因爲谷歌的Android Auto的開發接口的強勢,GM通用汽車公司將放棄本身的開發接口,採用谷歌style。國內移動互聯網公司開始和汽車製造廠商合做開發自有品牌的智能汽車;私家車主開始經過租車公司把車子出租出去,將會引起大量的和汽車有關的手機應用的井噴。車聯網市場在2014年硝煙瀰漫,智能汽車安全也隨着幾個安全會議成爲熱點。web
那些年我用過的手機數據庫
你必定聽過很多人把汽車比做跑着4個輪子上的手機。好,那我就講講手機,順便追憶一下97年到如今那些年我用過的手機。安全
諾基亞8810 90年代末經典機型服務器
猜猜96年電信局這款手機的價格? 當時個人工資是每月800元,外加天天上班單程1個半小時(倒三趟公共汽車)。諾基亞8810的價格是10000元,沒錯!我一年的工資,並且只是手機費用,不包括入網費,每個月電話費。那時候的諾基亞公司真是如日中天。99年延續了經典滑蓋機型,推出8860,超級經典機型:機身銀色,體積小,99年售價6000元,至關於當時研究生畢業一個月工資。網絡
到米國後,使用的手機就一落千丈,這些就是曾經用過的手機,免費送的,外帶一年合同,還有好幾個丟了。我曾用圖中第一個手機,那個三星的,幫室友打開了米國市場,每週開車在東部幾個州來回穿梭,讓他大賺了幾年,到如今他的客戶基本都是那時候跑出來的。
ide
言歸正傳,這些手機很是安全,基本沒有隱身泄露問題,但我還會再用他們嗎?不會的!佈局
由於如今的手機很智能,我沒法回到過去,儘管它不安全。此外,不是還有手機安全公司的殺毒軟件的防禦嗎(遠處傳來陰冷的笑聲)……同理,15年前的夏利車也很安全,你也不會買這樣的車,由於安全永遠不是用戶購買的第一因素,除了杜蕾斯以外。
測試
汽車安全市場剛剛起步加密
目前國內幾個互聯網公司紛紛開始造車,那麼,如今汽車安全有哪些公司在作?產品形態又是什麼?很遺憾,汽車安全在中美兩地基本是空白,大的安全廠商尚未開始佈局。spa
具體請參看一下360和互聯網實驗室寫的調研報告. 車聯網安全市場必定會起來,就像手機安全同樣,用戶要用,黑客能夠攻擊汽車,安全市場必定會在那裏。
智能汽車安全調研報告.pdf
關於OBD攻擊及防護
這篇文章百分之百原創,因此請容許我寫一點技術+軟文。這篇文章不講特斯拉,它是小衆市場,作產品要先面對絕大多數的中低端汽車市場。目前的針對汽車攻擊基本是經過OBD攻擊和無線鑰匙攻擊,好比上個月中國互聯網安全大會對奔馳的開車門攻擊。下面是咱們的防禦視頻組。第一個視頻時針對目前OBD端口攻擊的實時防禦,而且第一時間通知車主手機。這種方式原理上能夠搞定全部基於OBD的攻擊方法。
視頻組地址 http://visualthreat.com/videos.action
視頻前半部分是對汽車的攻擊,後半部分是選擇車型,而後動態從雲端或者手機端更新特徵庫到防火牆,發現攻擊後把警報發送到手機端。
第二個,第三個視頻時針對汽車偷盜的攻擊。儘管你不經過OBD方式攻擊,最後破壞的手段無非就是開車門,後備箱等這幾個地方,咱們的解決方案用防火牆聆聽汽車內部的數據流,一旦發現諸若有車門打開,發動機啓動的事件,結合車主所在的狀態,來決定是不是偷竊等攻擊行爲,給車主第一時間報警。市場上也有OBD防盜器的產品。不一樣的是,咱們基於移動安全自動化平臺,更注重汽車數據處理和後續阻斷動做。咱們正在開發智能安全硬件,附帶10幾種汽車不一樣的智能交互情景模式。基於此,在防火牆這種冰冷的底層保護基礎上增長了定製的泛安全汽車智能交互功能。防禦技術創建在OBD端口上,儘管有不一樣的聲音,我認爲因爲不一樣的緣由OBD將來幾年不會消失,並且OBD端口自然就像傳統網絡設備上的端口,能夠監聽各類的數據流,是作車聯網安全產品最好的陣地。
