绿盟科技万熠：车联网安全重在如何防护 | LINC 2016

车云按：1月17日，“2016 LINC Carsmas Day 全球汽车创客嘉年华”在上海汽车会展中心隆重召开。本届LINC大赛不仅传承了前两届的创新精神，更在规模、内容、形式上进行全新升级。数十组优秀创新项目、百位行业尖端嘉宾、千名场内外观众，将共同融合成一场聚焦“汽车、科技、创新”的行业嘉年华活动。绿盟科技投资总监万熠在LINC现场与我们分享了他们在有关车联网方面的思考和解决方案。如下是全文实录：

绿盟科技投资总监万熠

安全攻击的方法或者是安全攻击的手段真的谈不上是高科技手段，防御或者保护才是真的非常高的技术门槛。你想攻破一个系统很简单，只要找到一个漏洞就可以拿到你想要的权限，最后可以获得你想要的数据，达到你的目的。但是如果你想保护好它，需要做的是保护好所有的系统，防范好所有的漏洞，就很难了。

对车联网的攻击和智能汽车的攻击不是什么高科技，真正的高科技需要我们关注的是对整个智能汽车系统或者未来车联网系统整体上的防御，这才是我们认为非常重要的一点。比如在关于智能汽车、车联网的众多安全事件中最出名的特斯拉被某黑客团队黑掉，在我们看来也不是什么高科技的活。

总体上来看车联网安全问题，包括汽车系统的问题，事实上我们可以总结成几大部分。

第一，接触控制。我个人这两年也和北汽、华晨以及腾讯的安全实验室包括国内知名黑客和一些安全组织都沟通过这个问题。从黑客的角度来看，他们想控制一台汽车，最简单的方式是装一个后门，装一个系统在里面，这样就很容易拿到控制权限。事实上最早的对特斯拉的攻击也就是通过OBD去做的，这个事情在我们看来没有什么意义，不是什么特别难的问题。但是从攻击行为上来看属于接触式控制，通过对车辆本身做一个物理的接触，通过像OBD接口插入一些外置设备，比如智能充电桩读取车辆信息进行物理接触，事实上这是一个非常好的控制汽车的黑客手段，这是在接触控制的层面。

第二，近场控制。现在车联网或者智能汽车常备的几个东西，蓝牙、车载WIFI或者其他的射频信号，智能车钥匙就是用的射频信号。这些在搞通讯的人看来都是近场通信。他们攻击层面上漏洞是很多的。WIFI有人说设一个密码就可以了，但是设密码的强度如果用字典攻击来看是很容易破解的，所有用密码的安全都不安全。还有蓝牙，蓝牙本身没有很好的认证和加密机制，通过蓝牙、WIFI离车辆不远的地方都可以连入车内的车载系统，对车辆进行控制。这是第二个攻击方法。

第三，远程控制。很多业内同仁都提到了。首先，现在车联网常用的Tbox需要上连互联网、下连车机，甚至会连到总线上去。Tbox连上互联网，对它的攻击就成为非常简单或者非常直观的事情。第二，对于智能车机的攻击模式，现在智能车机无外乎那么几种操作系统，比如安卓的，或者传统的采用VCE或者其他的方式。车机的方式在车联网的情况下需要和外界进行联系，车机本身安全漏洞是非常大的。第三，车主的app，大家买车，无论是吉利还是沃尔沃、捷豹、宝马、奔驰，所有的车商都会告诉你手机上可以装一个app，可以远程启动、上车之前打开空调、上车之前落窗、看油耗等。这些在我们车主看来非常好用的方案，但实际上从黑客来看又提供了接入汽车系统非常好的通道。通过车主的手机设置的app控制汽车，这是非常好的通道。还有云端服务，车辆生产商、第三方应用服务提供商在云端一定要有一个系统，这个系统是传统黑客非常感兴趣的地方。

