CES 2017 智能汽车“火”了，但安全威胁谁来负责？

国际消费电子产品博览会CES 2017已经结束了，吸引了十几万来自世界各地的参观者。今年恰逢大会50周年，大会亮点颇多，除了遍地开花的数码黑科技和虚拟现实（VR）以外，智能驾驶技术可谓是异军突起，亮相的智能汽车产品之多让网友戏称本届CES 2017有车展之神韵。

在本届CES上，宝马、奔驰、福特、现代、乐视等厂商都在此次展会上展出了智能汽车，从一定的程度来讲，“未来汽车”已经不再是纸上谈兵，它真正落地并开始走入我们的生活。

由于车型过多，就不一一列举了！

而伴随着技术的更迭与互联网、物联网的加入，另一个更为重要的词，今年将在各个“联网”领域都被提及——网络安全。

已经过去的2016年是汽车智能联网、无人驾驶等技术井喷式发展的一年，汽车已经不再是简单的机械设备，而是近百种ECU（电子控制单元，又称“行车电脑”）通过内部车载网络进行全面的监测和控制的“汽车”。尽管这种转变大幅提升了用户体验，同时也把安全风险带入到汽车内，使智能汽车、无人驾驶汽车等变成为了黑客攻击新的目标，。

这些安全隐患连同汽车内部系统先天缺失的安全防范会引发一系列的汽车攻击,从汽车盗窃、汽车远程劫持、甚至通过云端侵入汽车控制系统,从而导致驾驶人员受伤,甚至死亡。攻击者可能潜入电子控制单元 (ECU)，控制汽车的多项功能,包括刹车和中止发动机工作等。

车联网安全

OBD、遥控车钥匙、手机APP、车载娱乐系统关系到最表层的信息安全。这些都是汽车直接对外开放的入口，并且通过与总线通讯交换车辆数据，进一步控制车辆部分功能。如这部分入口在加密技术，设置网关隔离或者使用车载防火墙过滤方面没有做好安全防守，黑客就有了突破口，一路进入车辆控制部分的机会。

·TSP平台

TSP平台安全强调云端。大多数TSP平台使用公有云技术，云端威胁通过虚拟机逃逸到宿主机，最后到达TSP平台虚拟机获取TSP的核心接口，密钥，证书等关键信息。

·T-Box

是汽车与互联网连接的一个纽带，它可以将网络端指令解析成CAN协议，转发至CAN收发器；反过来也可以将车内数据反馈到网络服务端。表现出来的就是我们用户可以通过一个手机APP，可以反向控制汽车：开门、 启动空调、 定位车身位置等等。

T-BOX连接汽车和TSP平台信息，云平台与Tbox之间的通讯，需要考虑身份认证，访问控制，传输加密传输加密等IT防护，同时设计上形成一套整体安全防护体系，并在管理运营上持久关注。报告指出对T-BOX的保护主要防护固件被人拿走，以及保护好T-BOX的内部密钥。

·大众曝漏洞：1亿大众汽车门锁可被远程打开

使用基于射频通信的Arduino（成本约40美元），使用廉价的无线设备，虽然是一个造价约40美元的小小控制板和无线接收机，但是它们搭配在一起能够用滚动码监听和记录“无钥匙进入系统”。代码的值包括汽车车主每次按下钥匙所发送的信号，然后模仿这串信号，每辆汽车都拥有独一无二的代码值。

接下来，研究人员设法逆向在大众网络里的一个组成部分，提取出了一个密钥，这是大众数百万辆汽车共享的密钥。现在，结合这两个密钥，研究人员能够复制钥匙并且进入汽车内。

·宝马车载娱乐系统ConnectedDrive曝远程操控0day漏洞

ConnectedDrives是宝马车载信息娱乐系统，该系统可以通过移动APP来管理车辆。除了APP外，该系统还提供了配套的Web应用。

Vulnerability实验室公布了ConnectedDrive的两个Web 0day漏洞VIN会话劫持和ConnectedDrive系统WEB的XSS。

·黑客在Defcon曝光入侵特斯拉Model S车内系统全过程

研究人员凯文·马哈菲(Kevin Mahaffey)和马克·罗杰斯(Marc Rogers)的演示表明，他们能够远程对Model S车门解锁，发动汽车，将车开走。他们还能够向Model S发出一条“致死”命令，让Model S关闭系统，然后停车。在已举行的DEFCON安全大会上，他们向所有与会人士演示了如何做到这一切。

更有趣的是，根据研究表明汽车价格或豪华程度和信息安全不成正比，因为高档的汽车，里面使用的ECU的数目会比中低档的车还要多，那么这些传感器的敏感程度、之间的通信机制就会因为这些汽车收到一些干扰和影响，呈现出来的这些仪表盘还有各种其他汽车内的控件造成的负面效应还要高，对车主在驾驶中产生的一些安全影响还要更加深。

自动驾驶安全

自动驾驶会利用超声波、毫米波、激光雷达探测周围环境，根据自动驾驶的算法采取避让或者急停的措施。这些传感器原理是根据发射返回波（激光）判断前方障碍，但是发射的波（激光）并不会编码。

黑客可以发送跟汽车同周期、同频率的波（激光）干扰汽车，造成障碍物隐身等效果，或者向自动驾驶汽车发送一定频率周期的波（激光），让它误以为是四周有很多障碍存在。另外他们也会禁用雷达的整个追踪系统，让它无法发射信号或接收反射信号。让激光雷达传感器无法追踪真正的障碍物。报告认为雷达传感器的弹性设置和算法过滤会成为一种安全手段。

高清摄像头像自动驾驶汽车的眼睛，采集周围环境的图像数据，通过传感器融合对采集到的数据综合处理。黑客对目前高清摄像头的攻击方法，大多是强光致盲或者构造特殊的识别图形导致摄像头失效。报告对预防攻击的方法没有过多提及。

既然更强大的人车交互以及更为安全高效的无人驾驶成为了我们发展的趋势和必然，那我们应该用什么样的姿态迎接它的到来？及时做好准备应对可能会出现的安全问题不乏是一个好主意。