車輛OTA信息安全風險與對策研究
責編:gltian |2024-06-05 16:41:16一直以來,當車輛軟件部分出現故障或缺陷時,只能通過返回修理廠的方式進行“線下”修復。2012 年,隨著車輛在線升級(OTA)的出現,為車輛的軟件故障和缺陷提供了“線上”解決方案。隨著當前自動駕駛技術的不斷發展,OTA 還可以幫助車輛不斷優化和加強輔助駕駛功能,以實現整車系統的不斷升級,讓用戶獲得更為優質的用車體驗。但是,OTA 在給車輛召回、升級帶來便利的同時,也增加了車輛可能遭受網絡攻擊的風險,如車輛在 OTA 過程中遭受攻擊,就可能破壞或控制車內電子控制單元(ECU),給用戶安全帶來威脅。
一、車輛 OTA 信息安全的風險來源
車輛的 OTA 系統主要包括云服務器與車載終端兩個部分,二者之間通過通信網絡進行連接。車載終端除了車輛本身的車機系統外,還包括與車輛進行連接的外部互聯設備,即云服務器端、網絡傳輸端、車機端、車輛外部互聯設備端等。
云服務器端。車輛 OTA 云平臺中主要包含著車輛系統升級相關數據,如車輛升級日志、車輛升級包等。若黑客對云平臺進行攻擊時,就有可能取得軟件升級包的具體數據、OTA 升級相關數據,甚至可以對軟件升級包內的數據進行篡改、刪除。這不僅直接影響車輛是否能夠正常地進行遠程升級,甚至還影響車輛的使用安全。
網絡傳輸端。通過 OTA 技術將存儲至云平臺的軟件升級包安全完整地傳送給車載終端,需要通過網絡才能實現,可以說網絡傳輸是 OTA 云端與車載終端之間的“傳送帶”。然而,“傳送帶”本身也極易受到黑客攻擊,尤其在傳送過程中的通信信息未進行加密或僅進行較弱程度的加密,亦或是相關密鑰信息被暴露或破解后,車輛的 OTA 升級過程中就無法具備足夠的安全防護能力。攻擊者可以通過抓取鏈路層標識以實現會話劫持,并進行重放、拒絕服務攻擊(DoS),進而影響車輛的升級過程,甚至是對聯網車輛進行定位與跟蹤等。此外,若車輛升級包中包含自動駕駛功能(含輔助駕駛),攻擊者可以通過在升級包內植入木馬病毒的方式篡改升級包,待用戶在使用上述功能時對車輛正常行使進行干擾,進而帶來安全隱患。
車輛終端。隨著車輛不斷向智能化、網聯化、電動化、自動化方向發展,軟件定義車輛趨勢日益顯著。有研究指出,智能網聯汽車的關鍵代碼規模提升了 10 至 100 倍,代碼漏洞就會呈指數級增長,同時車輛的電子控制單元的數量與車內連通性不斷增強,導致車輛受到信息安全攻擊的風險大增。例如,黑客可以直接通過車輛終端作為攻擊“入侵點”偽造非法信息進入平臺或車輛,導致下發惡意升級指令或上傳虛假信息等。一般而言,車輛遠程升級過程中,需在車輛端對升級包進行加密和簽名等一系列驗證環節,只有經過驗證的軟件升級包才可以進行正常的升級流程,但若驗證的算法過于簡單或驗證流程存在漏洞,攻擊者就可以利用漏洞構造有效的升級包,或繞過驗證流程直接在部件上加載運行惡意篡改過的固件,對車輛進行進一步的攻擊或者控制等惡意行為。并且密鑰也存在車輛 OTA 信息安全風險,密鑰是加密算法中用于更改數據而使用的字符串,一旦密鑰被復制或破解,車輛的加密數據就會被動變成公開數據,此時,車輛可以被他人遠程控制,如利用密鑰控制車輛開關門,繼而影響汽車正常駕駛。其實,對車輛進行網絡攻擊并不一定要等到車輛進行 OTA 升級時才進行,黑客可以根據車輛現有的系統漏洞進行攻擊,直接入侵車輛。
外部互聯設備端。除了車輛本身與 OTA 云端進行網絡傳輸外,其與汽車相關聯的其他設備也可能影響到 OTA 系統的信息安全,如通過入侵車輛充電設備的方式損害車輛安全,或是直接通過鏈接固件的方式入侵車輛系統。充電樁控制模塊通過以太網與管理系統連接,在充電樁網絡中傳輸的數據信息可能遭到截獲、竊取、破解、被動攻擊或非法冒充、惡意篡改等惡意威脅。一旦黑客通過物理或遠程方式入侵到“樁聯網”中,不僅能控制充電樁的電壓、修改充電金額等數據,還可以通過上傳惡意固件的方式,讓充電系統在車輛充滿電后繼續向車輛輸送電力,導致車輛電池系統受損。此外,攻擊者還能通過訪問配置文件或充電樁與網絡服務器之間的通信記錄,獲取用戶的個人信息。
二、OTA 信息安全風險的應對措施
