网络安全是智能汽车下一个要卷的方向?

2024年一季度,中国汽车市场延续了2023年的风格,核心就是「卷」

2023年,我国汽车市场爆发「最强价格战」,燃油车的市场空间不断被挤压,如今只剩下最后一口气。近日乘联会发布4月1-14日最新数据,新能源(智能)汽车渗透率首次突破50%,两者地位不知不觉间已经逆转

与此同时,智能汽车的技术发展可谓一日千里,各种新兴技术快速落地应用。仅一两年的时间,智能驾驶快速从高端走向了普及,AI大模型已经成功落地应用,智能座舱正在成为新车的核心竞争力,智能交互更是行业标配。

随着智能汽车继续朝着智能化、网联化发展,V2X智慧出行已经可以预见,汽车也不再只是一个交通工具,而是集出行、通信、交互、娱乐等于一体的新终端,是「互联网+」时代网络空间的延伸。

随着新能源汽车的上半场——汽车电动化逐渐结束,以「智能」为核心的下半场已经拉开帷幕。但在角逐的过程中,车联网安全问题正在凸显,并且成为横亘在车企与智能化之间的巨大阻碍

因此,我们大胆猜测,「在下半场卷的过程中,安全将会是其中一个重要方向」。未来汽车安全将不仅局限于物理安全,网络安全也将是重中之重。换句话说,也许未来智能汽车不仅仅有各种「安全碰撞」测试,还会有「网络攻击」测试,以便用户更清晰了解汽车整体安全水准。

在4月24日举办的「2024 TIME DAY·腾讯智慧出行技术开放日」活动,听完来自国内外的行业领袖、大咖、知名人物的分享,这一趋势似乎越发清晰起来。

接下来,我们将从用户侧、车企侧和全球法规三个方面进行探讨。

一、用户苦智能汽车隐私泄露久矣

为了更好地提供智能化服务,智能汽车收集的信息数据量和隐私远比传统汽车要多得多,包括车主行驶轨迹、兴趣、面部数据、照片、音频等等。与之对应的是隐私泄露事件屡屡发生,据不完全统计,2023年至今,国内共发生了超过20起与车企相关的数据泄露事件,每一次都在社交平台上引发大量的关注度。

2024年4月,「某车企车内摄像头泄露女车主不雅照」新闻引发用户的大量讨论。虽然该车企在当日凌晨紧急发布声明称,车主群和社交媒体中散播的所谓「车内摄像头拍摄照片泄露」是谣言,并表示会「始终保护好用户隐私及信息安全」。

但是这并没有打消用户的担忧,也没有平息该隐私泄露事件所带来的热度及影响,对于车企品牌和声誉造成了难以挽回的巨大损失

智能汽车代表品牌特斯拉也曾深陷用户隐私泄露的陷阱之中。例如在2021年,一名黑客成功提取到特斯拉车内摄像头的拍摄画面,视频清晰地记录了驾乘人员的动作和姿态,甚至能在夜晚光线不佳的情况下捕捉驾驶员的面部特征。在2023年,有报道指出,特斯拉员工在过去几年中通过内部消息系统私下分享了众多客户车载摄像头记录的高度私密视频和图像,进一步加剧了公众对智能汽车隐私安全的担忧。

统计数据显示,2023年1~9月,我国新车摄像头安装量高达4817.2万辆,同比增长了34.1%;其中用户车内隐私空间的舱内摄像头数量超过200万颗,同比增长超过90%。由于车内是一个比较私密的环境,用户有着强烈的隐私保护诉求,而这些不断增加的车内摄像头,虽然目的是为了提升用户智能化体验,但也如同一双双透视用户隐私的「眼睛」,让车主们苦不堪言。

随着公众隐私保护意识进一步觉醒,隐私安全将成为用户购买智能汽车的决策因素,也将成为车企竞争的焦点之一

二、智能汽车厂商越来越重视网络安全

和传统车企不同的是,智能汽车已经来到软件定义车辆的时代。随着新能源车智能化程度不断提升,软件与硬件之间的界限日渐模糊,网络安全风险正在急剧增长,攻击者的动机转向利益,并将会给生态系统中的各方造成潜在且重大的影响。

根据工信部车联网动态监测情况显示,2020年以来发现的针对整车企业、车联网信息服务提供商等相关企业的恶意攻击达到280余万次。之所以智能汽车产业出现如此严峻的网络威胁态势,是因为近两年来该产业借助政策的东风和市场的催化,发展速度迅速导致。

