360互聯網安全中心：2018智能網聯汽車信息安全年度報告(18頁).pdf

1、酒仙橋路6號院2號樓B座 朝陽區 北京市 010 52448779 360智能網聯 汽車安全實驗室 網站 本方案版權歸北京奇虎科技有限公司智能網聯汽車信息安全實驗室所有，未經北京奇虎科 技有限公司書面授權，任何人不得以任何形式或者任何手段（電子，機械，顯微復印，照 相復印或其他手段）對其中內容的全部或者部分進行使用、復制、傳輸、公開傳播，泄露 于其他任何第三方，或者將其存放在檢索文件中。北京奇虎科技有限公司將保留對本文安 全部或者部分內容的盜用或者泄密責任追 目錄 時至今日， 智能網聯汽車已成為汽車產業發展的戰略方向。 汽車網絡安全已成 為各部門指導汽車戰略的重要舉措。 在2018年發布的 智

2、能汽車創新發展戰略 （征求意見稿） 中， 要求到2020年， 智 能汽車新車占比達到 50%， 中高級別智能汽車實現市場化應用。 構建全面高效的智 能汽車信息安全體系， 完善信息安全管理聯動機制， 加強信息安全系統防護能力。 加 強數據安全防護管理。 工業和信息化部印發的 車聯網 （智能網聯汽車） 產業發展行 動計劃 ， 從加大政策支持力度、 構建產業生態體系、 優化產業發展環境等六個方面 提出了具體保障措施。 智能汽車在國家有關部門大力推進和扶持下取得了良好成 效， 汽標委也制定了汽車信息安全標準體系。 在這樣的大環境下， 汽車信息安全問題 得到了逐步的重視及解決。 在2018年的報告中預測

3、， 汽車信息安全將進入 “刷漏洞” 時代。 不幸的是， 這竟 然被言中了。 過去的一年里很多汽車廠商慘遭漏洞威脅， 越來越多汽車相關的漏洞 取得了CVE編號， 攻擊面從汽車終端轉向了云端， 對汽車廠商及供應商造成了極大 的影響， 暴露出來的問題層出不窮。 信息安全產業也注意到汽車信息安全市場， 不斷 地推出針對汽車安全防護的解決方案及產品。 結合2019年的經濟形勢以及汽車行 業的發展趨勢， 傳統網絡安全公司會逐步進入汽車網絡安全領域形成新增業務。 但 汽車信息安全技術不同于傳統網絡安全技術， 需要一定的沉淀和積累。 因此， 這一年 將是汽車廠商信息安全建設發生翻天覆地變化的一年， 也是仁者見

4、仁、 智者見智的 一年。 前言 前言 1.智能網聯汽車信息安全行業發展 整車廠全面重視安全建設 供應商推出安全防護方案 互聯網安全廠商百家爭鳴 2. 智能網聯汽車信息安全標準規范動態 國外標準動態 國內標準分析 3. 智能網聯汽車信息安全事件聚焦 數據泄露事件 多家車廠數據遭泄露 特斯拉AWS服務器慘遭挖礦黑客毒手 本田印度50,000名用戶數據泄露 保時捷超28,700名客戶數據泄露 GoGet共享汽車用戶數據泄露 汽車破解事件 中繼攻擊使歐洲多啟車輛被盜 寶馬多款車型爆出安全漏洞 共享汽車APP受攻擊 梅賽德斯-奔馳車聯網漏洞 汽車云端存在遠程漏洞 斯巴魯升級機制存在漏洞 無接觸式攻擊大眾

5、、 奧迪 特斯拉門鎖存在安全漏洞 汽車故障檢測設備安全漏洞 4. 智能交通領域V2X信息安全概述 5. 2019年智能網聯汽車信息安全建設建議 6. 附錄 360智能網聯汽車安全實驗室 360汽車安全大腦 參考文獻 1 2 2 2 3 4 4 7 9 9 9 12 12 13 14 14 14 15 18 19 21 22 24 26 27 28 30 31 31 31 32 智能網聯汽車信息安全行業發展 0203 智能網聯汽車是將物理世界與虛擬世界結合到一起， 給用戶帶來更優質的體驗。 在打通物理世界與虛擬世界的 同時， 也面臨著虛擬世界中信息安全的風險， 甚至因虛擬世界的安全問題直接影響到