建立 OTA 數據安全閉環。隨著車輛智能化、網聯化發展,衍生出眾多與車輛 OTA 相關的信息安全風險。因此,為了保證車輛 OTA 信息安全,需要將 OTA 的全流程納入信息安全要素,建立 OTA 的信息安全閉環。第一,在 OTA 云服務器層面,首先,車企內部開發團隊或 ECU 供應商應對云平臺的數據信息管理及安全防御系統進行安全測試,測試非法用戶是否能夠獲取數據訪問權限。其次,對存儲在云端的數據信息進行分類管理,對其中的敏感數據著重進行加密處理,采用證書、簽名、加密機制等安全措施,保障 OTA 平臺的安全服務,保證升級包不會隨意被制作與發布。2022 年 6 月 13 日,工業和信息化部發布的強制性國家標準《汽車軟件升級通用技術要求(征求意見稿)》明確規定應具備保護升級包的過程,包括升級包的真實性與完整性,防止其在執行前被篡改、受到損害或無效軟件升級。此外,還要求應確保驗證和確認車輛軟件的功能和代碼的過程是適當、合理的。最后,在 OTA 云端要做好數據 / 風險隔離,防止因個別系統的安全問題導致黑客獲得訪問整個系統數據的權限,最大限度地降低因系統安全問題所造成的危害后果。第二,在網絡傳輸階段,車企應在通信端采用安全可靠的物理鏈路和安全傳輸協議來保證升級包傳輸過程中的安全。在車輛與 OTA 平臺進行通信過程中,應采用安全通信協議進行數據傳輸,通過簽名、加密、哈希等算法對數據的完整性和機密性進行保護,以確保交互信息、軟件升級包等數據的安全性,防止泄露、篡改偽造等風險。第三,在車輛終端層面,車企應在車端通過功能可靠性設計、安全防御手段等方式實現車內升級的安全加載及啟動運行。車輛終端設計主要分兩部分,一是車輛的硬件設計,二是車輛系統的軟件設計。其中,對硬件設計,根據 2023 年 5 月 6 日工業和信息化部發布的強制性標準《汽車整車信息安全技術要求(征集意見稿)》中的要求,車輛的外部接口(USB接口、診斷接口和其他接口)應進行訪問控制保護,禁止非授權訪問。對車輛系統設計,該征求意見稿明確了車載軟件升級系統應具備安全啟動功能,保護車載軟件升級系統的可信根、引導加載程序、系統固件不被篡改,或篡改后無法正常啟動;處理和在線升級服務器應進行身份認證,驗證其身份的真實性;車載軟件升級系統應對下載的在線升級包進行真實性和完整性校驗,并記入在線升級過程中發生的失敗事件日志。
構建 OTA 數據安全管理制度。車企應根據與車輛 OTA 相關的數據安全法規標準要求,采取系列安全保障與支撐措施。在組織治理層面,車企應建立起 OTA 數據安全管理制度,對車輛 OTA 升級的數據安全進行標準化管理。OTA 數據安全管理體系主要包含 OTA 升級相關流程、信息記錄要求、安全策略、車型要求等。聯合國 R156 標準就對車輛的軟件升級與軟件升級管理體系進行了統一規定,我國《汽車軟件升級通用技術要求(征求意見稿)》也明確規定車輛制造商應建立軟件升級管理體系。例如,對車輛軟件升級,車輛制造商應安全儲存車輛 OTA 升級相關文件且儲存年限不低于車型停產后10 年。同時,車輛制造商應當確保那些具備軟件識別碼的車型,每個軟件識別碼為唯一可識別,且當軟件升級導致識別車型變更的,應當同步更新該車型的軟件識別碼的全部信息。2021 年 7 月,工業和信息化部發布的《關于加強智能網聯汽車生產企業及產品準入管理的意見》也強調,“車企應當建立與汽車產品及升級活動相適應的管理能力,具有在線升級安全影響評估、測試驗證、實施過程保障、信息記錄等能力”。此外,在汽車產品的開發過程中,車企應將數據安全活動納入產品開發的全過程,解決從方案確定到生產啟動的整體研發過程中的安全目標設定、安全要求設計、安全方案設計、安全研發以及安全確認與驗證到安全運維等核心環節。
完善車輛 OTA 數據安全法規標準體系。由于車輛 OTA 數據安全仍屬于新興領域,我國關于車輛 OTA 數據安全的法規標準體系仍在完善過程中。以車輛 OTA 升級為例,《關于加強智能網聯汽車生產企業及產品準入管理的意見》要求車企具備與車輛升級活動相應的管理能力。2022 年 4 月,工業和信息化部出臺《關于開展汽車軟件在線升級備案的通知》,建立了 OTA 升級的分級備案制度。在 OTA 召回領域,監管要求也在不斷細化。2020 年,市場監管總局發布《關于進一步加強汽車遠程升級(OTA)技術召回監管的通知》,首次建立起 OTA 召回的備案制度。2021 年 6 月,市場監管總局出臺《關于汽車遠程升級(OTA)技術召回備案的補充通知》,進一步要求生產者在備案采用 OTA 方式的技術服務活動或召回時應提交《汽車遠程升級(OTA)安全技術評估信息表》。
因此,OTA 數據安全體系還在持續完善,尤其是健全 OTA 數據安全技術要求及標準體系。在制定 OTA 數安全相關法規標準的過程中,應當進一步明晰在OTA數據安全的框架下對車輛制造商、OTA 零部件制造商的具體要求,落實因 OTA 數據安全而引發惡性事件的責任判定與處罰。并且,還可以持續跟蹤域外相關法規標準動態,在符合我國汽車產業國情的基礎上,為我國制定 OTA 相關標準法規吸收國際經驗。
(本文刊登于《中國信息安全》雜志2024年第2期)
來源:中國信息安全