작가는 사상이 매우 있다
π
도요타의' 브레이크문' 과 고전의' 에어백문' ... 전통 자동차는 품질 문제로 대규모로 리콜되었고, 심지어 일부 부품 회사들은 이미 파산했다. 하지만 자동차 지능 시대가 도래함에 따라 자동차 소프트웨어 허점으로 인한 해커 공격은 사회자산이나 인신안전을 직접적으로 위협하는 새로운 위협이 될 것으로 보인다. 대부분의 사람들에게는 위언이 될 것 같지만, 과거에 알려지지 않았던 사건들이 드러나면서 점점 더 심각해지는 현실이 우리 앞에서 전개되고 있다. (윌리엄 셰익스피어, 템페스트, 희망명언)
20 19 1 1 월, 360? SKY-GO 보안 연구팀은 그들과 벤츠 * * * * 가 19 보안 취약점을 발견하고 복구했다고 발표했습니다. 이러한 허점을 통해 해커는 원격으로 문을 열고 엔진을 시동하는 등 차량 제어 작업을 벌여 벤츠가 이미 판매한 200 여만 대의 자동차에 영향을 미칠 수 있으며, 이는 지금까지 가장 광범위하고 차량과 관련된 허점 발굴 사건이기도 하다.
360 "2065 438+09 스마트 인터넷 자동차 정보 보안 연례 보고서"
그러나 메르세데스-벤츠 보안 취약점의 노출은 고립 사건이 아니다. 360 회사 스카이고 팀이 발표한' 20 19 스마트 온라인 자동차 정보 보안 연례 보고서' 에서 CEO 는 지난 한 해 전 세계 자동차 여행업계가 해커 공격으로 피해를 입은 것을 보았다.
"디지털 키에 취약점이 있습니다. 도둑이 테슬라 모형을 30 초 동안 훔쳤어요? S]
20 19 년 4 월 다임러가 설립한 Car2Go 회사 100 대의 고급 자동차가 시카고에서 도난 당해 해당 지역에서 운영을 중단해야 했다. 더 무서운 것은, 이 차량들 중 일부는 불법 범죄 활동에도 사용된다. 관련 연구원에 따르면 CarGo 의 APP 가 금이 간 것은 이 차의 집단 도난의 원인이라고 한다. 결국 일부 체포를 거쳐 지방 검사는 용의자 265,438+0 명을 고발했지만, 나쁜 영향은 이미 다리 밑의 물에 이르렀다. Car2Go 는 여러 가지 요인으로 인해 20 19 년 6 월 중국 시장 탈퇴를 발표하고 북미 시장 업무를 점차 축소하고 있습니다.
스마트폰 기반 디지털카 키 앱이 많은 편리함을 가져왔지만, 쇼트보드도 눈에 띄었다. 디지털 키의 보안은 자동차 키의 환경 캐리어 보안 칩 (SE) 과 신뢰할 수 있는 실행 환경 (TEE) 시스템뿐만 아니라 전체 비즈니스 논리에 있는 모든 환경의 긴밀한 조화에도 달려 있다고 합니다. 예를 들어 보안 서버 및 암호화 전송 채널 및 양방향 인증을 사용하는 전송 프로토콜이 있습니다. 이러한 링크 중 하나에 허점이 발생하면 전체 프로세스가 해결되어 해커가 사용자의 프라이버시를 훔치고 차량의 원격 제어권을 얻을 수 있습니다.
CEO 는 일반 차주에게 신뢰할 수 있는 네트워크 환경을 선택해 디지털 차 열쇠를 사용하면 이런 위험을 피하는 데 도움이 된다고 생각한다. 예를 들어 공용 ***WIFI 에서 앱을 사용하여 자동차를 잠금 해제하거나 제어하지 마십시오. 4G 사업자의 네트워크에 연결하는 것이 가장 좋다. 그러나 자동차 회사들에게 이런 위험을 예방하는 가장 좋은 방법은 정기적으로 보안 위협을 빗질하고 위험 관리를 하는 것이다.
하지만 차업체와 공급업체의 무관심으로 20 19 년 동안 유럽과 미국에서 휴대전화 앱과 디지털 열쇠에 대한 공격이 많이 발생했다. 영국에서는 2065,438+09 년 처음 65,438+00 개월 동안 디지털 키에 대한 차량 도난 사건이 65,438+04,000 건을 넘어 평균 38 분마다 절도가 발생했으며, 도둑은 보통 범행 시간이 30 초 미만이었다. 가장 유명한 공격은 영국 발레우드 지역에서 발생한 테슬라 절도 사건이다.
사건 중 도둑 두 명이 30 초 이내에 릴레이 공격 장치를 이용해 1 테슬라 모델을 훔치는 데 성공했다. S. 이 과정에서 도둑은 중계장치를 사용했고, 현재 테슬라 열쇠가 보낸 메시지는 주인의 집 주변에서 수집되어 모델을 만들기 위해 인식되고 확대됩니까? 그는 열쇠가 차 근처에 있다고 생각한다. 이 과정에서 도둑은 열쇠와 차량을 해독하는 인증 알고리즘 메커니즘을 설계하지 않고 중계장비에서 보내온 채집 차 열쇠의 신호를 재생했을 뿐 신호 내용을 조작하지 않았다. (알버트 아인슈타인, Northern Exposure (미국 TV 드라마), 스포츠명언) 중계설비의 가격도 날로 하락하고, 심지어 해커들이 인터넷에서 불법 판매하는 경우도 있다.
