2013年05月14日08:58
【相關新聞】
近年來,信息技術在汽車上的運用越來越廣泛。有些汽車配備的電子控制單元(ECU:Electronic Control Unit)甚至多達100個以上,程序代碼據說多達1000萬行,汽車已經變成了配備大量軟件的系統。
變成軟件集合體的汽車,如今正面臨著新的威脅(圖1)。2010年,美國的研究人員發現,經由汽車內外的通信渠道可以攻擊車載軟件的漏洞,從而影響車輛的控制系統。這表明,雖然注重實時性的車載系統與信息系統存在不同,但在認証和通信保密等方面,車載軟件存在信息安全上的弱點。
而且,今后車載軟件系統受到攻擊的可能性還會上升。這是因為攻擊的途徑正在增加。車輛外部接口的種類越來越多,除了故障診斷功能“OBD-II”和充電控制接口之外,還包括與智能手機、平板電腦聯動的功能等。
圖1:與汽車相關的系統和威脅
本連載將分5回,對汽車為何需要信息安全、日本信息處理推進機構(IPA)開展的汽車威脅與對策分析、信息安全強化措施等進行介紹。
汽車為何需要信息安全?
在汽車上採用控制軟件等信息技術並不是新鮮事。早在1980年,就曾在ECU中嵌入了擁有大約2000行代碼的軟件。那麼,為什麼時至今日,汽車開始需要信息安全了呢?
這並不僅僅是因為開篇提到的軟件規模擴大了數千倍而已,還與汽車技術的三大趨勢有關。
第一個趨勢是,以智能手機為中心,汽車與互聯網聯動越來越普遍。智能手機與傳統手機的一大差異在於客戶可以開發應用,比較自由地向任何人提供。從簡單應用到實用類型,市面上流通的應用種類繁多。面向汽車的應用也已經出現。
問題是,在這些應用中,有一些應用的可靠性很差。黑客有可能通過其中的漏洞,以智能手機為跳板,給車載設備和車載導航儀系統造成損害,或是經由智能手機泄露車內信息,侵犯駕駛員的隱私。而且,使用智能手機意味著汽車隨時都與外部網絡連接。因此,經由外部網絡和智能手機,能夠對正在行駛的汽車發起攻擊。
除了智能手機之外,ETC(自動收費系統)、智能車鑰匙等通過無線與外部連接的功能,以及純電動汽車(EV)經由充電插頭連接車載網絡的功能也在逐漸普及。
今后,隨著汽車開始隨時隨地接入車外網絡,夸張點說,攻擊者無需靠近汽車,就可以跨越網絡攻擊全世界的汽車。即使不是隨時隨地接入網絡,用戶誤下載的智能手機惡意以應用也有可能危害到汽車。
車載設備廣泛採用通用系統
第二個趨勢是車載軟件、車載LAN對於汽車的“行駛、轉彎、停車”等基本控制功能的影響正在增大。例如汽車廠商使用通信或信息終端來提供門鎖控制、調整發動機功率、更新軟件等服務。這些功能一旦被黑客成功入侵,很容易產生重大危害。
而且,為了在降低成本的同時確保通用性,部分車載系統開始使用Linux之類的通用操作系統。汽車用戶使用起各項服務來越來越方便,但解析與攻擊操作系統的難度也隨之越來越低。
不只是操作系統,車載LAN的通用性也在提高。比如德國政府援助的項目“SEIS” (Security Embedded IP-based System),該項目正在考慮讓車載LAN採用“以太網”,並使用標准通信協議“TCP/IP”。2008年,寶馬採用以太網作為車載診斷接口之一,用來改寫軟件。
過去,以“CAN”(控制器區域網絡)為代表,車載LAN的通信方式雖然在電路層級實現了標准化,但請求指令、響應機制等具體內容大多是因企業而異的,構成了實際運用中的“障礙”。但從信息安全的角度來看,這樣的“障礙”其實是一道“防火牆”。
然而現如今,市面上已經出現了使用近距離無線通信“藍牙”、WLAN等網絡提供車載LAN通信內容的適配器。隨著越來越多的車載LAN採用互聯網標准,車內外的眾多設備和信息系統都將與汽車緊密連接。連接車載LAN越來越簡單,突破“防火牆”也就變得輕而易舉。(日經技術在線 供稿)
