汽车网络的安全防护在黑客面前都是战五渣

汽车网络安全不能适用“人多势众”这种说法，而且刚好相反，其主要理由有二：首先，当连网车辆的数量飙升，对于黑客的吸引力也越大，因为这代表者潜在受害者族群更大；其次，每辆车的资通讯系统软硬件内容不段增加，意味着对黑客来说有更多能攻击的潜在弱点。

今日的汽车内部动辄有上亿行软件程序代码、60个控制单元，这大部份是因为车厂持续为产品增添安全、娱乐、导航、自动驾驶等功能，其他理由包括有越来越多车队资通讯工具选项出现、其使用率也越来越高，许多货运业者、出租车行等利用以管理监测旗下车辆的绩效、驾驶行为以及货物状况。

随着车厂与售后市场供应商开发更多应用，每辆车子的软件程序代码数量也将会持续呈倍数成长；每一行程序代码都是一个可能被黑客利用的潜在机会，就算程序开发者也一直在努力除错、想尽办法在黑客之前找出那些弱点。最近有一个案例是，车厂Fiat Chrysler因为软件漏洞而召回130万辆小画卡，该漏洞会导致事故发生时侧边安全气囊不作用、安全带也不会收紧，而且已经造成至少1人死亡、2人受伤的惨剧。

想象一下，如果是黑客先发现了该软件程序代码漏洞而且开始利用，例如在货卡行驶于高速时触发安全气囊，甚至是让某特定物流公司的一整队相同型号小货卡车队都遭遇相同情况…或是黑客利用其他程序代码对车辆传动系统实施勒索软件攻击，要求该种货卡的车主或车队经营者支付赎金，才能让车子再度发动…

这类场景并不是假设；举例来说，在一个针对Ford Escape休旅车以及Toyota Prius混合动力车辆的概念验证中，黑客成功在远程让剎车失效，并掌控方向盘，而且这已经是四年前的事了。从那时候到现在，市面上的车辆又添加了更多资通讯软硬件，也创造了更多潜在的漏洞。

汽车网络安全面临的挑战与攻击向量并非新鲜事，而是PC、服务器以及其他传统IT系统曾经历过的遭遇之翻版。以前面提到的勒索软件为例，这种攻击方式在十几年前就出现过，所以现在许多企业组织应该已经很擅长因应；但实际上，工作场所的勒索软件攻击仍然猖獗而且不断增加，主要是因为IT部门呈现扁平化发展。

以PC为例，这些设备通常没有时间去下载修补程序或更新Windows等基础平台，更别说是其他应用程序如浏览器、PDF阅读器等；修补程序与软件更新一旦未执行，就会为勒索软件以及其他各种黑客攻击制造机会。无怪乎根据HPE (Hewlett Packard Enterprise)的调查，前十大软件攻击漏洞都有超过一年以上的历史，而且68%超过三年。

如果这还不够，现在的IT部门也需要支持越来越多额外的新科技，例如数字广告牌等影音设备，以及智能大楼管理应用的物联网设备；影音与物联网设备跟PC、服务器一样，也需要软件更新、下载修补程序以因应黑客攻击，而问题在于IT部门对PC/服务器的经验更广泛，还在学习如何维护影音与务联网系统、了解它们的弱点所在。

车队基本上就是这种情况的现在进行式。在车队总部，会有某个部门──大概就是IT部门──需要负责开发并强化车辆网络安全政策；为妥善达成任务，他们首先得了解攻击向量并开始无止尽地下载修补程序与软件更新，以因应那些黑客攻击。这需要大量时间、人力以及金钱，就像是维护影音与物联网设备那样。

上图：美国橡树岭国家实验室(ORNL)旗下的国家交通研究中心(NTRC)内部的车用传动系统动力计，能测试不同载重与路况下的货柜联结车引擎系统。

这将使得某些方面失去控制，特别是在供应商的支持上；举例来说，许多货运业者传统上每3~5年会出售或交易一批车辆，因为保修期与维修方式的成本上升，但因为景气周期性因素(包括现在)，市面上有越来越多二手卡车，迫使车队老板不得不把车辆保留更多年。