그 후 테슬라는 차키 알고리즘을 업데이트하여 허점을 복구했다. 그러나 연구원의 분석을 통해 일반적인 디지털 키 시스템에는 펌웨어 읽기 및 쓰기 보호 기능 활성화 안 함, 양방향 인증 메커니즘이 없는 통신 프로토콜 사용, 보안 파티션 부족 등의 문제가 있는 것으로 나타났습니다. 이번 사건에서 테슬라 열쇠의 공급업체들도 수많은 유명 자동차 업체들에게 해결책을 제공하고 있는데, 이는 분명히 해독에 허점을 남겼다.
"스마트 자동차 시대에는 보안 허점이 두 배로 증가할 수 있다."
독자들은 차량이 온라인 업그레이드, 즉' 전차 OTA' 가' 스마트카' 인지 아닌지를 판단하는 기준이 되었다는 말을 들었을 것이다. 차량은 분산 아키텍처에서 도메인 중앙 및 중앙 중앙 중앙 집중식 아키텍처로 점차 발전하고 있습니다. 요컨대, 차량은 스마트폰과 더 비슷해지고, 하드웨어는 더 이상 예전처럼 특정 기능에 국한되지 않는다. 자동차용 ADAS 카메라와 마찬가지로 전방 차량과 표지판을 감지하는 데 사용할 수 있을 뿐만 아니라 앞으로 와이퍼를 감지하는 탐지기로도 사용할 수 있습니다.
이런 방식은 차량의 지능화 수준을 높이고 하드웨어 비용을 절감할 수 있지만 * * * 이용되는 하드웨어는 불법 호출, 악의적인 점유 등 보안 위협에 직면할 것이다. Key ECU (마이크로컨트롤러) 기능이 더욱 통합됨에 따라 코드 증가로 인해 취약점이 증가할 수 있습니다. 예를 들어, 웨이라이 ES8 은 20 19 의 유명한' 장안가 주차 업그레이드' 사건으로, 사용자에게 업그레이드를 중단하고 사용 가능한 버전으로 안전하게 롤백할 수 있는 기능을 제공하지 않았기 때문이다. 그래서 차주는 당시 장안거리 간선도로에서 차량 업그레이드가 완료될 때까지 기다려야 했다. SKY-GO 팀 책임자는 이 허점이 해커에 의해 이용되면 후자가 서비스 거부 공격을 사용하여 차량이 제대로 가동되지 않을 수 있다고 CEO 에게 말했다.
그렇다면 문제가 생겼습니다. 자동차 기업들은 어떻게 안전위험을 피할 수 있을까요? 이 문제는 차량과 시스템의 개발, 모니터링, 운영 등에서 해결해야 한다.
첫째, 자동차 기업과 공급업체를 포함한 자동차 산업 체인 상하류 회사는 안전 책임 체계를 구축하고 안전 기준을 엄격하게 집행하여 제품을 개발해야 한다. 둘째, 자동차 업체들의 해커에 대한 공격은 수동적인 방어뿐 아니라 차량, 서버 등 공격면을 동적으로 감시하고 공격 행위를 사전 예방적으로 찾아내 제때에 차단해야 한다. 그래야 안전한 폐쇄루프를 형성하여 위협을 조기에 발견한 후 제때에 패치를 발급할 수 있다. 차업체들은 심각한 영향을 미치기 전에 문제를 해결해야 리콜과 부정적인 여론으로 인한 피해를 피할 수 있다. 결국 자동차는 생명안전과 관련된 제품으로서 안전에 대한 민감도가 휴대전화보다 높다.
마지막으로, 차량 정보 보안 체계의 건설은 단순히 자동차 기업과 공급자의 일이 아니다. 사이버 보안회사, 고교, 심지어' 백모자' (허점 신고, 수리 단서를 제공하는 정면 해커) 는 모두 스마트시대에 자동차 기업의 새로운 동맹이 되어야 한다. 일찍이 20 13 에서 테슬라는' 안전연구 명예의 전당' 을 설립하여 테슬라 제품의 허점을 발견한 보안팀을 표창했다. 360 의 스카이고 (SKY-GO) 와 텐센트 코헨 연구소 (Tencent Cohen Laboratory) 가 여러 차례 명단에 올랐다. 20 16 년, GM 은 치명적인 백모 해커 플랫폼인 HackOne 과 협력하여' 허점보상 프로그램' 을 발표했다. 벤츠는 또 올해 안전에 초점을 맞춘' 허점보고상' 을 출범시켜 글로벌 기술자를 초청해 차량의 정보 안전계수를 높일 계획이다.
이 글은 자동차 작가 자동차의 집에서 온 것으로, 자동차의 집 입장을 대표하지 않는다.