6、物理世界的安全。 在過去的 2018年里， 智能網聯汽車的信息安全建設工作發展勢頭良好。 通過 “刷漏洞” 的2018年， 對信息安全的相關研究成為 了汽車領域的重要議題與研究熱點， 信息安全成為了智能網聯汽車乃至自動駕駛汽車的基礎保障之一。 在這樣的行業大氛圍下， 整車廠商的信息安全意識得到全面提升， 紛紛著手構建信息安全能力； 各級零部件供應 商在整車廠商的安全需求下， 開始積極配合， 設計并制造帶有信息安全功能的零部件； 傳統的IT巨頭也卷入了這場信 息安全浪潮， 從各個角度推出信息安全解決方案。 由于汽車行業中， 產業鏈較長， 上下游產業較多， 作為上下游之間的整車廠商， 對于保障智能

7、網聯汽車 的信息安全起著至關重要的作用。 從整體上看， 過去 一年中， 整車廠商對信息安全的意識有明顯提升， 在 研發過程中安全需求得到重視， 并紛紛著手建設自身 安全能力， 組建專職的信息安全部門或工作小組。 在2018年9月5日深圳舉行的比亞迪全球開發者 大會上， 比亞迪與360正式簽訂戰略合作協議， 共同探 討智能汽車的信息安全與網絡安全。 大會期間發布比 亞迪D+開放生態， 依賴D+生態和全球開發者的智 慧讓DiLink智能網聯系統具備更強大的智能生命力， 讓出行生活變得更美好。 而這個智能的前提是足夠安 全。 一個月后， 世界智能網聯汽車大會在北京召開。 期 間， 浙江吉利控股集團董

8、事長李書福提出，“安全順暢 與隱私保護是智能網聯汽車的使命” ，“必須關注信息 安全與隱私保護、 漏洞發現與應急補救、 行車安全與 惡意控制、 網絡邊界與系統自主” ； 作為造車新勢力的 小鵬汽車董事長兼CEO何小鵬表示， 小鵬汽車將參考 特斯拉的做法，“打通我們在整車， 包括大屏、 儀表、 自 動駕駛、 AI， 安全的升級體系” 。 互聯網安全廠商百家爭鳴 在智能網聯汽車打通了物理世界與虛擬世界后， 來自傳統IT領域的巨頭以 及一些專注信息安全領域的公司， 也隨之進入了汽車行業。 通過在云端、 PC端、 移動端多年的技術積累與實際經驗， 這些公司相繼推出了各自的整合方案， 以 幫助整車廠商更

9、好地理解、 設計、 構建自身的安全能力。 作為國內安全市場的龍頭企業， 360公司率先在智能網聯汽車上進行布局， 設立了專門從事汽車安全的智能網聯汽車安全部， 并且是目前全球唯一一家三 次獲得特斯拉 “安全研究員名人堂” 的公司。 其智能網聯汽車安全部推出 “汽車 安全大腦” 解決方案， 通過監控、 分析、 響應的動態防御手段， 為智能網聯汽車的 安全運營提供保障。 該方案于2018年11月22日入選工業和信息化部的 “2018年 工業互聯網試點示范項目” 。 2018年11月1日 “百度世界2018” 召開， 在主論壇上百度發布了Apollo車機 防御系統。 分論壇上百度詳細描述了Apoll

10、o的信息安全產品體系， 發布了一站式 汽車信息安全解決方案。 該一站式解決方案包含四大部分： Scan-全自動車輛安 全掃描； Shield-安全防御系統； See-AI云端可視化監控； Save-全球首創免召回 救援響應。 整個Apollo解決方案覆蓋了售前和售后環節。 騰訊旗下的科恩實驗室負責對IOT安全 （包含車聯網安全方向） 進行研究和 探索， 依靠自身多年的漏洞挖掘經驗致力于車聯網系統的漏洞挖掘與研究， 曾 兩次實現對特斯拉的無接觸式攻擊。 2018年， 該實驗室公布了其對寶馬系列汽 車的研究成果， 獲得了 “寶馬集團數字化及信息技術研究獎” 。 整車廠全面重視安全建設供應商推出安全

11、防護方案 受行業發展與整車廠商安全需求的共同作用， 各 級供應商著手進行自身的信息安全建設。 尤其是在零 部件的設計階段， 各大知名供應商已開始考慮信息安 全的設計。 博世集團旗下全資子公司ETAS Group專注于為 汽車等所需嵌入式系統提供相應解決方案。 早在2012 年ETAS就收購了專注于入侵檢測方案的Escrypt公 司。 2017年， 博世對外展示了基于域隔離的中央網關 與Escrypt的入侵檢測相結合的保護方案， 并于2018年 進入搭載量產車型階段。 在該方案中， 車輛運行數據上 傳到云端， 通過云端分析區別出入侵行為與系統故障， 工程師針對入侵模式與場景開發安全措施， 再通過