正因为如此,智能汽车厂商们对于网络安全的重视程度也越来越高。但在产业高速发展的过程中,车企一方面在网络安全尤其是很多基础安全建设出现了明显的滞后性;另一方面面临的威胁态势明显增加,其中既包括车企软件供应链分支不断增加、链路不断拉长;也包括人员、应用、充电桩等快速增长,智能汽车暴露的攻击面飞速增长。一增一减之间,车企迫切需要补足安全这块短板。

1. 黑客攻击、网络攻击的威胁越来越严峻,无接触攻击已经成为现实。

自2015 年,两名安全研究人员披露了针对车联网的攻击,《连线》杂志的一名记者在美国的高速公路上以每小时 70 英里的速度驾驶这辆车时,他们远程控制了一辆吉普切诺基并关停了其引擎。

自此之后,特斯拉 Model S 、 Model X 都曾多次被黑客攻破。2022年,媒体还披露了一种中继攻击的方式,针对无钥匙进入系统使用的蓝牙低功耗(BLE),攻击者只需在车主手机(密钥卡)及车辆附近架上设备,就能伪装成车主打开车门、开走车辆。用到的技术软件和硬件加起来的成本,也就1000块左右,在网上都能买到,主流的Model 3或Model Y都在被攻击之列。

在2024年1月举办的Pwn2Own Automotive大赛,大量参赛选手现场展示如何攻破智能汽车系统。尤其是Synacktiv团队,两次成功攻击特斯拉汽车,获得root权限,并演示了特斯拉信息娱乐系统中的沙箱逃逸,赢得了45万美元现金。

针对现阶段越来越严峻的网络攻击,腾讯云安全高级经理曾杰在访谈中表示,腾讯科恩实验室早在2016年就已经实现了远程破解智能汽车,包括主流汽车品牌特斯拉、宝马、奔驰等。值得一提的是,黑客对智能汽车发起攻击已经从简单的行为进化为系统性攻击链,其危害性与影响范围将远超车企和用户的想象。

为此,腾讯安全打造了以智能网联安全体系建设为基础,覆盖安全治理、防护、监测和运营,端云一体化的网联安全体系,对整车网联架构实施风险评估,识别潜在安全风险,提出相应安全需求以及设计规范,保障智能汽车整体安全。

2、智能汽车收集与产生的数据越来越多,数据安全压力越来越大。

智能汽车从交付给用户的那一刻就开始不断收集各类信息和数据。伴随着下半场竞争的开启,作为「智能」的燃料,汽车作为智能终端所产生的数据成指数级增长态势。

例如爆炸式增长的智能汽车应用会产生大量的数据,而车与车、车与人、车与道路、车与云端等之间交互和通信也涉及数据采集与流转。根据Precedence Research发布的数据,全球汽车数据市场规模将从2022年的21.9亿美元增长到2032年的142.9亿美元,收集的数据类型很多,包括:

自动驾驶:涵盖从L1到L5各级别的数据,包括从安装在车辆上的多个传感器收集的数据。

基础设施:包括远程监控、OTA更新以及由控制中心远程控制的数据,还有V2X和交通模式。

信息娱乐:涉及客户如何使用应用程序的信息,例如语音控制、手势、地图和停车等。

互联信息:包括支付给第三方停车应用程序、事故信息、来自行车记录仪、手持设备、移动应用程序和驾驶员行为监控的数据。

车辆健康:维修和保养记录、保险承保、油耗和远程信息处理等。

据权威机构推测,未来10年,每辆车的存储空间将膨胀到2TB以上,因为有些数据必须保留几个月甚至几年。作为仅次于智能手机的第二大终端,汽车的智能化发展离不开大量数据的支撑,也面临这极高的数据安全风险。

腾讯数据安全产品负责人李滨在访谈中指出,智能汽车数据流转全链路较为复杂,涉及的数据种类多、数据量大、数据处理链条长、数据主体多等特点,导致其数据安全保护工作复杂、难度大。

基于智能汽车时代数据安全的复杂性,腾讯携手合作伙伴打造自动驾驶云平台,引入腾讯自动驾驶云合规服务,在采集、上传、处理与应用等阶段全生命周期保障数据安全,满足对自动驾驶研发过程中的合规要求。

