`
jishunaxieshi
  • 浏览: 4686 次
文章分类
社区版块
存档分类
最新评论

智能汽车安全风险及防护技术分析

阅读更多

大家可能不知道,一辆联网的智能汽车上的车载智能设备数量不小于100台,这些智能设备上所包含运行的代码都不小于5000万行,从而可以算出整个智能汽车所包含的代码就将达近2亿多行。即便程序员再仔细,也会出现代码有漏洞,这个在所难免,但有两个关键问题需要引起关注,一方面是很多智能汽车制造商未及时对车载软件加以管理控制,使其充满漏洞因而极易遭到恶意攻击;另一方面是这些程序员编写的代码应当如何保护,以防止黑客对其它进行破解。

自1886年戴姆勒创造出第一辆汽油机驱动的汽车以来,直至2009年发布第一辆智能汽车,引领智能汽车发展要得利于通信技术和AI技术的发展,才能够让智能汽车的发展一步步快速发展起来。在智能汽车产业的快速发展的同时,也引发了很多关于代码安全的思考。几维安全是智能车联网行业顶尖安全服务商,结合自身技术和实践的优势,对智能汽车的代码程序安全进行了探索和分析。

智能汽车发展态势

智能汽车有其特有的发展路线,当今,我们已实现了Level 3特定条件下自动化的时代,而从2020至2025年,全自动无人驾驶将全面进入我们的生活,这将使智能汽车电子相关产业完全进入互联网化。在这个演化过程中,智能汽车的态势感知系统、智能汽车互联网大数据分析平台以及高精地图导航系统,将会全面带到各位面前,而智能汽车的安全也在其中成为不可或缺的组成部分。

智能汽车安全-1.jpg

在今年的5月29日第六届国际智能网联汽车技术年会上,清华大学教授、国汽(北京)智能网联汽车研究院有限公司首席科学家、中国智能网联汽车产业创新联盟专家委员会主任曾发言表示:“智能网联汽车已经成为汽车产业发展的战略方向。智能网联汽车的发展不能只关注汽车本身,要在场景中落地,与中国环境相结合,发展中国方案的智能网联汽车。”认为基于新一代的移动通信技术、互联网技术、大数据云、人工智能技术,可实现先进技术与汽车产业的有机结合,形成汽车交通系统的信息物理融合系统,将会给汽车产业带来重大的变革,非常看好未来的智能汽车产业的发展。

智能汽车安全-2.jpg

智能汽车制造业也在国家政策的大力支持下,智能汽车的安全同样也走在了前端,就在今年6月11日已有《智能网联汽车信息安全评价测试技术规范》(征求意见稿,以下简称《规范》)发布,但是作为智能网联汽车一个新的产品形态、产业形态,未来还需要加强这方面的推进。据统计,智能网联汽车平均每1000条指令会出现1个bug,《规范》的发布也应运而生,旨在解决智能汽车中所面临的一系列信息安全和开发代码的隐患。

智能汽车开发代码的安全隐患分析

根据国家信息安全漏洞平台发布的智能终端设备的代码漏洞上报行为,几维安全对每年上报的智能设备的漏洞数据进行了统计,按每年的总计展示内容如下:

智能汽车安全-4.jpg

由上表可见,智能终端中的代码漏洞在每年承上升的趋势,到2018年和2019年已经可以达到成倍上升,也正是近两年智能终端设备的快速发展有密切的关系。而这些智能终端技术也完全有可能利用在智能汽车上,会给智能汽车带来安全隐患。几维安全也根据发布智能终端的漏洞进行了分析,如果将其集成到智能汽车上,其安全风险包括:

(1)被注入恶意程序

通过智能汽车的OTA升级功能和智能汽车使用的Android平台漏洞,会在升级过程中加载非法程序,会对整个智能汽车车载系统造成攻击。

(2)被未授权登录

目前很多智能终端在出厂使用时,均在使用初使密码(弱口令或默认口令)的方式进行身份鉴别,黑客可通过社工库将其进行破解,就可以登录智能汽车车载系统造成攻击。

(3)被信息窃取

在智能终端或智能汽车车载系统进行网络服务和运营商进行数据传输过程中,传输信息90%以上均为明文,或被黑客进行信息拦截,则可以造成车主个人信息的泄露。

(4)被远程操作

智能汽车配置特定的移动应用APP,但大多数APP未经过安全保护,黑客可通过未经过防护的APP发送控制指令,达到远程控制的目的。

(5)被攻击后端服务

通过未加密的传输网络,找到后端提供服务的云平台,窃取后端平台系统,造成车主个人信息的丢失。

攻击者可通过对智能汽车中的智能终端设备、APP进行攻击和漏洞挖掘,找到其脆弱点,再对其智能汽车发起攻击。在国家发布的《规范》中涵盖了面对智能汽车的13个检测条目,而13个检测相关智能终端所面临的风险,几维安全是能够做到全面的覆盖。

