來而不往非君子

1、來而不往非君子混蛋的人與混蛋的事情許多小時候鐘情于玩遙控航模的 70 后讀者，都會 記得當年的遙控設備上可以自行更換的晶體振蕩器， 也就是模友口中的晶振。為了能友好地跟模友們一起 好好玩耍，大家都會墨守成規(guī)地遵循著，玩耍之前先 溝通協(xié)調(diào)，通過更換不同頻率的晶振，懸掛好自己設 備頻率的號牌， 避免與他人的遙控 “撞頻”?？煽傆心?么一些混蛋的人會默默地從衣服兜里掏出一把涵蓋所 有頻段的晶振，然后奸笑著塞進遙控器使壞。正是因 為這種混蛋的人干出混蛋的事情，遙控器廠家不斷更 新遙控加密技術(shù)，設置更多的頻點，將遙控技術(shù)升級 至 PCM、2.4G 頻段甚至 5G 頻段，把這看作早期的黑 客入侵與封堵設備

2、漏洞一點都不為過。時代在變，領(lǐng)域也在變，就連混蛋的人可能也變 老了，唯一不變混蛋的事情仍存在。隨著互聯(lián)網(wǎng)、人 工智能、云計算和大數(shù)據(jù)等技術(shù)的應用，汽車已經(jīng)不 再像以前一樣僅僅被人們當成是交通工具，如今汽車 正慢慢走進人們的生活，成為生活的一部分。人們對 汽車與各個設備之間信息互通的要求越來越高。車內(nèi)ECU 和連接的增加， 也設備不僅要與手機等智能設備連接，同時還需要方便 地接入互聯(lián)網(wǎng)，與交通管理系統(tǒng)、周邊其他車輛進行 信息共享，即車聯(lián)網(wǎng)。汽車中使用的智能聯(lián)網(wǎng)系統(tǒng)沿 襲了既有的計算和聯(lián)網(wǎng)架構(gòu)，所以也繼承了這些系統(tǒng) 天然的安全缺陷。 隨著汽車中 大大增加了黑客對汽車的攻擊面，尤其是汽車通過通 信網(wǎng)

3、絡接入互聯(lián)網(wǎng)連接到云端之后，每個計算、控制 和傳感單元，每個連接路徑都有可能因存在安全漏洞 而被黑客利用，從而實現(xiàn)對汽車的攻擊和控制。一旦 被黑客控制，不僅會造成駕駛者的個人信息和隱私被 泄露，還會直接帶來人身傷害和財產(chǎn)損失，同時還會 導致品牌和聲譽受損，甚至上升成為危及國家安全的 社會問題。 “刷漏洞”時代的到來從 360 集團發(fā)布2017 智能網(wǎng)聯(lián)汽車信息安全年 度報告來看， 2017 年，汽車信息安全已進入刷漏洞 時代。智能網(wǎng)聯(lián)汽車確實存在眾多漏洞，黑客一旦通 過漏洞攻擊，將會給用戶帶來巨大人身、財產(chǎn)安全危 害。目前已經(jīng)發(fā)現(xiàn)的漏洞涉及到 TSP平臺、APP應用、 Telematics B

4、ox（T-BOX ）上網(wǎng)系統(tǒng)、車機 IVI 系統(tǒng)、 CAN-BUS 車內(nèi)總線等。報告對 2017 年度汽車信息安 全漏洞進行了詳細解析， 有的漏洞可以遠程控制汽車、 有的漏洞可以對人身造成傷害。國內(nèi)外汽車信息研究人員發(fā)現(xiàn)的 TCU 和安全氣囊等漏洞也分別獲得到CVE 漏洞編號， 普遍關(guān)注。說明智能汽車信息安全漏洞開始受到正所謂不知者無畏，其實黑客入侵智能汽車的事 件一直都在發(fā)生，區(qū)別僅限于先由白帽子發(fā)現(xiàn)還是先 有黑帽子掌握罷了。譬如荷蘭電子工業(yè)設計師 Tom重的安全設計缺陷，攻擊者通過截獲鑰匙系統(tǒng)a擊”的研究Wimme nhove在多款斯巴魯汽車的鑰匙系統(tǒng)中發(fā)現(xiàn)了 一個嚴 在對車輛進行上鎖、解

5、鎖或其他操作時所使用的序列 碼。破解算法并計算出下一個序列碼將能輕易劫持車 輛，而劫持工具成本僅大約 15 到 30 美元之間。再如 360 智能網(wǎng)聯(lián)汽車安全實驗室連同浙江大學徐文淵教 授團隊針對引起外媒廣泛關(guān)注的“海豚攻 成果，通過市面上主流智能汽車榮威 eRX5 的進行測 試驗證。實驗人員成功使用了“海豚音”對車載語音 助手進行了攻擊測試，實現(xiàn)了可以在人耳聽不到的情 況下，通過超聲波對車載語音助手下達指令，達到開 啟天窗、控制空調(diào)、導航等功能。國內(nèi)外安全標準加快制定與企業(yè)建議過去幾年，國內(nèi)外的汽車信息安全標準制定工作也在持續(xù)進行中。國際組織（ISO/SAE）正進行21434（道路車輛 -

6、信息安全工程） 標準的制定。 該標準主要從風險評估管理、產(chǎn)品開發(fā)、運行、維護、流程審核 等四個方面來保障汽車信息安全工程工作的開展。中 國代表團也積極參與此項標準的制定，國內(nèi)幾家汽車 信息安全企半年完成，預計滿足該標準進行安業(yè)、整車廠，也參與了該標準的討論，該 標準將于 2019 年下 全建設的車型于 2023 年完成。國內(nèi)標準制定方面， 2017全國汽車標準化技術(shù)委員會已經(jīng)組織兩次汽車 信息安全工作組會議，全國信息安全標準化委員會、 中國通信標準化協(xié)會等各大國標委，聯(lián)盟組織在積極 研究汽車信息安全標準相關(guān)工作，加快汽車信息安全 標準的制定進度。 編輯感言根據(jù) 2017 年智能網(wǎng)聯(lián)汽車信息安全領(lǐng)域所發(fā)現(xiàn) 的漏洞以及破解案例看來，目前汽車信息安全已處于 一個穩(wěn)定期。各廠家都已經(jīng)注意并重視汽車信息安全 風險帶來的隱患， 行業(yè)內(nèi)部也開始制定相 ?P 標