3、复杂的供应链风险与漏洞治理。

智能汽车开发过程中,车辆硬件和软件集成正在脱钩,导致供应链既分散又复杂,而OEM处于系统集成的中心,面临的软件供应链安全风险急剧升高。

尽管OEM可以通过软件物料清单(SBOM)来提高软件供应链的透明度和可追溯性,以便更快解决供应链安全和漏洞治理的问题。但由于智能汽车OTA更新十分频繁,导致SBOM处于动态变化之中,增加了OEM对于风险的管控与响应。

此外,车联网并非仅仅指车辆本身,智能汽车供应链安全还涉及第三方智能出现应用、充电基础设施、云平台等多个方面,进一步增加了软件供应链潜在的安全风险,以及可能暴露在互联网上的安全漏洞。通过利用与SBOM相关的漏洞,攻击者可以获得对整个车辆的关键功能和控制机制进行未经授权的访问,从而对车辆的网络安全态势构成重大威胁。

还需强调的是,作为连接软件供应链的重要角色,API安全也是攻击者发起大规模攻击的突破口。依靠各种各样的API接口,智能汽车能够加载的应用与服务越来越多,从OEM移动应用、娱乐信息系统、经销商系统、售后市场移动物联网设备,到电动车充电管理和计费应用,都严重依赖API来实现核心功能。越来越多且调用频繁的API安全也在这个过程中不断累积。

与之相对应的是,OEM缺乏对智能汽车软件供应链安全和漏洞治理的有效措施,例如:

a.及时、主动识别并解决软件和硬件组件中的漏洞;

b.持续评估和管理软件供应链风险,确保组件的完整性和安全性;

c.快速检测网络安全风险和攻击,并提供有效的响应和缓解措施。

对于复杂的软件供应链管理和漏洞治理问题,腾讯零信任产品负责人刘登峰在访谈中指出,车企在构建安全防护体系时最容易出现问题的点往往是端点侧、云侧和车机侧,通过零信任的理念和框架或许可以解决这些问题。

第一、不论是车企员工还是第三方供应链,在车企内部进行应用访问、接入时需要考虑整体终端安全、通道安全、链路安全、应用安全等;

第二、针对车企接入过程中,需要考虑到软件供应链层面,实现软件开发安全左移的问题。

通过构建端到端的访问控制体系、数据保护以及安全左移,可以将车企面临的常见的安全问题闭环。

三、智能汽车安全测试基础已经具备

综上所述,在面临上述网络攻击威胁、数据安全与合规、复杂的漏洞供应链安全与漏洞治理等多个问题时,OEM似乎并没有做好十足的准备,从而导致相关安全事件屡屡发生。

据Upstream发布的报告,针对OEM及其生态系统的攻击正在迅速增加,不断引入新的攻击向量和方法,即便OEM不断提高网络安全保护等级,却依旧捉襟见肘。在2019年至2023年间,公开网络(媒体)披露的OEM安全事件平均增幅超过50%,2023年达到惊人的数百起。

而据中汽数据,CFID漏洞库截至2022年底共收录了2945个安全漏洞,共涉及车型1000多个,涵盖了车载硬件、软件、网络、服务等多个方面,涉及到车辆控制系统、信息娱乐系统、远程控制系统、车联网平台等多个模块。

由此看来,智能汽车在网络安全领域的卷才刚刚开始。全球不断演变、完善的智能汽车网络安全法规,也在推动产业加快「卷安全」的步伐。事实上,为了更好地应对智能网联汽车所面临的网络安全威胁,我国在《网络安全法》《数据安全法》等上位法的基础上,陆续出台了多个智能网联汽车网络安全政策、法律和法规以及行业标准。

例如2022 年 3 月,工信部发布《车联网网络安全和数据安全标准体系建设指南》,提出到 2023 年底,初步构建起车联网网络安全和数据安全标准体系,到 2025 年,形成较为完善的车联网网络安全和数据安全标准体系。

另外,我国还陆续发布了《汽车数据安全管理若干规定》《信息安全技术汽车数据处理安全要求》《汽车信息安全通用技术要求》《整车信息安全技术要求》等法规和标准,逐渐形成了智能汽车的安全框架。

全球其他国家也不断颁布相应的网络安全法规。例如2023年11月,印度提出了一项名为「CyberShield」的强制性车辆制造商安全框架。该计划得到了道路运输部长的支持,旨在加强车辆系统对网络漏洞的防护,扩展到电动车充电站的保护。

2023年8月,加利福尼亚隐私保护局(CPPA)启动了一个执法倡议,以审查通过内置应用、传感器和摄像头收集的连接车辆的大量数据。CPPA旨在确保原始设备制造商(OEM)的透明度,保护消费者数据权利。

四、给智能汽车打个分?