12、中 央網關的OTA更新提高車輛的信息安全保護能力。 大陸集團 （Continental AG） 在2017年法蘭克福國 際車展 （IAA） 上就端到端的安全解決方案進行了介紹。 該方案從四個角度看待安全問題： 第一是電子部件的 安全， 電子部件相當于微型計算機， 控制著車輛中的各 種功能組件； 第二是各個部件之間的通信安全， 這關系 到車輛的整個系統； 第三是車輛與外界之間的眾多接 口的安全； 第四是應把安全延伸至云和后端。 隨后， 在 2017年底大陸集團收購網絡安全公司Argus， 并與 2018年7月31日宣布與子公司Elektrobit （EB） 和 Argus 推出端到端的網絡安全和

13、在線軟件更新 （OTA） 解決方 案。 這些解決方案將預先集成到車載通訊單元、 信息娛 樂系統、 網關等汽車電子產品中。 2018年10月， 哈曼國際宣布其后裝產品哈曼防護盾 （HARMAN SHIELD） 及 其咨詢服務方案獲得CyberSecurity Breakthrough組織授予的 “入侵檢測解決 方案年度最佳供應商獎” 。 哈曼汽車網絡安全副總裁Yuval Weisglass對此表示， “對企業和駕駛員來說， 至關重要的是讓他們充分相信汽車網絡安全是有保障 的。 此次獲得的榮譽是對我們在這一領域所付出努力的認可， 展現了我們在提 供實時互聯的網絡安全方案方面的專注創新精神。 ” 1

14、. 1. 2018 1. 2018 1. ICV Cybersecurity Annual Report ICV Cybersecurity Annual Report ICV Cybersecurity 智能網聯汽車是將物理世界與虛擬世界結合到一起， 給用戶帶來更優質的體驗。 在打通物理世界與虛擬世界的 同時， 也面臨著虛擬世界中信息安全的風險， 甚至因虛擬世界的安全問題直接影響到物理世界的安全。 在過去的 2018年里， 智能網聯汽車的信息安全建設工作發展勢頭良好。 通過 “刷漏洞” 的2018年， 對信息安全的相關研究成為 了汽車領域的重要議題與研究熱點， 信息安全成為了智能網聯汽車乃至

15、自動駕駛汽車的基礎保障之一。 在這樣的行業大氛圍下， 整車廠商的信息安全意識得到全面提升， 紛紛著手構建信息安全能力； 各級零部件供應 商在整車廠商的安全需求下， 開始積極配合， 設計并制造帶有信息安全功能的零部件； 傳統的IT巨頭也卷入了這場信 供應商推出安全防護方案 受行業發展與整車廠商安全需求的共同作用， 各 級供應商著手進行自身的信息安全建設。 尤其是在零 部件的設計階段， 各大知名供應商已開始考慮信息安 博世集團旗下全資子公司ETAS Group專注于為 汽車等所需嵌入式系統提供相應解決方案。 早在2012 年ETAS就收購了專注于入侵檢測方案的Escrypt公 司。 2017年，

16、博世對外展示了基于域隔離的中央網關 與Escrypt的入侵檢測相結合的保護方案， 并于2018年 進入搭載量產車型階段。 在該方案中， 車輛運行數據上 傳到云端， 通過云端分析區別出入侵行為與系統故障， 工程師針對入侵模式與場景開發安全措施， 再通過中 央網關的OTA更新提高車輛的信息安全保護能力。 大陸集團 （Continental AG） 在2017年法蘭克福國 際車展 （IAA） 上就端到端的安全解決方案進行了介紹。 該方案從四個角度看待安全問題： 第一是電子部件的 安全， 電子部件相當于微型計算機， 控制著車輛中的各 種功能組件； 第二是各個部件之間的通信安全， 這關系 到車輛的整個系

17、統； 第三是車輛與外界之間的眾多接 口的安全； 第四是應把安全延伸至云和后端。 隨后， 在 2017年底大陸集團收購網絡安全公司Argus， 并與 2018年7月31日宣布與子公司Elektrobit （EB） 和 Argus 推出端到端的網絡安全和在線軟件更新 （OTA） 解決方 案。 這些解決方案將預先集成到車載通訊單元、 信息娛 國外標準動態 3GPP正在進行LTE-V2X安全的研究和標準制定工作。 其中， 安全方 面由3GPP SA3工作組負責， 調研V2X安全威脅， 研究V2X安全需求并調 研和評估對現有的安全功能和架構的重用和增強以及支持V2X業務的 LTE 架構增強的安全方面研究

18、。 支持LTE-V2X的3GP R14版本標準已于2017年正式發布； 支持LTE-V2X增強 （LTE-eV2X） 的3GPP R15版本標準于 2018年6月正式完成； 支持5G-V2X的3GPP R16+版本標準宣布于2018年6月啟動研究， 將與LTE-V2X/LTE-eV2X形成互補關 系。 ITU-T （國際電信聯盟電信標準分局） 的第17研究組 （SG17） 下設小組Q13， 對智能交通以及聯 網汽車安全進行研究工作。 目前已經正式發布的標準有X.1373， 正在SG17 Q13組內制訂中的有11 個， 較上一年新增4個， 其中包含對已發布的X.1373的修訂版。 新增標準為：

