网络安全是智能汽车下一个要卷的方向?

2024年一季度,中国汽车市场延续了2023年的风格,核心就是「卷」

2023年,我国汽车市场爆发「最强价格战」,燃油车的市场空间不断被挤压,如今只剩下最后一口气。近日乘联会发布4月1-14日最新数据,新能源(智能)汽车渗透率首次突破50%,两者地位不知不觉间已经逆转

与此同时,智能汽车的技术发展可谓一日千里,各种新兴技术快速落地应用。仅一两年的时间,智能驾驶快速从高端走向了普及,AI大模型已经成功落地应用,智能座舱正在成为新车的核心竞争力,智能交互更是行业标配。

随着智能汽车继续朝着智能化、网联化发展,V2X智慧出行已经可以预见,汽车也不再只是一个交通工具,而是集出行、通信、交互、娱乐等于一体的新终端,是「互联网+」时代网络空间的延伸。

随着新能源汽车的上半场——汽车电动化逐渐结束,以「智能」为核心的下半场已经拉开帷幕。但在角逐的过程中,车联网安全问题正在凸显,并且成为横亘在车企与智能化之间的巨大阻碍

因此,我们大胆猜测,「在下半场卷的过程中,安全将会是其中一个重要方向」。未来汽车安全将不仅局限于物理安全,网络安全也将是重中之重。换句话说,也许未来智能汽车不仅仅有各种「安全碰撞」测试,还会有「网络攻击」测试,以便用户更清晰了解汽车整体安全水准。

在4月24日举办的「2024 TIME DAY·腾讯智慧出行技术开放日」活动,听完来自国内外的行业领袖、大咖、知名人物的分享,这一趋势似乎越发清晰起来。

接下来,我们将从用户侧、车企侧和全球法规三个方面进行探讨。

一、用户苦智能汽车隐私泄露久矣

为了更好地提供智能化服务,智能汽车收集的信息数据量和隐私远比传统汽车要多得多,包括车主行驶轨迹、兴趣、面部数据、照片、音频等等。与之对应的是隐私泄露事件屡屡发生,据不完全统计,2023年至今,国内共发生了超过20起与车企相关的数据泄露事件,每一次都在社交平台上引发大量的关注度。

2024年4月,「某车企车内摄像头泄露女车主不雅照」新闻引发用户的大量讨论。虽然该车企在当日凌晨紧急发布声明称,车主群和社交媒体中散播的所谓「车内摄像头拍摄照片泄露」是谣言,并表示会「始终保护好用户隐私及信息安全」。

但是这并没有打消用户的担忧,也没有平息该隐私泄露事件所带来的热度及影响,对于车企品牌和声誉造成了难以挽回的巨大损失

智能汽车代表品牌特斯拉也曾深陷用户隐私泄露的陷阱之中。例如在2021年,一名黑客成功提取到特斯拉车内摄像头的拍摄画面,视频清晰地记录了驾乘人员的动作和姿态,甚至能在夜晚光线不佳的情况下捕捉驾驶员的面部特征。在2023年,有报道指出,特斯拉员工在过去几年中通过内部消息系统私下分享了众多客户车载摄像头记录的高度私密视频和图像,进一步加剧了公众对智能汽车隐私安全的担忧。

统计数据显示,2023年1~9月,我国新车摄像头安装量高达4817.2万辆,同比增长了34.1%;其中用户车内隐私空间的舱内摄像头数量超过200万颗,同比增长超过90%。由于车内是一个比较私密的环境,用户有着强烈的隐私保护诉求,而这些不断增加的车内摄像头,虽然目的是为了提升用户智能化体验,但也如同一双双透视用户隐私的「眼睛」,让车主们苦不堪言。

随着公众隐私保护意识进一步觉醒,隐私安全将成为用户购买智能汽车的决策因素,也将成为车企竞争的焦点之一

二、智能汽车厂商越来越重视网络安全

和传统车企不同的是,智能汽车已经来到软件定义车辆的时代。随着新能源车智能化程度不断提升,软件与硬件之间的界限日渐模糊,网络安全风险正在急剧增长,攻击者的动机转向利益,并将会给生态系统中的各方造成潜在且重大的影响。

根据工信部车联网动态监测情况显示,2020年以来发现的针对整车企业、车联网信息服务提供商等相关企业的恶意攻击达到280余万次。之所以智能汽车产业出现如此严峻的网络威胁态势,是因为近两年来该产业借助政策的东风和市场的催化,发展速度迅速导致。

