…

C/C++ scanf 函数中%s 和%c 的简单差别

首先声明:在键盘中敲入字符后,字符会首先保存在键盘缓冲区中供scanf函数读取(scanf。getchar等函数是读取缓冲区,getch函数是读取的控制台信息,即为直接从键盘读取)。另外特别注意键盘上敲入回车实际为“\r…

c语言求100以内整除13的最大,VB程序设计的一道题,找出100以内能被3整除的所有数之和,并把值保存在一维数组中...

VB程序设计的一道题,找出100以内能被3整除的所有数之和,并把值保存在一维数组中以下文字资料是由(历史新知网www.lishixinzhi.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!VB程序设计的一道题,找出1…

Cdn英文的读音音标_宋sir的美式音标教程 Unit 1 /i/ tea

剑桥国际英语语音教程(Pronunciation Pairs)是一本很优秀的美式口音学习教材,其特点是对一些读音相近的音标进行对比,可以帮助学习者进行更准确地道地发音。该教材唯一的缺点就是不够深入,很多知识点并没有进一步详细阐…

兰德报告:思维机器时代的威慑

来源:中国指挥与控制学会从全球来看人工智能和自主系统在军事上的应用逐渐增多,这可能影响危机和冲突中使用的威慑策略以及冲突的升级变化。到目前为止,威慑主要指人类设法阻止其他人采取特定行动的行为。如果参与思维和决策过程的不止人类&a…

c语言设计一维数组,一维数组 (1)C语言程序设计.pdf

C语言程序设计一维数组 C语焉不详内容提要1 一维数组的定义2 一维数组的初始化3 一维数组的引用怎样学好C语言?引例【案例】从键盘上输入某学科竞赛组6名成员的成绩(整数),求平均成绩、并找出最高分和最低分。分析:6名学生的成绩,…