19、生產 運營、 維護退役 項目組2 開發流程 項目組3 運營維護 項目組 4 流程概述與相關性協調 開發 概念開發 驗證 ISO/SAE 21434 2018年， ISO/TC22道路車輛技術委員會下設的ISO/TC22/SC32/WG11聯合工作組圍繞國際標準ISO/SAE21434 （道路車輛-信息安全工程） 的制定， 先后在美國、 波蘭、 以色列等地召開了聯合工作組會議， 明確了該標準的范圍、 對 象、 主要內容和框架、 工作計劃等。 該標準適用于道路車輛的電子電氣系統、 各系統間的接口交互與通信； 從組織層面 規范對企業的信息安全管理、 風險管理要求； 規范道路車輛在安全生命周期內的電子

20、電氣系統、 系統間接口交互、 系 統間通信的信息安全技術要求、 威脅分析與風險評估方法、 安全策略、 信息安全系統性測試評價方法、 信息安全流程 開發管控要求。 中國代表團正積極參與此項標準的制定， 其中包括國內知名的主機廠、 零部件供應商和信息安全企業。 3GPP ITU-T X.1373rev X.1373為遠程更新服務器和車輛之間的提供軟件安全的 更新方案， 并且定義了安全更新的流程和內容建議。 該標 準作為X.1373的修訂版， 預計于2021年9月發布。 X.edrsec 該標準為基于云的事件數據記錄儀提供安全指導， 梳理 在收集， 傳輸， 存儲， 管理和使用事件數據的過程中存在 各

21、種漏洞， 并提供安全要求和用例。 智能網聯汽車信息安全標準規范動態2. 概念開發 突發事件 BUGS 上線 風險管理 ISO/SAE 21434公路車輛-信息安全工程-項目組 項目組1 風險管理 0405 X.eivnsec 該標準為基于以太網的車載網絡提供安全指導， 涵蓋了 車載以太網的參考模型、 威脅分析、 用例等。 X.fstiscv 該標準定義了聯網車輛的安全威脅信息， 旨在幫助各組 織保護自身免受威脅或對相關行為進行檢測。 2. 2018 2. 2018 2. ICV Cybersecurity Annual Report ICV Cybersecurity Annual Repor

22、t ICV Cybersecurity 項目組2 開發流程 項目組 4 流程概述與相關性協調 2018年， ISO/TC22道路車輛技術委員會下設的ISO/TC22/SC32/WG11聯合工作組圍繞國際標準ISO/SAE21434 （道路車輛-信息安全工程） 的制定， 先后在美國、 波蘭、 以色列等地召開了聯合工作組會議， 明確了該標準的范圍、 對 象、 主要內容和框架、 工作計劃等。 該標準適用于道路車輛的電子電氣系統、 各系統間的接口交互與通信； 從組織層面 規范對企業的信息安全管理、 風險管理要求； 規范道路車輛在安全生命周期內的電子電氣系統、 系統間接口交互、 系 統間通信的信息安全技

23、術要求、 威脅分析與風險評估方法、 安全策略、 信息安全系統性測試評價方法、 信息安全流程 中國代表團正積極參與此項標準的制定， 其中包括國內知名的主機廠、 零部件供應商和信息安全企業。 國內標準分析 數字鑰匙1.0發布 英國成首個發布智能汽車網絡安全標準的國家 OEM Backend OEM Proprietary TUI Mobile UI SE Provider Proprietary OEM Proprietary SE Provider SE Provider Agent SE Element （eSE,UICC) TSM TEE NFC 2018年6月， CCC （The Car

24、Connectivity Consortium， 車聯網聯盟） 宣布推出首個針對汽車數字密匙規范Digital Key 1.0， 這是第一個將智能手機變成汽車鑰匙的連接標準。 CCC是一個專注于實現移動設備與汽車連接的組織， 其成員由汽車和智能設備制造商組成。 該聯盟現任主席是 三星美國研究中心的技術總監Mahfuzur Rahman， 其董事會成員則由通用汽車、 大眾汽車、 戴姆勒、 本田等公司代表 擔任， 重要成員包括奧迪、 寶馬、 通用汽車、 現代、 LG電子、 松下、 三星和大眾汽車， 以及中國公司小米、 HTC、 華為等。 Digital Key 1.0規范概述了在解鎖、 啟動、 共

