2013年05月14日08:58
【相关新闻】
近年来,信息技术在汽车上的运用越来越广泛。有些汽车配备的电子控制单元(ECU:Electronic Control Unit)甚至多达100个以上,程序代码据说多达1000万行,汽车已经变成了配备大量软件的系统。
变成软件集合体的汽车,如今正面临着新的威胁(图1)。2010年,美国的研究人员发现,经由汽车内外的通信渠道可以攻击车载软件的漏洞,从而影响车辆的控制系统。这表明,虽然注重实时性的车载系统与信息系统存在不同,但在认证和通信保密等方面,车载软件存在信息安全上的弱点。
而且,今后车载软件系统受到攻击的可能性还会上升。这是因为攻击的途径正在增加。车辆外部接口的种类越来越多,除了故障诊断功能“OBD-II”和充电控制接口之外,还包括与智能手机、平板电脑联动的功能等。
图1:与汽车相关的系统和威胁
本连载将分5回,对汽车为何需要信息安全、日本信息处理推进机构(IPA)开展的汽车威胁与对策分析、信息安全强化措施等进行介绍。
汽车为何需要信息安全?
在汽车上采用控制软件等信息技术并不是新鲜事。早在1980年,就曾在ECU中嵌入了拥有大约2000行代码的软件。那么,为什么时至今日,汽车开始需要信息安全了呢?
这并不仅仅是因为开篇提到的软件规模扩大了数千倍而已,还与汽车技术的三大趋势有关。
第一个趋势是,以智能手机为中心,汽车与互联网联动越来越普遍。智能手机与传统手机的一大差异在于客户可以开发应用,比较自由地向任何人提供。从简单应用到实用类型,市面上流通的应用种类繁多。面向汽车的应用也已经出现。
问题是,在这些应用中,有一些应用的可靠性很差。黑客有可能通过其中的漏洞,以智能手机为跳板,给车载设备和车载导航仪系统造成损害,或是经由智能手机泄露车内信息,侵犯驾驶员的隐私。而且,使用智能手机意味着汽车随时都与外部网络连接。因此,经由外部网络和智能手机,能够对正在行驶的汽车发起攻击。
除了智能手机之外,ETC(自动收费系统)、智能车钥匙等通过无线与外部连接的功能,以及纯电动汽车(EV)经由充电插头连接车载网络的功能也在逐渐普及。
今后,随着汽车开始随时随地接入车外网络,夸张点说,攻击者无需靠近汽车,就可以跨越网络攻击全世界的汽车。即使不是随时随地接入网络,用户误下载的智能手机恶意以应用也有可能危害到汽车。
车载设备广泛采用通用系统
第二个趋势是车载软件、车载LAN对于汽车的“行驶、转弯、停车”等基本控制功能的影响正在增大。例如汽车厂商使用通信或信息终端来提供门锁控制、调整发动机功率、更新软件等服务。这些功能一旦被黑客成功入侵,很容易产生重大危害。
而且,为了在降低成本的同时确保通用性,部分车载系统开始使用Linux之类的通用操作系统。汽车用户使用起各项服务来越来越方便,但解析与攻击操作系统的难度也随之越来越低。
不只是操作系统,车载LAN的通用性也在提高。比如德国政府援助的项目“SEIS” (Security Embedded IP-based System),该项目正在考虑让车载LAN采用“以太网”,并使用标准通信协议“TCP/IP”。2008年,宝马采用以太网作为车载诊断接口之一,用来改写软件。
过去,以“CAN”(控制器区域网络)为代表,车载LAN的通信方式虽然在电路层级实现了标准化,但请求指令、响应机制等具体内容大多是因企业而异的,构成了实际运用中的“障碍”。但从信息安全的角度来看,这样的“障碍”其实是一道“防火墙”。
然而现如今,市面上已经出现了使用近距离无线通信“蓝牙”、WLAN等网络提供车载LAN通信内容的适配器。随着越来越多的车载LAN采用互联网标准,车内外的众多设备和信息系统都将与汽车紧密连接。连接车载LAN越来越简单,突破“防火墙”也就变得轻而易举。(日经技术在线 供稿)
