360：2017智能网联汽车信息安全年度报告(30页)（30页）.pdf

1、 2017 智能网联汽车信息安全年度报告 1 目录 综述综述 . 1 1 1. 1. 智能网联汽车标准规范动态智能网联汽车标准规范动态 .3 3 国外标准动态. 3 国内标准分析. 6 2.2. 智能汽车漏洞分析智能汽车漏洞分析 .9 9 汽车 CVE 漏洞分析 . 9 汽车漏洞平台. 13 3.3. 20172017 年智能汽车破解案例分析年智能汽车破解案例分析 . 1414 斯巴鲁汽车破解案例分析 .14 马自达车机娱乐系统破解案例分析 . 17 特斯拉汽车车联网系统攻击案例分析 . 19 利用海豚音攻击破解语音控制系统开启天窗分析 . 25 4.4. 20182018 年智能网联汽车信息

2、安全建设建议年智能网联汽车信息安全建设建议 . 2626 5.5. 附录附录 .2727 360 智能网联汽车安全实验室 . 27 参考文献 . 28 2017 智能网联汽车信息安全年度报告 2 综述 随着互联网、人工智能、云计算和大数据等技术的应用，汽 车已经不再像以前一样仅仅被人们当成是交通工具，如今汽车正 慢慢走进人们的生活，成为生活的一部分。人们对汽车与各个设 备之间信息互通的要求越来越高。车内设备不仅要与手机等智能 设备连接，同时还需要方便地接入互联网，与交通管理系统、周 边其他车辆进行信息共享，即车联网。所谓车联网（Internet of Vehicle，简称 IOV）是物联网在汽

3、车行业领域的具体应用，车联 网将物联网的范围限定到车与路、车与人、车与车以及车与传感 设备上，各个车辆通过车载互联网设备经由无线网络、无线电等 传播技术来实现车辆间、车辆与数据平台间的实时通信，汇总车 辆的行驶信息、车辆周边的道路状况等动、静态信息，并将这些 信息通过无线网络传输到信息中心进行加工、筛选、计算，再使 用这些信息为车辆提供有效的引导、路况、信息共享、多媒体等 综合网络服务，以满足车辆不同的功能需求；另一方面，监管部 门也可以对车辆进行有效的监管。 车联网与智能网联汽车紧密相关，互为支撑。智能网联汽车 与车联网、智能交通系统之间有紧密的相关性，是智能交通系统 中与车联网交集的汽车产

4、品，智能网联汽车是车联网不可或缺的 组成部分，智能网联汽车的技术进步和产业发展也有利于支撑车 联网的发展，而车联网是智能动态信息服务和车辆智能化控制的 重要手段，可服务于汽车智能制造、电商销售后市场等环节，车 联网发展将大幅提升汽车安全和交通安全，促进绿色发展，带动 信息消费，对汽车、信息通信和交通运输等多个行业生产方式和 产业分工产生深远的影响。 汽车信息安全作为汽车发展的重中之重， 在一开始就受到了 电信行业、汽车行业、汽车电子设备行业以及互联网服务商的重 视。现代车辆由许多互联的、基于软件的 IT 部件组成，为了避免 安全问题， 需要进行非常细致的测试。 例如， 刹车突然停止工作。 然而

5、，在汽车领域系统性的安全测试发现潜在的安全威胁并不是 一个常规的流程。汽车中使用的智能联网系统沿袭了既有的计算 和联网架构，所以也继承了这些系统天然的安全缺陷。随着汽车 中 ECU 和连接的增加， 也大大增加了黑客对汽车的攻击面， 尤其 是汽车通过通信网络接入互联网连接到云端之后，每个计算、控 制和传感单元，每个连接路径都有可能因存在安全漏洞而被黑客 利用，从而实现对汽车的攻击和控制。汽车作为公共交通系统的 重要组成部分，一旦被黑客控制，不仅会造成驾驶者的个人信息 和隐私被泄露，还会直接带来人身伤害和财产损失，同时还会导 致品牌和声誉受损，甚至上升成为危及国家安全的社会问题。 本报告从智能网联

6、汽车信息安全规范、智能汽车 CVE 漏洞分析和智能汽车破解案例分析三个角度阐述了 2017 年智能网联汽车信 息安全的发展历程，并结合 2017 年我们在汽车厂商的项目实施经验提出智能网联汽车信息安全建设建议。 2017 智能网联汽车信息安全年度报告 3 1. 智能网联汽车标准规范动态 智能网联汽车信息安全已成为国际标准组织关注的主要问题之一，在国际标准组织中 3GPP 对 V2X 的技术有建立了信息 安全技术要求，以保障通信层面的安全。一直致力于汽车安全标准的 SAE 与 ISO 形成了联合工作组，在 ISO/SAE TC22 中起草了 ISO 21434 国际标准，该标准将于 2019 年