25、享汽車等場景下存儲在智能手機上的數字鑰匙標準， 以便能實現讓駕駛 者通過NFC手機代替傳統物理鑰匙的目標。 由于通過NFC進行交互， 使得Digital Key 1.0還需要一段時間才能實際實現， 但標準本身可以保障有效地將數字鑰匙下載到智能手機中。 同時， CCC聯盟以及開始了Digital Key 2.0的研究。 2018年12月， 英國標準協會 （British Standards Institute， BSI） 發布了一套網絡安全標準PAS 1885： 2018、 PAS 11281： 2018， 旨在為自動駕駛車輛技術的研發機構設定一個業內標準。 該標準將幫助汽車生命周期及生態系統內

26、的各方更好 地了解如何提升并保持車輛的安全性及智能交通系統的安全性。 這使得英國成為首個發布此類標準的國家。 0607 TC114 全國汽車標準化技術委員會 （簡稱汽標委） 的智能網聯汽車分技術委員會 （編號為SAC/TC114/SC34） 下設信息 安全工作組， 負責信息安全體系 （204） 的標準建設。 2018年， 汽標委組織多次汽車信息安全工作組會議， 對已立項的5個標準進行了深入討論， 并且新增立項標準4 個。 新增立項標準為 汽車信息安全風險評估指南 、車載診斷接口 （OBD） 信息安全技術要求 、汽車軟件升級信息 安全防護規范 、汽車信息安全漏洞應急響應指南 。 基礎 （100）

27、 通用規范 （200） 相關標準 （400） 產品 與技術應用 （300） 智能網聯汽車 標準體系 釆誑 315.2 315.3 315.4 315.5 315.6 315.7 315.8 315.9 315.: 315.21 315.22 315.23 315.24 315.25 315.26 315.27 槪豈謖 焹惡峗呏瑪羮恖梮烢 焹惡峗呏瑪幫慇攢 焹斶懪墮悜呏瑪嶗蟔墮悜羮烢 撋慘跀酛倀姉羮鬣呏瑪悜烢 焹惡峗呏瑪羮牣醮麼昷熴 焹惡峗巃蓜侕呏瑪恖梮烢 FDV惡峗呏瑪恖梮烢 岄鄡跀酛惡峗呏瑪恖梮烢 焹鈫饅惡峗呏瑪恖梮烢 惡峗鯪鮚跀酛UCPY惡峗呏瑪恖梮烢 昢扟訥PCE惡峗呏瑪恖梮烢 蘚麋跀酛

28、恖梮烢 焹鬣緣鄀惡峗呏瑪悜餱 翄誤焹蠿惡峗桽烏醮諎絔跀酛惡峗呏瑪恖梮烢 翄誤焹擄翄跀酛惡峗呏瑪恖梮烢 焹惡峗呏瑪甗爗姉屜閼姉慇攢 姪 蔠跤 墱翂襫昦襫 蔠跤 蔠跤 蔠跤 蔠跤 蔠跤 蔠跤 墱翂襫 墱翂襫 墱翂襫昦襫 蔠跤 墱翂襫昦襫 墱翂襫 墱翂襫 墱翂襫昦襫 分類和編碼（102） 標識和符號（103） 功能評價 （201） 人機界面 （202） 功能安全 （203） 術語和定義（204） 信息感知 （301） 決策預警 （302） 輔助控制 （303） 自動控制 （304） 信息交互 （305） 通信協議 （401） 界面接口 （402） （101） 術語和定義 2. 2018 2. 201

29、8 2. ICV Cybersecurity Annual Report ICV Cybersecurity Annual Report ICV Cybersecurity 2018年6月， CCC （The Car Connectivity Consortium， 車聯網聯盟） 宣布推出首個針對汽車數字密匙規范Digital CCC是一個專注于實現移動設備與汽車連接的組織， 其成員由汽車和智能設備制造商組成。 該聯盟現任主席是 三星美國研究中心的技術總監Mahfuzur Rahman， 其董事會成員則由通用汽車、 大眾汽車、 戴姆勒、 本田等公司代表 擔任， 重要成員包括奧迪、 寶馬、 通用

30、汽車、 現代、 LG電子、 松下、 三星和大眾汽車， 以及中國公司小米、 HTC、 華為等。 Digital Key 1.0規范概述了在解鎖、 啟動、 共享汽車等場景下存儲在智能手機上的數字鑰匙標準， 以便能實現讓駕駛 者通過NFC手機代替傳統物理鑰匙的目標。 由于通過NFC進行交互， 使得Digital Key 1.0還需要一段時間才能實際實現， 但標準本身可以保障有效地將數字鑰匙下載到智能手機中。 同時， CCC聯盟以及開始了Digital Key 2.0的研究。 2018年12月， 英國標準協會 （British Standards Institute， BSI） 發布了一套網絡安全標準