利用《规范》使智能汽车开发代码发现安全问题

在发布的《规范》中可以看出,将风险转化的概率、风险可能的计算和风险影响的计算等多重评测维度被纳入《规范》考核,像现在所了解到的安全技术,如OTA安全、数据安全、网络安全、应用安全、系统安全,以及硬件安全这六大内容进行把关,来评估智能汽车信息安全是否达到《考核》的安全合规标准。几维安全利用智能终端的代码层安全检测、智能终端的业务层渗透测试和智能终端的边界及传输层检测,全面保护智能汽车为核心的检测体系,以帮助智能汽车达到安全合规的标准。

(1)智能终端的代码层安全检测

通过对智能终端的代码进行检测,利用人工+工具的形式对其代码进行全面的合规审计,发现其存在安全风险和安全漏洞,并达到《规范》的要求。

(2)智能终端的业务层渗透测试

利用渗透测试人员的专业技术,对智能终端的业务逻辑进行安全检测,发现其业务层的安全风险和安全漏洞。

(3)智能终端的边界及传输层检测

使用攻防人员的专业技能,对其传输过程的数据进行抓取,发现其传输加密、边界传输在使用过程中的安全风险。

经过几维安全结合《规范》的安全检测,会输出在检测、渗透及评估后的一份检测报告。检测报告涵盖了检测项目、检测方法、使用工具、过程演示截图及可落地的修复整改建议,供开发者对其进行整改。

几维安全渗透测试服务优势

智能汽车安全-3.png

完善的修复解决方案——几维安全新一代的代码保护技术KiwiVM

几维安全不仅能够发现智能汽车存在的安全问题,同时还能为智能汽车制造商提供完善的代码保护方案。代码虚拟化保护技术(KiwiVM),是几维安全基于Clang编译器扩展实现的VM虚拟机编译器,在编译时直接对指定的函数[代码]实施虚拟化处理。可帮助智能汽车制造商在通信、支付、算法、核心技术等模块进行深度加密,避免因逆向破解问题带来的安全隐患。

(1)云+管+端的全面防护策略

要实现安全的保障需要多个环境共同协同来完成,建议从智能汽车入手进行防护,通过云端对其进行加固防护,同时对传输的数据再进行加密处理,以达到云+管+端的整体安全。

(2)智能终端固件和智能汽车APP代码的虚拟化保护

保护智能终端和智能汽车APP,就是对智能汽车最核心的部分进行保护,确保最核心的密钥和业务逻辑不被攻击者逆向破解,从而保障智能终端不被攻击。几维安全源代码保护技术针对Android平台,提供Dex类方法抽取加固、Dex-Java2C静态代码加密、SO加壳、C/C++代码混淆、C/C++代码轻量虚拟化、C/C++代码虚拟化、防御型SDK,可以从静态加密到动态防护做一个全方位的安全加固。

而对于硬件平台,几维安全可提供SO加壳、C/C++代码混淆、C/C++代码轻量虚拟化、C/C++代码虚拟化等方案,针对不同嵌入式环境对尺寸、性能、内存消耗的不同要求,我们提供量身定制的安全方案。上述服务平台的代码加密产品还可配合防御型SDK、白盒秘钥等技术实现诸如数据加密存储、通讯链路加密等业务场景的保护需求,完全保护智能汽车中的源代码及应用程序安全。这样KiwiVM即可同时对智能终端和智能汽车APP进行安全加固,又能保障两者不被攻击者逆向分析破解。

结语

随着5G技术和AI人工智能技术的发展,智能汽车现在也已经在快速发展的道路上,那么接下来要怎么往下走?智能汽车是汽车发展的基石与核心,跨行业合作是保障,多领域合作是支撑。几维安全将在国家政策的领引下,继续加大对智能汽车安全领域的探索和研究,提供更为优质的安全服务,愿意成为智能汽车制造商优秀的合作伙伴。

分享到:
评论

相关推荐

    智能家居安全风险与防护研究.pdf

    综上所述,智能家居安全风险与防护研究涉及面广泛,涉及的技术多且复杂。伴随着技术进步和市场需求的不断增长,智能家居安全防护体系的建立和完善显得尤为重要。通过不断完善相关安全标准、提升安全防护措施、加大...

    智能制造网络安全风险分析与防护思考.pdf

    网络安全风险分析方面,智能制造系统中设备与控制层、网络层、平台层、数据层都存在安全隐患。 设备与控制层主要面临来自设备的数字化、网络化、智能化的挑战。智能制造设备多采用嵌入式操作系统、控制系统、传感器...

    自动驾驶数据风险及安全防护技术.pdf

    以下是从【自动驾驶数据风险及安全防护技术.pdf】文档中提取的关键知识点。 1. 自动驾驶数据安全概述 自动驾驶数据安全问题聚焦于数据全生命周期各环节的潜在安全威胁,包括数据的采集、存储、处理、传输和销毁。...

    智能网联汽车安全风险与评估.pdf

    智能网联汽车安全风险与评估是一项至关重要的议题,随着汽车技术的发展,特别是自动驾驶和车联网技术的进步,汽车不再仅仅是交通工具,而是成为了集成了复杂电子系统的移动数据中心。这些系统为驾驶者带来便利的同时...

