中科信安解读车联网的网络信息漏洞安全问题 – 作者:中科信安信息技术

引言：

在今年中国汽车产业发展（泰达）国际论坛上，工信部指出，发现整车企业车联网信息服务提供商等相关企业和平台的恶意攻击，达到280余万次，平台的漏洞、通信的劫持、隐私泄露等风险十分严重，危害更加严峻。

同时，从车联网企业网络安全实际看，产业链相关企业，特别是传统车企，网络安全意识不强，防护能力不足，安全投入不够。其中，85%的关键部件存在着安全的漏洞，80%以上的车联网平台和APP存在缺乏身份鉴别、数据明文重组等隐患，近六成企业缺乏自动化的网络安全监测响应能力。

今天，就让中科信安带你看看车联网的信息安全问题。

1、车联网的信息安全问题及安全威胁

伴随着车联网技术的飞速发展，其所面临的信息安全威胁日渐凸显，已引起学术界、工业界和政府部门的高度关注。

作为在智能交通车载中具有典型性和先进性的车联网，较之传统的互联网，因其应用环境更加特殊、组网更加复杂、管理更加困难，其安全威胁更加突出。

1）车联网的信息安全问题是什么？

车联网和物联网相似，在应用中，每辆车及其车主的信息都将随时随地连接到网络随时随地被感知，这种暴露在公开场所中的信号很容易被窃取、干扰甚至修改等，从而直接影响车联网的体系安全。

2）车联网通信过程中会受到的安全威胁有哪些？

通信的阻断。有意或无意的干扰源可以阻断通信（如对整个网络进行DoS攻击可以造成通信的阻断），导致在节点接收范围内的通信都无法建立。由于车联网的网络覆盖范围（比如高速公路附近）是一定的，很容易受到其他设备的干扰，攻击者可以利用客户端阻断和基站阻断方式来阻断通信。

伪装。车联网应用技术要求能够准确和及时地获得应用程序数据。一些不怀好意的攻击者（如车辆或者基站等）仿造相关信息进行发送，将会在车联网覆盖范围内得到快速“感染”，导致很多车辆收到了这条错误的信息，使得驾驶者做出与实际不相符的反应，对车辆的安全驾驶造成一定的威胁，使得车联网信息的可靠性极大地降低。

篡改。在车联网中，每个车辆既可以作为终端，也可以作为中继节点。它可以丢弃或者破坏甚至有目的地对发送给其他节点的信息进行篡改，使得车辆或其他终端接收到的有价值的信息、重要的流量信息或者安全信息都可能被篡改过。事实证明，篡改信息比伪造信息更容易做到。

3）车联网国内外的攻击实例有哪些？

2015年两位美国黑客远程破解并控制了克莱斯勒的JEEP汽车，克莱斯勒因此召回了140万辆汽车，损失巨大；

2015年国内某汽车厂商的云服务也曾被爆存在漏洞，可导致信息泄露和汽车被远程控制；

欧洲两所大学的研究人员表示，通过无线模块和天线，可以跟踪一个小城市里的所有车辆，跟踪成本不足50万美元；

2017年 6月，美国某经销商集团数据库遭到攻击，涉及多个品牌超过1000万辆汽车的销售数据泄露。

2017年12月，日产汽车官方宣布旗下的金融公司数据库数据信息遭到黑客窃取，客户的个人信息、贷款信息等都在窃取范围内。

2019年特斯拉Model S入侵事件。黑客们仅通过远程入侵，就可以控制车辆的终端系统，通过Model S存在的漏洞打开车门并开走，此外还能向Model S发送“自杀”命令，在车辆正常行驶中突然关闭系统引擎。

2、智能网联成全球竞争高地，车联网漏洞需重视

近日，2020中国汽车产业发展（泰达）国际论坛在天津滨海新区举行。本届论坛以“产业消费双升级 重构生态新格局”为主题，来自工信部、财政部等多个政府部门的嘉宾，围绕政策与市场双驱动下的业态重构发表主题演讲。

值得注意的是，从车联网动态监测情况看，当前网络攻击正向车联网领域延伸。

今年以来发现针对整车企业、车联网信息服务提供商等相关企业和平台的恶意攻击，达到280余万次。

工信部网络安全管理局局长赵志国表示，从车联网企业网络安全实际看，产业链相关企业，特别是传统车企，网络安全意识不强，防护能力不足，安全投入不够。在去年的专项调研、检测中发现，85%的关键部件存在着安全的漏洞，80%以上的车联网平台和APP存在缺乏身份鉴别、数据明文重组等隐患，近六成企业缺乏自动化的网络安全监测响应能力。。

赵志国指出，车联网网络安全关键在于产业链各主体。为加快构建企业内的安全生态，应着力探索建立车联网产业链企业网络安全分级分类管理模式，明确各类企业安全的要求，提升指导、提升企业的网络安全水平，着力解决整车企业的网络安全意识不强的问题，指导企业建立健全内部网络安全的管理体系，打造整车企业网络安全综合集成创新和服务保障的能力。