正因为如此,智能汽车厂商们对于网络安全的重视程度也越来越高。但在产业高速发展的过程中,车企一方面在网络安全尤其是很多基础安全建设出现了明显的滞后性;另一方面面临的威胁态势明显增加,其中既包括车企软件供应链分支不断增加、链路不断拉长;也包括人员、应用、充电桩等快速增长,智能汽车暴露的攻击面飞速增长。一增一减之间,车企迫切需要补足安全这块短板。

1. 黑客攻击、网络攻击的威胁越来越严峻,无接触攻击已经成为现实。

自2015 年,两名安全研究人员披露了针对车联网的攻击,《连线》杂志的一名记者在美国的高速公路上以每小时 70 英里的速度驾驶这辆车时,他们远程控制了一辆吉普切诺基并关停了其引擎。

自此之后,特斯拉 Model S 、 Model X 都曾多次被黑客攻破。2022年,媒体还披露了一种中继攻击的方式,针对无钥匙进入系统使用的蓝牙低功耗(BLE),攻击者只需在车主手机(密钥卡)及车辆附近架上设备,就能伪装成车主打开车门、开走车辆。用到的技术软件和硬件加起来的成本,也就1000块左右,在网上都能买到,主流的Model 3或Model Y都在被攻击之列。

在2024年1月举办的Pwn2Own Automotive大赛,大量参赛选手现场展示如何攻破智能汽车系统。尤其是Synacktiv团队,两次成功攻击特斯拉汽车,获得root权限,并演示了特斯拉信息娱乐系统中的沙箱逃逸,赢得了45万美元现金。

针对现阶段越来越严峻的网络攻击,腾讯云安全高级经理曾杰在访谈中表示,腾讯科恩实验室早在2016年就已经实现了远程破解智能汽车,包括主流汽车品牌特斯拉、宝马、奔驰等。值得一提的是,黑客对智能汽车发起攻击已经从简单的行为进化为系统性攻击链,其危害性与影响范围将远超车企和用户的想象。

为此,腾讯安全打造了以智能网联安全体系建设为基础,覆盖安全治理、防护、监测和运营,端云一体化的网联安全体系,对整车网联架构实施风险评估,识别潜在安全风险,提出相应安全需求以及设计规范,保障智能汽车整体安全。

2、智能汽车收集与产生的数据越来越多,数据安全压力越来越大。

智能汽车从交付给用户的那一刻就开始不断收集各类信息和数据。伴随着下半场竞争的开启,作为「智能」的燃料,汽车作为智能终端所产生的数据成指数级增长态势。

例如爆炸式增长的智能汽车应用会产生大量的数据,而车与车、车与人、车与道路、车与云端等之间交互和通信也涉及数据采集与流转。根据Precedence Research发布的数据,全球汽车数据市场规模将从2022年的21.9亿美元增长到2032年的142.9亿美元,收集的数据类型很多,包括:

自动驾驶:涵盖从L1到L5各级别的数据,包括从安装在车辆上的多个传感器收集的数据。

基础设施:包括远程监控、OTA更新以及由控制中心远程控制的数据,还有V2X和交通模式。

信息娱乐:涉及客户如何使用应用程序的信息,例如语音控制、手势、地图和停车等。

互联信息:包括支付给第三方停车应用程序、事故信息、来自行车记录仪、手持设备、移动应用程序和驾驶员行为监控的数据。

车辆健康:维修和保养记录、保险承保、油耗和远程信息处理等。

据权威机构推测,未来10年,每辆车的存储空间将膨胀到2TB以上,因为有些数据必须保留几个月甚至几年。作为仅次于智能手机的第二大终端,汽车的智能化发展离不开大量数据的支撑,也面临这极高的数据安全风险。

腾讯数据安全产品负责人李滨在访谈中指出,智能汽车数据流转全链路较为复杂,涉及的数据种类多、数据量大、数据处理链条长、数据主体多等特点,导致其数据安全保护工作复杂、难度大。

基于智能汽车时代数据安全的复杂性,腾讯携手合作伙伴打造自动驾驶云平台,引入腾讯自动驾驶云合规服务,在采集、上传、处理与应用等阶段全生命周期保障数据安全,满足对自动驾驶研发过程中的合规要求。