越来越完善的网络安全政策法规体系给智能汽车产业发展打下了坚实的基础,也让给智能汽车安全打分这件事情有了底层逻辑支撑。那么究竟该如何进行风险评估与安全等级确定呢?

腾讯云安全高级经理曾杰表示,目前腾讯已经具备给智能汽车打分的基础。腾讯安全已经实现,在云端通过不同的产品模块,对全链路进行整体防控,在防控的过程中就可以对智能汽车整体安全进行打分。

例如可通过云端部署Web应用防火墙,对业内常见的威胁情报进行梳理和评分,只要车企启用云安全控制中心,自然也可以对资产进行梳理,同时对现有的安全情况进行评分。在车端也是如此,甚至还可以对开发环境进行评分。

换句话说,仅从技术角度出发,依托腾讯安全庞大的威胁情报体系,像「碰撞测试」那样给智能汽车网络安全打分已经可以实现,缺的无非是更官方的第三方评测机构以及国家出台一些行业法规和标准。

总的来说,从用户侧来看,对于隐私泄露的忍耐度越来越低,如同智能手机一般,隐私保护将成为新的卖点;从车企侧来看,无接触网络攻击控制车辆早已实现,数据合规压力越来越大,暴露在互联网上的攻击面不断扩大,快速提升智能汽车网络安全能力等级已经刻不容缓;从政策法规侧来看,数据安全、车辆网络安全法规不断完善,合规要求朝着更严格的方向发展已经是不可逆的趋势。

新能源车智能化的下半场已经拉开帷幕,「安全将会是其中一个重要方向」。那么在网络安全领域,智能汽车厂商们又该如何「卷」飞同行?完全依靠车企自身显然不合算,找到一家网安行业的「博世」,让专业的人来做专业的事,无疑是一个更好的选择。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/586549.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

基于昇腾AI | 英码科技EA500I使用AscendCL实现垃圾分类和视频物体分类应用

现如今,人工智能迅猛发展,AI赋能产业发展的速度正在加快,“AI”的需求蜂拥而来,但AI应用快速落地的过程中仍存在很大的挑战:向下需要适配的硬件,向上需要完善的技术支持,两者缺一不可。 基于此&…

如何利用仪表构造InfiniBand流量在数据中心测试中的应用

一、什么是Infiniband? 在当今数据爆炸的时代,数据中心作为信息处理的中心枢纽,面临着前所未有的挑战。传统的通信方式已经难以满足日益增长的数据传输需求,而InfiniBand技术的出现,为数据中心带来了全新的通信解决方…

使用xshell工具连接ubuntu的root账户被拒绝的解决方法

问题描述: 我在使用xshell工具远程连接Ubuntu虚拟机的过程中,如果连接的是的普通用户则xshell工具可以正常连接,但是当我向连接ubuntu系统的root用户,即便是密码输入正确但还是不能连接成功。不能连接成功的截图如下: …

requests库进行接口请求

请求的常规写法 requests.post() 、requests.get() 从中可以看出: 必填参数: url可缺省参数: data,json等、关键字参数 **kwargs 如下进行了一个post请求的登录,且请求体在body中 知识点1 当为post请求时&#xff1…

建堆时间复杂度

片头 嗨!小伙伴们,大家好! 在上一篇中,我们学习了什么是堆,以及如何实现堆。这一篇中,我将继续带领大家来深入学习堆,准备好了吗?我要开始咯! 首先,大家还记…

opencv_17_翻转与旋转

一、图像翻转 1)void flip_test(Mat& image); 2)void ColorInvert::flip_test(Mat& image) { Mat dst; //flip(image, dst, 0); //上下翻转 flip(image, dst, 1); //左右翻转 // flip(image, dst, -1); //180度翻转 imsho…

VScode 无法连接云服务器

试了很多方法,比如更换VScode版本,卸载重装,删除配置文件 重启电脑,都无法成功。最后重置电脑后才连接上,但是重启服务器后又出现该问题。 方法一:修改环境 方法二:把vscode卸载干净重下