31、PAS 1885： 2018、 PAS 11281： 構設定一個業內標準。 該標準將幫助汽車生命周期及生態系統內的各方更好 地了解如何提升并保持車輛的安全性及智能交通系統的安全性。 這使得英國成為首個發布此類標準的國家。 TC260 CCSA 中國通信標準化協會(英文譯名為： China Communications Standards Association， 縮寫為： CCSA)， 其中主要 對口為ITU-T SG17的負責網絡與信息安全的是TC8技術工作委員會， 下設四個工作組： 有線網絡安全工作組 （WG1） 、 無線網絡安全工作組 （WG2） 、 安全管理工作組 （WG3） 、 安全

32、基礎工作組 （WG4） 。 1.涉及網間互聯產品安全標準及其檢驗規范 2.終端安全標準及其檢驗規范 3.信息系統相關安全標準 4.數據網絡相關安全標準 1.GSM安全標準 2.CDMA安全標準 3.3G安全標準 4.無線電通信產品安全標準 5.其他無線電通信安全標準 1.信息安全管理標準 2.網絡安全管理標準 3.應急處理相關標準 4.服務資質評定標準 5.信息安全工程標準 6.垃圾郵件管理規范 1.通信安全術語 2.通信網絡安全體系結構 3.PKI/PMI/WPKI的技術標準 4.PKI/PMI/WPKI在網絡通信中的應用標準 5.PKI PKI/WPKI/PMI通信數字證書的格式標準 6.

33、通信設備證書申請協議標準 7.國際PKI/WPKI/PMI標準的跟蹤研究 有線網絡安全工作組 （WG1） 無線網絡安全工作組 （WG2） 安全管理工作組 （WG3） 安全基礎工作組 （WG4） !槪豈謖 鮒駡翄惡鈫艊鎽鈫焹惡峗呏瑪恖梮烢 鎽鈫惡峗桽烏斶懪呏瑪恖梮烢! 鎽鈫惡峗桽烏妕詬呏瑪恖梮烢! 鎽鈫惡峗桽烏羮忊跣鰥惡峗墮悜烢! 鎽鈫晹鄡惡呏瑪恖梮慇攢! 忞侐瀇 咁 嬕烢嶯 嬕烢嶯 嬕烢嶯 嬕烢嶯 在全國信息技術安全標準化技術委員會 （信安標委， 編號為SAC/TC260） 立項的與汽車信息安全相關標準有： 信息安全技術車載網絡設備信息安全技術要求 、信息安全技術車載終端安全技術要求 、信息安

34、全技術汽車電 子信息安全檢測技術要求及測試評價方法 、智能網聯汽車網絡安全風險評估指南 、信息安全技術汽車電子系統 網絡安全指南 。 工作組職責及研究范圍 目前CCSA中涉及汽車安全相關的標準有： 0809 2018 ICV Cybersecurity Annual Report ICV Cybersecurity Annual Report ICV Cybersecurity 1月3月7月9月11月 2月4月6月8月10月12月 2018 ICV Cybersecurity2018 ICV CybersecurityICV Cybersecurity20182018 ICV Cybersec

35、urity Annual Report ICV Cybersecurity Annual Report ICV CybersecurityICV Cybersecurity Annual Report ICV Cybersecurity Annual Report ICV CybersecurityICV Cybersecurity Annual Report ICV Cybersecurity Annual Report ICV CybersecurityICV Cybersecurity Annual Report ICV Cybersecurity Annual Report ICV C

36、ybersecurityICV Cybersecurity Annual Report ICV Cybersecurity Annual Report ICV Cybersecurity 邁 鯰 焹 HPHFU羮 忊斶懪熝 敜韌鍎踵慡 蔃駱島竑昤 惛桽烏鏍 跤蹺蔠裮蘚 僨粷呹邁 25跣甗爗 P E C 墡錨jDbs3 稜熱侸跣甗 爗 艁蠶咲陣 斶懪熝 呏瑪蔠裮蘚 僨粷侸潎邁 鯰焹BQQ 叅鮪呏瑪 竑昤惛 QLFT跀酛 罌懲羮暚 EUT51鎢 哣誽熴靪 蔭斶蟩侟 壽 餚剓悞嫕 鰱跤酭敜韌 苽鲇鬣 昤墴緣鄀 梽壽稜熱竑 蹼sppu抲棈 墮 暚 懴 39811羮忊 斶懪熝 駻賣蔠裮蘚 鞲Xj.Gj駱