3、复杂的供应链风险与漏洞治理。

智能汽车开发过程中,车辆硬件和软件集成正在脱钩,导致供应链既分散又复杂,而OEM处于系统集成的中心,面临的软件供应链安全风险急剧升高。

尽管OEM可以通过软件物料清单(SBOM)来提高软件供应链的透明度和可追溯性,以便更快解决供应链安全和漏洞治理的问题。但由于智能汽车OTA更新十分频繁,导致SBOM处于动态变化之中,增加了OEM对于风险的管控与响应。

此外,车联网并非仅仅指车辆本身,智能汽车供应链安全还涉及第三方智能出现应用、充电基础设施、云平台等多个方面,进一步增加了软件供应链潜在的安全风险,以及可能暴露在互联网上的安全漏洞。通过利用与SBOM相关的漏洞,攻击者可以获得对整个车辆的关键功能和控制机制进行未经授权的访问,从而对车辆的网络安全态势构成重大威胁。

还需强调的是,作为连接软件供应链的重要角色,API安全也是攻击者发起大规模攻击的突破口。依靠各种各样的API接口,智能汽车能够加载的应用与服务越来越多,从OEM移动应用、娱乐信息系统、经销商系统、售后市场移动物联网设备,到电动车充电管理和计费应用,都严重依赖API来实现核心功能。越来越多且调用频繁的API安全也在这个过程中不断累积。

与之相对应的是,OEM缺乏对智能汽车软件供应链安全和漏洞治理的有效措施,例如:

a.及时、主动识别并解决软件和硬件组件中的漏洞;

b.持续评估和管理软件供应链风险,确保组件的完整性和安全性;

c.快速检测网络安全风险和攻击,并提供有效的响应和缓解措施。

对于复杂的软件供应链管理和漏洞治理问题,腾讯零信任产品负责人刘登峰在访谈中指出,车企在构建安全防护体系时最容易出现问题的点往往是端点侧、云侧和车机侧,通过零信任的理念和框架或许可以解决这些问题。

第一、不论是车企员工还是第三方供应链,在车企内部进行应用访问、接入时需要考虑整体终端安全、通道安全、链路安全、应用安全等;

第二、针对车企接入过程中,需要考虑到软件供应链层面,实现软件开发安全左移的问题。

通过构建端到端的访问控制体系、数据保护以及安全左移,可以将车企面临的常见的安全问题闭环。

三、智能汽车安全测试基础已经具备

综上所述,在面临上述网络攻击威胁、数据安全与合规、复杂的漏洞供应链安全与漏洞治理等多个问题时,OEM似乎并没有做好十足的准备,从而导致相关安全事件屡屡发生。

据Upstream发布的报告,针对OEM及其生态系统的攻击正在迅速增加,不断引入新的攻击向量和方法,即便OEM不断提高网络安全保护等级,却依旧捉襟见肘。在2019年至2023年间,公开网络(媒体)披露的OEM安全事件平均增幅超过50%,2023年达到惊人的数百起。

而据中汽数据,CFID漏洞库截至2022年底共收录了2945个安全漏洞,共涉及车型1000多个,涵盖了车载硬件、软件、网络、服务等多个方面,涉及到车辆控制系统、信息娱乐系统、远程控制系统、车联网平台等多个模块。

由此看来,智能汽车在网络安全领域的卷才刚刚开始。全球不断演变、完善的智能汽车网络安全法规,也在推动产业加快「卷安全」的步伐。事实上,为了更好地应对智能网联汽车所面临的网络安全威胁,我国在《网络安全法》《数据安全法》等上位法的基础上,陆续出台了多个智能网联汽车网络安全政策、法律和法规以及行业标准。

例如2022 年 3 月,工信部发布《车联网网络安全和数据安全标准体系建设指南》,提出到 2023 年底,初步构建起车联网网络安全和数据安全标准体系,到 2025 年,形成较为完善的车联网网络安全和数据安全标准体系。

另外,我国还陆续发布了《汽车数据安全管理若干规定》《信息安全技术汽车数据处理安全要求》《汽车信息安全通用技术要求》《整车信息安全技术要求》等法规和标准,逐渐形成了智能汽车的安全框架。

全球其他国家也不断颁布相应的网络安全法规。例如2023年11月,印度提出了一项名为「CyberShield」的强制性车辆制造商安全框架。该计划得到了道路运输部长的支持,旨在加强车辆系统对网络漏洞的防护,扩展到电动车充电站的保护。

2023年8月,加利福尼亚隐私保护局(CPPA)启动了一个执法倡议,以审查通过内置应用、传感器和摄像头收集的连接车辆的大量数据。CPPA旨在确保原始设备制造商(OEM)的透明度,保护消费者数据权利。

四、给智能汽车打个分?