    基于网络模型的智能家居安全风险分析及安全评估.pdf

    5. 风险应对:根据评估的结果,提出相应的技术和管理措施,如加强网络安全防护,定期更新系统和设备固件,提升用户安全意识等,以消除或降低安全威胁。 在参考文献方面,文章引用了多篇关于智能家居安全的文献。...

    智能制造工控网络安全防护体系发展概述 (1).pdf

    本概述将从智能制造对工控网络安全的需求,以及现有的网络安全防护技术两个方面进行深入探讨。 首先,智能制造领域对工控网络安全风险的分析揭示出,随着信息化程度的提高,智能制造业发展带来的竞争格局正在改变。...

    智能网联汽车信息安全白皮书

    2. 技术防护:介绍了各种信息安全技术,如加密算法、身份认证机制、入侵检测系统、安全隔离技术等,用于增强智能网联汽车的防御能力。 3. 标准与法规:讨论了国内外针对智能网联汽车信息安全制定的标准和法规,比如...

    智能制造工控网络安全防护体系发展概述.pdf

    在安全防护技术方面,随着工业与信息技术的融合,工控系统面临着更复杂的网络安全威胁。入侵检测技术能够在内部或外部发起的攻击尚未造成损害之前,发现并通知管理人员。分布式检测技术在数控网络安全领域尤为重要,...

    智能网联汽车安全渗透白皮书 2023

    白皮书的发布反映了智能网联汽车安全的重要性,强调了行业需要在技术创新的同时,同步强化安全防护,以保障车主和公众的利益。随着技术的发展,未来汽车安全将更加依赖软件和网络保护,因此,企业和监管机构都需要...

    火电厂工控系统网络安全风险及防护研究.pdf

    针对这些风险,文章提出了相应的安全防护技术措施。工业防火墙是其中一种重要的防护技术,它通过对工业协议的过滤以及应用层上的深度分析,并采取白名单过滤规则,极大提升了系统的安全性。随着技术的不断进步,工业...

    物联网时代电力调度运行网络安全风险及防护.pdf

    同时,应用远程监控技术,可以实现对电力调度风险的实时防护,提高电力调度安全运行的整体水平。 2. 定期对工作人员进行培训考核。建立完善的电力调度人员培训考核机制,通过提高专业人员的职业素养,及时把控和...

    智能家居信息安全风险与防御.pdf

    智能家居信息安全风险与防御的知识点涵盖了多个方面,包括智能家居的系统架构、安全风险的分类、以及具体的安全防御措施。在对这些内容进行详细阐述之前,我们可以先了解智能家居的概念及其依托的关键技术。 智能...

    车联网(智能网联汽车)网络安全分析与发展建议.pdf

    此外,文章还提到了多种安全防护技术,包括大数据分析、机器学习、主动防御监控预警等,这些技术的综合运用将构建起更为严密的智能网联汽车安全防护体系。 除了技术层面,车联网的安全问题还包括产业层面的挑战。...

    货车防追尾撞击安全防护技术分析.pdf

    当前,货车防追尾安全防护技术的应用前景广阔,随着技术的不断发展,包括智能化和自动化水平的提高,预计将在预防交通事故、提高道路安全方面发挥更大作用。然而,这一技术仍有提升空间,例如提高预警系统的准确性和...

    火电厂工控系统网络安全风险及防护.pdf

    文章总结了国内外在工控系统网络安全方面的制度、标准和主要防护技术的研究进展情况,为火电厂工控系统的网络安全防护提供了参考依据。 五、综合防护措施 为了应对网络安全风险,文章提出以下综合防护措施: 1. 将...

    18年智能网联汽车信息安全年度报告-360

    智能网联汽车信息安全年度报告的发布,旨在为汽车行业提供一个关于信息安全风险、发展趋势和建设建议的参考。报告还强调了对信息安全管理的联动机制和协同合作的重要性,这不仅涉及到汽车行业的参与者,还包括政府、...

    2019智能网联汽车信息安全年度报告(高清).pdf

    综上所述,这份2019年智能网联汽车信息安全年度报告通过分析2019年的安全事件和趋势,为汽车行业的网络安全提出了全面的分析和建议,对于理解智能网联汽车在面临快速技术进步时的安全挑战有着重要的参考价值。

    信息安全风险评估产品市场竞争分析

    信息安全风险评估是保护网络安全的关键环节,它涉及到对潜在威胁、脆弱点和可能损失的系统性分析,以便制定有效的防护策略。随着信息化的快速发展,市场需求对高效、全面的网络安全解决方案日益增长,尤其是那些能够...

    智能网联汽车软件安全测试关键技术研究.pdf

    智能网联汽车软件安全测试是当前信息技术领域中的一个重要研究方向,尤其在汽车行业的快速发展和智能化趋势下,软件安全已经成为保障行车安全的关键因素。本篇文献深入探讨了智能网联汽车软件安全测试的关键技术,...

Global site tag (gtag.js) - Google Analytics