2014 SyScan360国际前瞻信息安全会议上,组织了全球首个智能汽车破解挑战赛,比赛的对象正是眼下风头正劲的特斯拉。对这样的挑战赛,特斯拉这个智能汽车的领导厂商并没有外界想象的反应激烈,反倒是释放出了冷静与沉稳的气息。或许特斯拉已经明白高人气之下的产品安全是一个无法回避的问题,只不过与传统汽车相比,智能汽车的内部系统安全是一个崭新的领域。无论是他们自己,亦或安全厂商、普通用户,都没有储备好足够的知识或是经验以应对这块崭新的安全挑战。
但安全无小事,能做的就是要与各界有生力量合作,将可以预见的安全隐患消灭在萌芽。
在比赛正式开始之前,360公司曾经把已经发现的一个漏洞提交给特斯拉公司。随后特斯拉公司在发给媒体的声明中表现出了谨慎的欢迎,他们这样表示,“我们非常重视车辆和客户安全。我们致力于与安全研究人员共同合作,根据我们的安全漏洞报告政策,以负责任的态度验证、重现、应对和修复报告中的漏洞”、“对于报告的任何合法漏洞,我们都会展开调查,并采取快速行动进行应对和修复”。
智能汽车所带来的安全问题,已经是一块蓝海。
智能硬件的安全已经刻不容缓
传统工业产品与互联网、移动互联网交互过程中催生了智能硬件,灯泡、马桶、汽车、乃至水坝、飞机、发电站,曾经只出现在科幻电影里的物联网、车联网正在成为现实,以超乎想象的速度向我们笔来。
在实现高效、便利和远程控制的同时,安全成为双刃剑的另一面,不时刺痛我们的神经。一个BUG、一个漏洞、一次ATP的攻击,在个人资产、社会资产乃至国家资产都在数字化迁移的过程中,这些智能硬件产品的安全隐患所造成的危害也呈几何级的激增。
有人这样描述,“如果特斯拉汽车能被远程控制,那么工厂的生产设备可能被远程切断,电梯也可能被远程停止或关门,空调可能被远程打开,电视可能被接管,冰箱可能被停止,健康监控设备可能会发出错误信息给医生……从某种角度,硬件的安全比软件的安全更重要。”
以前硬件设备的连接更多是在一个相对封闭的内网环境中,有专人的管理。但随着越来越多的硬件设备接入互联网,特别是通过手机接入移动互联网,也就意味着安全隐患出现的概率大大增加。
好在仅就目前的情况来看,要利用这些安全隐患实施恶意攻击,仍然需要极高的技术门槛。但这并不意味着硬件厂商可以掉以轻心,厂商应该以此为契机,改进改善产品,消除这些漏洞可能存在的安全隐患。
破解挑战赛是奇招
海外媒体这样点评以破解挑战赛的方式检验汽车安全是奇招,对于汽车来说,安全稳定是最重要的因素,那么在智能汽车时代,不但要考虑机械安全,还要考虑软件层面的安全,越智能、越科技也意味着风险因素越多,比如触控操作替代机械操作,如果触控不灵了或者屏幕坏了怎么办,软件运行不稳定出现故障无法操控怎么办,甚至如谷歌的无人驾驶车还可能出现被恶意操控撞车的风险等。
特斯拉本身是汽车厂商,为了弥补对智能汽车系统安全的短板,曾挖来苹果公司的技术大牛来完善相关研究。但毕竟术业有专攻,以破解挑战赛的方式广泛发现可能存在的漏洞和安全隐患,特斯拉另辟蹊径。
360公布特斯拉漏洞的事件短期内吸引了全球媒体的高度关注,但也在明确的传递出一个信息,那就是全球媒体都在关注智能汽车的安全隐患,特斯拉能否给业界带来示范效应,也将成为考验他们是否具备全球领军企业实力的标准之一。
影响或在未来呈现,具有积极意义
智能汽车的系统安全目前没有统一的权威检测、认证标准。但特斯拉要摆脱“土豪玩具”这样的标签,就必须将自己置于更加严苛的产业标准和安全标准之下。
但只有用户对产品提出更苛刻的要求,才会给安全厂商和产品制造方提供发展的动力。 这次的破解挑战赛模拟搭建了利用移动设备攻击汽车软件的场景,挑战者可尝试利用移动设备和汽车的软件之间的任何漏洞发起攻击,也就为智能汽车厂商提供了第一手的实际测试数据和资料,为特斯拉排除隐患,解决问题提供了便利。
但这只是一个开端,未来可能需要,安全厂商、汽车厂商、政府主管部门协会的通力合作,才能形成基于智能汽车的安全产业标准。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/141432.html<