越来越完善的网络安全政策法规体系给智能汽车产业发展打下了坚实的基础,也让给智能汽车安全打分这件事情有了底层逻辑支撑。那么究竟该如何进行风险评估与安全等级确定呢?

腾讯云安全高级经理曾杰表示,目前腾讯已经具备给智能汽车打分的基础。腾讯安全已经实现,在云端通过不同的产品模块,对全链路进行整体防控,在防控的过程中就可以对智能汽车整体安全进行打分。

例如可通过云端部署Web应用防火墙,对业内常见的威胁情报进行梳理和评分,只要车企启用云安全控制中心,自然也可以对资产进行梳理,同时对现有的安全情况进行评分。在车端也是如此,甚至还可以对开发环境进行评分。

换句话说,仅从技术角度出发,依托腾讯安全庞大的威胁情报体系,像「碰撞测试」那样给智能汽车网络安全打分已经可以实现,缺的无非是更官方的第三方评测机构以及国家出台一些行业法规和标准。

总的来说,从用户侧来看,对于隐私泄露的忍耐度越来越低,如同智能手机一般,隐私保护将成为新的卖点;从车企侧来看,无接触网络攻击控制车辆早已实现,数据合规压力越来越大,暴露在互联网上的攻击面不断扩大,快速提升智能汽车网络安全能力等级已经刻不容缓;从政策法规侧来看,数据安全、车辆网络安全法规不断完善,合规要求朝着更严格的方向发展已经是不可逆的趋势。

新能源车智能化的下半场已经拉开帷幕,「安全将会是其中一个重要方向」。那么在网络安全领域,智能汽车厂商们又该如何「卷」飞同行?完全依靠车企自身显然不合算,找到一家网安行业的「博世」,让专业的人来做专业的事,无疑是一个更好的选择。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/319201.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【前端】VUE项目创建

在所需文件夹中打开cmd命令行窗口,输入vue ui 进入web可视化界面选择创建新项目 根据需求依次完成下列选择,下列是参考配置,完成后点击创建项目即可 最终显示完成

CUDA和显卡驱动

1.安装显卡驱动 https://www.nvidia.com/download/index.aspx?langen-us 由于我的显卡是RTX4060,因此先选择RTX40系列,然后选择RTX4060,进行安装 2.查看显卡对应的CUDA CUDA安装地址:https://developer.nvidia.com/cuda-toolk…

应用分层和企业规范

目录 一、应用分层 1、介绍 (1)为什么需要应用分层? (2)如何分层?(三层架构) MVC 和 三层架构的区别和联系 高内聚: 低耦合: 2、代码重构 controlle…

【 书生·浦语大模型实战营】学习笔记(六):Lagent AgentLego 智能体应用搭建

🎉AI学习星球推荐: GoAI的学习社区 知识星球是一个致力于提供《机器学习 | 深度学习 | CV | NLP | 大模型 | 多模态 | AIGC 》各个最新AI方向综述、论文等成体系的学习资料,配有全面而有深度的专栏内容,包括不限于 前沿论文解读、…

相机知识的补充

一:镜头 1.1MP的概念 相机中MP的意思是指百万像素。MP是mega pixel的缩写。mega意为一百万,mega pixel 指意为100万像素。“像素”是相机感光器件上的感光最小单位。就像是光学相机的感光胶片的银粒一样,记忆在数码相机的“胶片”&#xff…

spring boot运行过程中动态加载Controller

1.被加载的jar代码 package com.dl;import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication;SpringBootApplication public class App {public static void main(String[] args) {SpringApplication.run(A…

C++函数模板

简介:C函数模板的作用就是按照程序员的要求生成想要的函数对象。本质上是一种函数声明,在程序运行时依靠指定的参数类型由编译器临时生成函数对象。 1、auto自动类型推导 auto关键字可以取代变量声明时的函数类型,其实实际上会由编译器帮你把…

智能私信神器,转化率飙升的秘密!