37、 島俋。倿 焹 DbmBnq謚 覜稜熱侸 跣蠿甗爗 梪羻稜熱 61111羮忊 斶懪熝 檚孭昤. 倢鎽鈫 稜熱甗爗 5月 智能網聯汽車信息安全事件聚焦3. 數據泄露事件 多家車廠數據遭泄露 2018年7月， 包含大眾、 特斯拉、 豐田、 福特、 通用、 菲亞特克萊斯勒等百余家汽車廠商機密文件被曝光。 其涉及內 容從車廠發展藍圖規劃、 工廠原理、 制造細節， 到客戶合同材料、 工作計劃， 再到各種保密協議文件， 甚至員工的駕駛證 和護照的掃描件等隱私信息， 共計157千兆字節， 包含近47,000個文件。 數據之機密， 內容之豐富， 令人背后發涼。 這起事件背后主角是這些車廠共同的服務器供 應商，

38、 名叫Level One Robotics and Controls。 該公 司是一家數據管理平臺公司， 主要提供基于客戶原 始數據的定制化服務。 其在使用遠程數據同步工具 rsync處理數據時， 備份服務器沒有限制使用者的IP 地址， 讓非指定客戶端也能連接， 并且未設置身份驗 證等用戶訪問權限， 比如客戶端在接收信息前進行 身份驗證等， 因此rsync 是可以公開訪問的， 任何人 都能直接通過rsync訪問備份服務器， 這是這起事件 的主要原因。 該問題由UpGuard安全團隊的研究員Chris Vickery于7月9日報告給Level One， 10日， Level One 采取斷網脫機

39、的方式， 暫時止住了數據庫裸露。 暴露 的信息主要包括客戶數據、 員工信息及與Level One 協議數據三類。 3. 2018 3. 2018 3. ICV Cybersecurity Annual Report ICV Cybersecurity Annual Report ICV Cybersecurity 中國通信標準化協會(英文譯名為： China Communications Standards Association， 縮寫為： CCSA)， 其中主要 對口為ITU-T SG17的負責網絡與信息安全的是TC8技術工作委員會， 下設四個工作組： 有線網絡安全工作組 （WG1） 、

40、在全國信息技術安全標準化技術委員會 （信安標委， 編號為SAC/TC260） 立項的與汽車信息安全相關標準有： 信息安全技術車載網絡設備信息安全技術要求 、信息安全技術車載終端安全技術要求 、信息安全技術汽車電 子信息安全檢測技術要求及測試評價方法 、智能網聯汽車網絡安全風險評估指南 、信息安全技術汽車電子系統 除了原理圖外， 詳細說明的機器配置、 規格和使用文 檔， 以及機器人在工作時的動畫也遭暴露。 Level One的客戶向其中一些客戶端發送的ID 證章和VPN憑證也被公開。 第二類是客戶的員工數據， 包括員工駕駛執照和護照掃描件、 員工姓名和身份證號碼， 還有照片等隱私數據。 第三類是

41、 Level One 自己的數據， 例如一些合作的合同、 發票、 報價、 工作范圍和客戶協議等。 對于車廠來說， 工廠布局、 自動化流程和機器人規格等重要競爭力， 最終決定了公司的輸出潛力。 這些機密信息 一旦被外人知悉， 可能會招來競爭對手的抄襲或叵測居心之人的惡意破壞。 更可怕的是， 在漏洞發現時， rsync服務器 上的權限是可公開寫入的。 這意味著里面的文檔存在著已經被篡改的可能， 比如可能直接替換存款指令中的銀行帳 號或嵌入惡意軟件， 其給這100多家制造商帶來的安全風險無法估量， 可謂后患無窮。 數十份保密協議的全文也在曝光行列， 客戶 隱私條款、 保密數據文件、 以及保密性質協議

42、， 統 統外露。 1011 3. 2018 3. 2018 3. ICV Cybersecurity Annual Report ICV Cybersecurity Annual Report ICV Cybersecurity 第一類客戶數據包括與 Level One 合作的通用、 福特、 特斯拉等 100 多家大型制造商的裝配線和工廠原理圖， 保 密協議和機器人的配置、 規格、 演示動畫等。 泄露數據中包含工廠布局和機器人產品的詳細CAD 圖紙。 Level One的客戶向其中一些客戶端發送的ID 數十份保密協議的全文也在曝光行列， 客戶 隱私條款、 保密數據文件、 以及保密性質協議， 統

43、 第一類客戶數據包括與 Level One 合作的通用、 福特、 特斯拉等 100 多家大型制造商的裝配線和工廠原理圖， 保 3. 特斯拉AWS服務器慘遭挖礦黑客毒手 本田印度50,000名用戶數據泄露 2018年3月， 作為 “科技巨頭” 的特斯拉被爆出， 其Amazon Web Service （AWS） 云端服務器帳號遭到黑客入侵， 一系列敏感數據因此外泄。 泄露數據包括： 遙測數 據、 地圖信息及車輛維修記錄等。 更有趣的是， 該黑客入侵這些服務器的目的并不單 單是獲取其敏感數據， 還趁機將這些服務器變成挖礦機， 用來執行加密虛擬貨幣挖 礦惡意程序。 在 “利用特斯拉服務器挖礦” 事件

