因为谷歌的Android Auto的开发接口的强势,GM通用汽车公司将放弃本身的开发接口,采用谷歌style。国内移动互联网公司开始和汽车制造厂商合做开发自有品牌的智能汽车;私家车主开始经过租车公司把车子出租出去,将会引起大量的和汽车有关的手机应用的井喷。车联网市场在2014年硝烟弥漫,智能汽车安全也随着几个安全会议成为热点。web
那些年我用过的手机数据库
你必定听过很多人把汽车比做跑着4个轮子上的手机。好,那我就讲讲手机,顺便追忆一下97年到如今那些年我用过的手机。安全
诺基亚8810 90年代末经典机型服务器
猜猜96年电信局这款手机的价格? 当时个人工资是每月800元,外加天天上班单程1个半小时(倒三趟公共汽车)。诺基亚8810的价格是10000元,没错!我一年的工资,并且只是手机费用,不包括入网费,每个月电话费。那时候的诺基亚公司真是如日中天。99年延续了经典滑盖机型,推出8860,超级经典机型:机身银色,体积小,99年售价6000元,至关于当时研究生毕业一个月工资。网络
到米国后,使用的手机就一落千丈,这些就是曾经用过的手机,免费送的,外带一年合同,还有好几个丢了。我曾用图中第一个手机,那个三星的,帮室友打开了米国市场,每周开车在东部几个州来回穿梭,让他大赚了几年,到如今他的客户基本都是那时候跑出来的。
ide
言归正传,这些手机很是安全,基本没有隐身泄露问题,但我还会再用他们吗?不会的!布局
由于如今的手机很智能,我没法回到过去,尽管它不安全。此外,不是还有手机安全公司的杀毒软件的防御吗(远处传来阴冷的笑声)……同理,15年前的夏利车也很安全,你也不会买这样的车,由于安全永远不是用户购买的第一因素,除了杜蕾斯以外。
测试
汽车安全市场刚刚起步加密
目前国内几个互联网公司纷纷开始造车,那么,如今汽车安全有哪些公司在作?产品形态又是什么?很遗憾,汽车安全在中美两地基本是空白,大的安全厂商尚未开始布局。spa
具体请参看一下360和互联网实验室写的调研报告. 车联网安全市场必定会起来,就像手机安全同样,用户要用,黑客能够攻击汽车,安全市场必定会在那里。
智能汽车安全调研报告.pdf
关于OBD攻击及防护
这篇文章百分之百原创,因此请容许我写一点技术+软文。这篇文章不讲特斯拉,它是小众市场,作产品要先面对绝大多数的中低端汽车市场。目前的针对汽车攻击基本是经过OBD攻击和无线钥匙攻击,好比上个月中国互联网安全大会对奔驰的开车门攻击。下面是咱们的防御视频组。第一个视频时针对目前OBD端口攻击的实时防御,而且第一时间通知车主手机。这种方式原理上能够搞定全部基于OBD的攻击方法。
视频组地址 http://visualthreat.com/videos.action
视频前半部分是对汽车的攻击,后半部分是选择车型,而后动态从云端或者手机端更新特征库到防火墙,发现攻击后把警报发送到手机端。
第二个,第三个视频时针对汽车偷盗的攻击。尽管你不经过OBD方式攻击,最后破坏的手段无非就是开车门,后备箱等这几个地方,咱们的解决方案用防火墙聆听汽车内部的数据流,一旦发现诸若有车门打开,发动机启动的事件,结合车主所在的状态,来决定是不是偷窃等攻击行为,给车主第一时间报警。市场上也有OBD防盗器的产品。不一样的是,咱们基于移动安全自动化平台,更注重汽车数据处理和后续阻断动做。咱们正在开发智能安全硬件,附带10几种汽车不一样的智能交互情景模式。基于此,在防火墙这种冰冷的底层保护基础上增长了定制的泛安全汽车智能交互功能。防御技术创建在OBD端口上,尽管有不一样的声音,我认为因为不一样的缘由OBD将来几年不会消失,并且OBD端口自然就像传统网络设备上的端口,能够监听各类的数据流,是作车联网安全产品最好的阵地。