而作为我们车主来说，手里有两个东西，左手钥匙、右手手机。买车肯定有车钥匙，作为车主身份的象征，有了车钥匙就是车主了。有手机，手机通过智能app对车内的状况进行监控，可以提供更便捷的使用习惯和方法。同样主机厂有一个数据中心，车机也好ADS也好，都会做OTA，包括第三方的app，百度地图、高德地图、微信，未来不排除会出现一些其他的娱乐设施或者社交通信软件。

在整个车联网的环境里面我们会看到对于黑客来说他能够攻击的点实在太多了。传统的黑客可以做的：

第一是可以黑一下第三方app的数据库，拿到你的用户名和密码，拿到车主的使用信息甚至是对一个app做一下改造，这个我们之前做过测试的，改造完以后发布给用户，用户装上去以后所有的信息作为第三方来说都可以看到。比如，你的微信经过我们简单的改造以后，你微信里留了什么，用户名、密码、手机摄像头、手机通讯录、短信我都可以拿得到。车机也是一样的。

第二，车商云数据中心，自从有IT信息化系统之后它的攻击就没有断过。

第三，对于4S店，服务商对他们的系统进行一些攻击，拿到你车主的数据。最后是通讯过程当中的攻击。既然要联网，需要数据通信，通信过程当中我们可以做到对数据的劫持和权限的获取。哪怕是移动互联网出现之前，办公的时候说远程连到办公室系统里，收一个邮件或者连一个财务系统，有时候都会在互联网上被人家把数据劫持了，这都是很传统的。

车联网是一个非常新的事物，对一个非常新的事物进行攻击是没有科技含量的，今天讲的是如何保护的问题。国外也有很多做车联网安全的公司，16年10月份我们去了一次以色列，和以色列做车联网安全的公司都去交谈过方案，总体上来说大家业内对车联网方案的认可度认识上都是差不多的，基本上基于刚才说的那四个方向。

从防护的角度来说，第一是对于车内总线及车内系统的安全。是不是要做到CAN BUS的防火墙，对接入所有的设备进行监控，对所有指令进行监控，哪些可以过哪些不可以过、哪些设备可以接哪些不可以接。第二，对控制单元做安全。对ECU这样的控制单元做安全，你的哪些通信是允许的哪些是不允许的、哪些指令真的是来自于真实用户的指令、哪些是来自于第三方指令，包括架构设计上是不是符合分层设计的规范、接口安全或者OBD接的设备是不是经过主机厂认可的，USB充电口上除了充电以外是不是有数据、这些数据是不是合理合法，包括NFC、蓝牙、设备信号，近场方面是不是有保证。

第二方面，通信领域包括应用领域的安全。在边界上的安全，在我们看来车辆本身就是移动中的局域网，内部有车机、控制系统、总线，对外有互联网业务，对车主来说有信息交互，这时候对于车辆的信息边界要保护。对互联网连接的安全，还有设备的安全和WIFI接入的控制，包括IP网络的路径检测，这都是很传统的。

另外，车机操作系统的保护、指令权限管理、文件管理、OTA下发的这些数据是不是真实可靠的、是不是在当中没有被人篡改的，以及互联网链路的安全、通信网络的安全，数据是不是要经过加密、是不是被人篡改过、是不是具有完整性。这些都是可以用现有的技术进行保障的，包括最后谈到的应用的安全，车载app的安全，app的准入和监控以及用户手机端app的安全。

最后看一下车主的安全。我设计了一个比较详细的解决方案。车主在4S店买完了以后交付两个东西，车钥匙和车辆，明确了车主作为车辆所有者的身份。在这个过程当中通过我们现有的技术我们可以对车钥匙进行改造，车钥匙里面内置一个证书，电子证书可以作为以后所有通信的认证手段。

用户在使用手环、智能手机、app的时候需要通过app和钥匙之间的证书，通过近场通信做一个认证，判断用户手机发出的指令是不是车主真实发生的。如果是的，数据确认没有问题，就把指令发送给服务器，服务器再下发给车辆。所有的链路都是加密的、经过认证的、经过有效性和完整性验证的，这样就可以保证刚才说的手机端如果被人黑了怎么办。没关系，因为你的操作是经过授权的，不授权没有办法做，这是一个场景化的思考。

相关标签：

LINC2016

安全

车联网