44、中 AWS服務器的不安全配置成為關注重點， 其 實還有多起因AWS服務器配置不當導致的 安全事件。 2018年6月， 本田汽車印度公司被 爆出， 其兩個Amazon S3 bucket因未設置 安全策略而暴露了超50,000名Honda Connect用戶的個人信息， 其中包含用戶的 姓名、 密碼、 性別， 及其受信任聯系人號碼和 電子郵件地址等。 根據安全公司Skyhigh Networks的統計數據顯示， 7%的 Amazon S3 bucket都未做公開訪問限制， 35%的 bucket都未 做加密， 這意味著整個 Amazon S3 服務器中普遍存在著類似 問題。 例如， 著名國際快遞

45、服務公司FedEx在2018年2月也曾 因其收購的Bongo公司相關的Amazon S3服務器沒有設置密 碼保護， 造成FedEx超過119,000個文件被曝光， 其中包含個人 乃至軍人的身份信息、 簡歷、 賬單等。 其實， Amazon官方也早就提供了安全配置指南 （Man- agement Guide） 。 Kromtech也給出了更為簡單易懂的安全 配置教程 （Protect Your S3 Bucket） ， 并早在2017年10月就開 源了一款用來檢查檢查可公開訪問的Amazon S3 buckets的 工具s3-inspector 。 這起事件中， 黑客入侵了Tesla缺乏密碼保護

46、的Kuber- netes主控臺， 在某個Kubernetes容器包 （Pod） 中獲取了 Tesla的AWS環境下的賬戶登入憑證。 該AWS環境中有一個 Amazon S3 （Amazon Simple Storage Service） 儲存貯體 （Bucket） 內含敏感數據 （如遙測數據） 。 隨后， 黑客進入 Tesla的AWS服務器， 利用Stratum比特幣挖礦協定部署了 一個挖礦作業。 目前暫未披露， 該挖礦作業具體執行了多久， 以及挖了 多少虛擬貨幣。 但可以肯定的是， 該黑客運用了一些技巧來 避開偵測并暗中執行作業， 包括將惡意程序隱藏在某個 CloudFlare的IP位址背

47、后， 以及盡可能壓低挖礦時的CPU資 源用量等。 此外， 洛杉磯時報也被曝官網存在加密貨幣挖掘腳本， 攻擊者利用了配置不當的AWS S3 bucket 訪問了該站點， 并將負責挖礦的 Coinhive 腳本注入到程序中。 再例如， 就在特斯拉此次事件前幾日， 對于JenkinsMiner的分析就引 發了熱議。 JenkinsMiner是一個遠程登錄木馬程序與XMRig挖礦程序的合體， 專門攻擊已知的CVE-2017-1000353漏 洞。 由于挖礦所獲收益巨大， 也引發了大量不法分子的追捧。 有媒體甚至直接將這類事件稱為 “挖礦攻擊” 。 智能網聯 汽車的很多功能都依靠與云服務的大量數據交互來

48、完成， 因此， 無論對于主機廠， 還是服務提供商等， 都部署或使用 了大量云服務器。 這都將成為這些不法分子的潛在攻擊對象。 保時捷超28,700名客戶數據泄露 2018年2月， 保時捷日本分公司表示， 其在1月23日至2月11日期間發現針對數 據服務器的多次攻擊， 導致超過28,700個客戶電子郵件地址被泄露。 其中， 23,151 名客戶是在2000年至2009年期間從其網站上索取產品手冊的客戶， 另外5,568名 客戶是在2015年7月報名參加了保時捷的促銷活動。 該事件由德國母公司保時捷 （Porsche AG） 發現， 向日本分公司告警其可能發 生數據泄露。 隨后， 日本分公司檢查了

49、處理保時捷日本個人數據的服務器， 發現了 多條不規則的訪問日志。 該公司尚無法確認數據是否在1月23日之前遭到黑客攻 擊。 1213 3. 201820182018 3. 2018 3.3.3. 2018 3. 2018 3. 2018 3.3.3. 2018 3. ICV CybersecurityICV CybersecurityICV Cybersecurity Annual ReportAnnual ReportAnnual Report ICV Cybersecurity Annual Report ICV CybersecurityICV CybersecurityICV Cybersecurity Annual Report ICV Cybersecurity Annual Report ICV Cybersecurity Annual Report ICV CybersecurityICV CybersecurityICV Cybersecurity Annual Report ICV Cyber