另外一方面,目前车联网OBD产品和汽车移动应用安全情况如何呢?2014年9月,咱们也完成了第一份对车联网相关产品的调研:研究了国内外19家OBD产品,共享租车服务模式和上百个车联网移动应用(报告里50多个,手续咱们又增长了近百个)的安全情况。这里的OBD产品英文叫OBDdongle,包括OBD行车记录仪,汽车油耗刹车等数据采集,诊断盒子等等。对每款OBD产品设备,研究人员分析其通讯方式,协议加密强度,内部工做机制,可能的被攻击方式等;对车联网应用则分析其安全漏洞。这份报告是到目前为止第一份针对车联网OBD产品和汽车应用安全的研究报告。报告研究代表,缺乏私有加密协议而采用保护性差的开放通用协议是OBD盒子最广泛的安全问题;而代码没有采用反逆向措施和用户数据泄露是汽车应用最多见的安全问题和潜在风险。注明:相关产品都是匿名的,并且有几款产品的详细分析细节没有录入报告中,有兴趣者线下讨论。
附2014年车联网OBD产品和汽车应用安全研究报告
因为缺乏规范的安全监管标准和流程,许多厂商不能对其硬件或者应用软件执行必要的安全性测试,结果致使车联网移动应用中的漏洞会在不知不觉的状况下被黑客利用,将驾驶者置于风险之中。咱们的研究发现:很多OBD2硬件盒子和相应的手机应用存在着严重的安全漏洞隐患。另外一方面,智能汽车中的多达近百个ECU控制器天天传输的数据高达百兆。车主的隐私保护随着这些数据信息产生成为了一个重要的问题。车主最关心的问题是:“个人我的隐私和从个人汽车中收集到私有信息是否已经在我未知情的状况下被其它人获取并利用了?”事实上,众多的汽车移动应用彻底能够经过OBD2接口利用蓝牙、无线或3 g/ 4 g网络收集用户的我的隐私信息甚至发送危险指令来控制汽车甚至劫持汽车。相关的汽车隐私的法规正在制定或者已经出台。
50%被调研的OBD产品有通讯安全隐患或者甚至被利用来控制汽车
OBD盒子经过不一样的方法将汽车数据传送出去:直接使用开放协议,本身定制私有协议,或者经过云或者电信运营商和手机通讯。若是通讯协议未进行保护或者保护方法太简单,恶意应用能够轻易破解协议并伪造数据包经过OBD端口向汽车发送控制指令。咱们发现目前市场上有近一半的OBD硬件产品有严重的安全漏洞隐患,甚至在一家OBD设备被破解以后,无需或者稍做修改就能够对另外一家OBD产品作一样的攻击。这些隐患表如今通讯加密强度低,密钥暴露,可伪造通讯流程等。
私人车辆出租服务安全漏洞严重
租车公司的服务体系安全漏洞严重,应用,通讯方式,服务器端没有进行必要的安全防御。薄弱的用户认证机制,通讯过程被伪造,甚至用户数据库会被破解脱库。这些安全隐患会形成我的车辆被盗用,车主我的信息,支付信息的丢失,将对这种服务模式产生严重的不信任感。
汽车应用对车主安全驾驶的干扰
《纽约时报》的调研代表,若是驾驶员的视线离开高速路况时间超过2秒,会严重干扰对车前176英尺的安全驾驶的判断。那这两秒钟驾驶员在看什么?新一代的智能汽车内部集成技术,好比车载娱乐系统,驾驶员辅助系统,HUD投影技术,GPS路况更新等等的出现,让车主应接不暇。因此他们必须把视线停留在这些控制界面上,花的时间比以往任什么时候候都要多。如何对驾驶者对手机应用过多的互动行为进行预警也是本报告的一个调研范畴。目前对用户在开车过多使用手机进行预警的应用很少,有的在用户在开车时强制关闭短信,电话等服务,这样用户体验很差。有的只是作超速提醒。车主但愿能更人性化智能化的手机应用帮助他们安全驾驶。
市场迫切须要一个把OBD端口,车载系统,汽车应用商店安全审计,车联网产品安全渗透测试整合到一块儿的全面的安全解决方案,并能知足不一样车主不一样的安全防要求。同时,相关车联网产品厂商须要对本身的软硬件产品作深度安全测试,确保不被黑客利用把攻击带入到车里。
转载请注明来自:淘客客/taokk.com.cn