另外一方面,目前車聯網OBD產品和汽車移動應用安全情況如何呢?2014年9月,咱們也完成了第一份對車聯網相關產品的調研:研究了國內外19家OBD產品,共享租車服務模式和上百個車聯網移動應用(報告裏50多個,手續咱們又增長了近百個)的安全情況。這裏的OBD產品英文叫OBDdongle,包括OBD行車記錄儀,汽車油耗剎車等數據採集,診斷盒子等等。對每款OBD產品設備,研究人員分析其通訊方式,協議加密強度,內部工做機制,可能的被攻擊方式等;對車聯網應用則分析其安全漏洞。這份報告是到目前爲止第一份針對車聯網OBD產品和汽車應用安全的研究報告。報告研究代表,缺乏私有加密協議而採用保護性差的開放通用協議是OBD盒子最廣泛的安全問題;而代碼沒有采用反逆向措施和用戶數據泄露是汽車應用最多見的安全問題和潛在風險。註明:相關產品都是匿名的,並且有幾款產品的詳細分析細節沒有錄入報告中,有興趣者線下討論。
附2014年車聯網OBD產品和汽車應用安全研究報告
因爲缺乏規範的安全監管標準和流程,許多廠商不能對其硬件或者應用軟件執行必要的安全性測試,結果致使車聯網移動應用中的漏洞會在不知不覺的狀況下被黑客利用,將駕駛者置於風險之中。咱們的研究發現:很多OBD2硬件盒子和相應的手機應用存在着嚴重的安全漏洞隱患。另外一方面,智能汽車中的多達近百個ECU控制器天天傳輸的數據高達百兆。車主的隱私保護隨着這些數據信息產生成爲了一個重要的問題。車主最關心的問題是:「個人我的隱私和從個人汽車中收集到私有信息是否已經在我未知情的狀況下被其它人獲取並利用了?」事實上,衆多的汽車移動應用徹底能夠經過OBD2接口利用藍牙、無線或3 g/ 4 g網絡收集用戶的我的隱私信息甚至發送危險指令來控制汽車甚至劫持汽車。相關的汽車隱私的法規正在制定或者已經出臺。
50%被調研的OBD產品有通訊安全隱患或者甚至被利用來控制汽車
OBD盒子經過不一樣的方法將汽車數據傳送出去:直接使用開放協議,本身定製私有協議,或者經過雲或者電信運營商和手機通訊。若是通訊協議未進行保護或者保護方法太簡單,惡意應用能夠輕易破解協議並僞造數據包經過OBD端口向汽車發送控制指令。咱們發現目前市場上有近一半的OBD硬件產品有嚴重的安全漏洞隱患,甚至在一家OBD設備被破解以後,無需或者稍做修改就能夠對另外一家OBD產品作一樣的攻擊。這些隱患表如今通訊加密強度低,密鑰暴露,可僞造通訊流程等。
私人車輛出租服務安全漏洞嚴重
租車公司的服務體系安全漏洞嚴重,應用,通訊方式,服務器端沒有進行必要的安全防禦。薄弱的用戶認證機制,通訊過程被僞造,甚至用戶數據庫會被破解脫庫。這些安全隱患會形成我的車輛被盜用,車主我的信息,支付信息的丟失,將對這種服務模式產生嚴重的不信任感。
汽車應用對車主安全駕駛的干擾
《紐約時報》的調研代表,若是駕駛員的視線離開高速路況時間超過2秒,會嚴重干擾對車前176英尺的安全駕駛的判斷。那這兩秒鐘駕駛員在看什麼?新一代的智能汽車內部集成技術,好比車載娛樂系統,駕駛員輔助系統,HUD投影技術,GPS路況更新等等的出現,讓車主應接不暇。因此他們必須把視線停留在這些控制界面上,花的時間比以往任什麼時候候都要多。如何對駕駛者對手機應用過多的互動行爲進行預警也是本報告的一個調研範疇。目前對用戶在開車過多使用手機進行預警的應用很少,有的在用戶在開車時強制關閉短信,電話等服務,這樣用戶體驗很差。有的只是作超速提醒。車主但願能更人性化智能化的手機應用幫助他們安全駕駛。
市場迫切須要一個把OBD端口,車載系統,汽車應用商店安全審計,車聯網產品安全滲透測試整合到一塊兒的全面的安全解決方案,並能知足不一樣車主不一樣的安全防要求。同時,相關車聯網產品廠商須要對本身的軟硬件產品作深度安全測試,確保不被黑客利用把攻擊帶入到車裏。
轉載請註明來自:淘客客/taokk.com.cn