车辆的年份越老，车上的资通讯系统供应商就越不太可能愿意为那些较旧的产品提供修补程序与软件更新，有一些供应商甚至已经结束营业或被收购，除非有其他厂商接手提供支持，车队老板就得搞清楚该如何自己确保这些“孤儿”的安全性。这种情况对于很多CIO或IT部门经理应该都很熟悉，他们也会遇到那种已经5年甚至10年的设备，供应商早就不见了、被收购了，或是停止支持旧产品。

以上只是车队遇到的情况，私家车面临的安全漏洞问题更严重；看看消费者家里的PC就知道，因为很多人不知道定期下载修补程序与软件更新的重要性，受到恶意软件威胁可说是家常便饭。有鉴于此，试想该如何教育消费者们为连网汽车程序修补与更新软件？在一辆车子上会有60个控制单元具备固件与软件。

不断扩大的风险

为了触及最广大的潜在市场，车用资通讯系统硬件需要平价，车厂与企业客户会在考虑为车辆添加这类设备时，对每一分钱斤斤计较。这种情况也会带来网络安全风险；举例来说，“低成本”往往意味着执行核心任务刚好足够的处理性能以及内存容量，而对于处理安全性问题已经没有太多、甚至没有空间。

那些车用资通讯设备对于使用它们的车辆本身或是所链接的企业网络，都可能有“后门”；黑客通常会寻找阻力最小的攻击途径，因此如果企业的防火墙或是其他网络安全设备看起来很“硬”，黑客就会把焦点转移到受到较少保护的系统上──而在这个案例中就是企业的车队。解决方案之一是确保来自那些车用资通讯设备的馈入数据是透过安全设备路由。

还有一个问题是黑客的终极目标，也许跟车用资通讯系统完全无关，例如是储存产品开发信息或员工个资的公司服务器；在这种案例中，车用资通讯系统只是一个达到目标的手段。不过也有以车用资通讯系统数据为目标的案例，黑客可能会想知道货运路线，以劫持货车运送的高价值货品。

美国橡树岭国家实验室(ORNL)旗下的国家交通研究中心(NTRC)的底盘动力计设备，能在受控制的环境中测试载客车辆。

另一个情况牵涉新兴的车对车通讯(V2V)，这种技术让邻近的车辆能彼此沟通以避免碰撞；根据市场研究机构Juniper Research预测，到2022年全球市场将会有一半以上的新车都配备V2V功能，这大概是3,500万辆、占据整个汽车市场的2.7%，对于某些黑客来说会是很有吸引力的攻击目标。

潜在的攻击向量之一，是让少数几辆配备V2V的车子感染恶意软件，然后利用这些感染车辆来散播恶意软件到每一辆与它们通讯的车辆；还记得我们前面提到的，消费者往往对于自家车子上的资通讯娱乐系统漠不关心？这些车子就会是黑客首先攻击的明显目标。

根据Juniper的研究：“为了让V2V成功，厂商的设备必须要包括蜂巢式连结以提供空中下载(OTA)固件更新；”这种策略具备潜在优点与缺点──如果车厂或第三方供应商自动推送软件更新，将之列为维修服务合约的一部份、而不是让车队老板们或消费者自己下载，就可能提升安全性；但是，如果黑客在空中拦截修补程序与软件更新，就能用以发现漏洞所在。

大约在十年前(2008年)，美国卡内基美隆大学(Carnegie Mellon University)教授的团队证实了从软件修补程序来自动产生攻击点的方法，在一篇已发表的研究中，那些攻击漏洞的平均生成时间为114.6秒，而最短的时间只要1.2秒。

以上是几个汽车网络攻击会如何、为何以及在何处发生的案例，除了经过设计的车辆系统安全性是车厂必须提供的，还有其他能减少“攻击表面”(也就是车辆受攻击之途径)的工作要做；例如定期保养能确保车子内的软件是最新状态，并在修补程序或是召回事件发布时实时通知。美国国家高速公路交通安全管理局(NHTSA)负责维护一个网站，可供车主注册数据，在车厂宣布召回车辆时收到通知信息。

编译：Judith Cheng

编按：本文作者为IEEE Transportation Electrification Community讲师、美国橡树岭国家实验室的运算科学与工程部门网络安全研究首席科学家，也是该实验室的能源传输系统网络安全项目经理、车辆安全中心主任

本文授权编译自EE Times，版权所有，谢绝转载

关注最前沿的电子设计资讯，请关注“电子工程专辑微信公众号”。