【快速入门】数据库的增删改查与结构讲解

文章的操作都是基于小皮php study的MySQL5.7.26进行演示 what 数据库是能长期存储在计算机内,有组织的,可共享的大量数据的集合。数据库中的数据按照一定的数据模型存储,具有较小的冗余性,较高的独立性和易扩展性,并为…

LabVIEW智能变电站监控系统设计与实现

LabVIEW智能变电站监控系统设计与实现 随着电力系统和智能化技术的快速发展,建立一个高效、可靠的变电站监控系统显得尤为重要。通过分析变电站监控系统的需求,设计了一个基于LabVIEW软件的监控平台。该平台利用虚拟仪器技术、传感器技术和无线传输技术…

数据结构中的栈(C语言版)

一.栈的概念 栈是一种常见的数据结构,它遵循后进先出的原则。栈可以看作是一种容器,其中的元素按照一种特定的顺序进行插入和删除操作。 压栈:栈的插入操作叫做进栈/压栈/入栈,入数据在栈顶。 出栈:栈的删除操作叫做…

2024年的十大技术趋势 - AI 等等

每周跟踪AI热点新闻动向和震撼发展 想要探索生成式人工智能的前沿进展吗?订阅我们的简报,深入解析最新的技术突破、实际应用案例和未来的趋势。与全球数同行一同,从行业内部的深度分析和实用指南中受益。不要错过这个机会,成为AI领…

网优小工具-基站ID行列转换

网优小工具-基站ID行列转换 因在日常工作需要对基站ID批量行转列,以方便在网管上批量筛选指定网元,该小工具基于微软Power Query插件编写,工具方便、简洁、易用,共享出来以方便工作。 工作界面 1.粘贴需筛…

学习VUE2第6天

一.请求拦截器 可以节流,防止多次点击请求 toast是单例 二.前置路由守卫 在Vue.js中,前置路由守卫是指在路由转换实际发生之前执行的钩子函数。这是Vue Router(Vue.js官方的路由管理器)提供的一种功能,允许开发者在用…

中兴UME网管LTE共享参数配置-PLMN添加

本文为中兴设备UME网管电联中频共享参数配置,PLMN添加参数配置部分,因UME与U31网管添加PLMN配置区别较大,UME网管需同时配置运营商EN-DC策略,相关配置流程及参数配置如下文。 PLMN eNodeB CU …

与 Apollo 共创生态:观看7周年大会的心路历程

前言 在科技飞速发展的今天,自动驾驶技术已然成为行业创新的热点之一。作为一名长期关注自动驾驶领域的技术人员,我有幸见证了Apollo平台的成长与壮大。七年前,Apollo的诞生为我们带来了无尽的想象与期待;七年后的今天&#xff0…

【自研网关系列】过滤器链 -- 灰度发布过滤器

🌈Yu-Gateway::基于 Netty 构建的自研 API 网关,采用 Java 原生实现,整合 Nacos 作为注册配置中心。其设计目标是为微服务架构提供高性能、可扩展的统一入口和基础设施,承载请求路由、安全控制、流量治理等…

【介绍下Unity编辑器扩展】

🌈个人主页: 程序员不想敲代码啊 🏆CSDN优质创作者,CSDN实力新星,CSDN博客专家 👍点赞⭐评论⭐收藏 🤝希望本文对您有所裨益,如有不足之处,欢迎在评论区提出指正,让我们共…

ubuntu下安装配置python3.11

方案1 添加仓库: $ sudo add-apt-repository ppa:deadsnakes/ppa $ sudo apt update $ sudo apt install python3.11然后查看有多少个python版本已经安装了: ls -l /usr/bin/python*python2.7,python 3.8 ,python 3.11. 然后,设置系统默认…

Android4.4真机移植过程笔记(一)

1、RK源码编译 获取内核源码: git clone git172.28.1.172:rk3188_kernel -b xtc_ok1000 内核编译环境: 从172.28.1.132编译服务器的/data1/ZouZhiPing目录下拷贝toolchain.tar.gz(交叉编译工具链)并解压到与rk3188_kernel同级目…

Visual Studio中怎样更改Nuget程序包源

场景 Visual Studio 2019 在使用NuGet添加依赖包时,在预览中搜索不到程序包。 排查下NuGet的程序包源为本地。 将程序包源修改下。 实现 在解决方案上右击选择管理解决方案中的NuGet程序包(在 Visual Studio 中打开“工具”>“选项”>“NuGet 包管理器”…