在当今信息爆炸的时代,企业和商家面临着巨大的竞争压力,如何有效地吸引潜在客户、提高客户转化率成为摆在每一位市场营销人员面前的难题。随着人工智能技术的不断发展,智能私信软件应运而生,为企业提供了一个高效、便捷的解决方案…

前端发起网络请求的几种常见方式(XMLHttpRequest、FetchApi、jQueryAjax、Axios)

摘要 前端发起网络请求的几种常见方式包括: XMLHttpRequest (XHR): 这是最传统和最常见的方式之一。它允许客户端与服务器进行异步通信。XHR API 提供了一个在后台发送 HTTP 请求和接收响应的机制,使得页面能够在不刷新的情况下更新部分内容…

HSDB使用教程

HSDB:Hostspot Debugger,JVM内置的工具,用于深入分析JVM运行时的内部状态 启动HSDB java -cp D:/tools/jdk-1.8/lib/sa-jdi.jar sun.jvm.hotspot.HSDB 获取进程id jps 连接到指定进程 查找类 通过查询查找对象 输入查询语句 select d from …

扫雷实现详解【递归展开+首次必展开+标记雷+取消标记雷】

扫雷 一.扫雷设计思路二.扫雷代码逐步实现1.创建游戏菜单2.初始化棋盘3.打印棋盘4.随机布置雷5.统计周围雷的个数6.递归展开棋盘7.标记雷8.删除雷的标记9.保证第一次排雷的安全性棋盘必定展开10.排查雷11.判断输赢 三.扫雷总代码四.截图 一.扫雷设计思路 1.创建游戏菜单。  2.…

Vue入门到关门之Vue项目工程化

一、创建Vue项目 1、安装node环境 官网下载,无脑下一步,注意别放c盘就行 Node.js — Run JavaScript Everywhere (nodejs.org) 需要两个命令 npm---->pipnode—>python 装完检查一下,hello world检测,退出crtlc 2、搭建vu…

SwiftUI 5.0(iOS 17.0,macOS 14.0+)新 Inspector 辅助视图之趣味漫谈

概览 在 SwiftUI 开发中,苹果为我们提供了多种辅助视图用来显示额外信息从而极大丰富了应用的表现力,比如:Alert、Sheet、ContextMenu 等等。 从 SwiftUI 5.0(iOS 17+)开始, 又增加了一种全新的辅助视图:Inspector。 在本篇博文中,您将学到如下内容: 概览1. Inspe…

LangChain入门:24.通过Baby AGI实现自动生成和执行任务

随着 ChatGPT 的崭露头角,我们迎来了一种新型的代理——Autonomous Agents(自治代理或自主代理)。 这些代理的设计初衷就是能够独立地执行任务,并持续地追求长期目标。 在 LangChain 的代理、工具和记忆这些组件的支持下,它们能够在无需外部干预的情况下自主运行,这在真…

1-手工sql注入(基础篇)

关于靶场: 本章使用的靶场是pikachu和dvwa:针对于pikachu靶场上的sql注入pikachu和dvwa靶场下载地址:GitHub - digininja/DVWA: Damn Vulnerable Web Application (DVWA)GitHub - zhuifengshaonianhanlu/pikachu: 一个好玩的Web安全-漏洞测试平台 一. sq…

QT中基于TCP的网络通信

QT中基于TCP的网络通信 QTcpServer公共成员函数信号 QTcpSocket公共成员函数信号 通信流程服务器端通信流程代码 客户端通信流程代码 多线程网络通信SendFileClientSendFileServer 使用Qt提供的类进行基于TCP的套接字通信需要用到两个类: QTcpServer:服…

yolo系列目标分类模型训练结果查看

常用指标: 准确率(Accuracy) Accuracy (TP TN) / (TP TN FP FN) 正确预测的样本数占总样本数的比例。精确率(Precision) Precision TP / (TP FP) 在所有预测为正的样本中,真正的正样本所占的比例。召…

安装vscode基础配置,es6基础语法,

https://code.visualstudio.com/ es6 定义变量 const声明常量(只读变量) // 1、声明之后不允许改变 const PI “3.1415926” PI 3 // TypeError: Assignment to constant variable. // 2、一但声明必须初始化,否则会报错 const MY_AGE /…

Word文件后缀

Word文件后缀 .docx文件为Microsoft Word文档后缀名,基于XML文件格式 .dotm为Word启用了宏的模板 .dotx为Word模板 .doc为Word97-2003文档,二进制文件格式 参考链接 Word、Excel 和 PowerPoint 的文件格式参考 Learn Microsoft

专项技能训练五《云计算网络技术与应用》实训7-1:安装mininet

文章目录 mininet安装1. 按6-1教程安装opendaylight控制器。2. 按6-2教程安装RYU控制器。3. 按5-1教程安装openvswitch虚拟交换机并开启服务。4. 将老师所给mininet安装包试用winSCP传送至电脑端。5. 安装net-tools。6. 安装mininet7. 安装完成后,使用命令建立拓扑&…