智能汽车安全风险及防护技术分析

大家可能不知道，一辆联网的智能汽车上的车载智能设备数量不小于100台，这些智能设备上所包含运行的代码都不小于5000万行，从而可以算出整个智能汽车所包含的代码就将达近2亿多行。即便程序员再仔细，也会出现代码有漏洞，这个在所难免，但有两个关键问题需要引起关注，一方面是很多智能汽车制造商未及时对车载软件加以管理控制，使其充满漏洞因而极易遭到恶意攻击；另一方面是这些程序员编写的代码应当如何保护，以防止黑客对其它进行破解。



自1886年戴姆勒创造出第一辆汽油机驱动的汽车以来，直至2009年发布第一辆智能汽车，引领智能汽车发展要得利于通信技术和AI技术的发展，才能够让智能汽车的发展一步步快速发展起来。在智能汽车产业的快速发展的同时，也引发了很多关于代码安全的思考。几维安全是智能车联网行业顶尖安全服务商，结合自身技术和实践的优势，对智能汽车的代码程序安全进行了探索和分析。



智能汽车发展态势





在今年的5月29日第六届国际智能网联汽车技术年会上，清华大学教授、国汽（北京）智能网联汽车研究院有限公司首席科学家、中国智能网联汽车产业创新联盟专家委员会主任曾发言表示：“智能网联汽车已经成为汽车产业发展的战略方向。智能网联汽车的发展不能只关注汽车本身，要在场景中落地，与中国环境相结合，发展中国方案的智能网联汽车。”认为基于新一代的移动通信技术、互联网技术、大数据云、人工智能技术，可实现先进技术与汽车产业的有机结合，形成汽车交通系统的信息物理融合系统，将会给汽车产业带来重大的变革，非常看好未来的智能汽车产业的发展。





智能汽车制造业也在国家政策的大力支持下，智能汽车的安全同样也走在了前端，就在今年6月11日已有《智能网联汽车信息安全评价测试技术规范》（征求意见稿，以下简称《规范》）发布，但是作为智能网联汽车一个新的产品形态、产业形态，未来还需要加强这方面的推进。据统计，智能网联汽车平均每1000条指令会出现1个bug，《规范》的发布也应运而生，旨在解决智能汽车中所面临的一系列信息安全和开发代码的隐患。



智能汽车开发代码的安全隐患分析



通过智能汽车的OTA升级功能和智能汽车使用的Android平台漏洞，会在升级过程中加载非法程序，会对整个智能汽车车载系统造成攻击。



目前很多智能终端在出厂使用时，均在使用初使密码（弱口令或默认口令）的方式进行身份鉴别，黑客可通过社工库将其进行破解，就可以登录智能汽车车载系统造成攻击。

在智能终端或智能汽车车载系统进行网络服务和运营商进行数据传输过程中，传输信息90%以上均为明文，或被黑客进行信息拦截，则可以造成车主个人信息的泄露。

智能汽车配置特定的移动应用APP，但大多数APP未经过安全保护，黑客可通过未经过防护的APP发送控制指令，达到远程控制的目的。



通过未加密的传输网络，找到后端提供服务的云平台，窃取后端平台系统，造成车主个人信息的丢失。



通过对智能终端的代码进行检测，利用人工+工具的形式对其代码进行全面的合规审计，发现其存在安全风险和安全漏洞，并达到《规范》的要求。



利用渗透测试人员的专业技术，对智能终端的业务逻辑进行安全检测，发现其业务层的安全风险和安全漏洞。



使用攻防人员的专业技能，对其传输过程的数据进行抓取，发现其传输加密、边界传输在使用过程中的安全风险。



几维安全渗透测试服务优势





完善的修复解决方案——几维安全新一代的代码保护技术KiwiVM



要实现安全的保障需要多个环境共同协同来完成，建议从智能汽车入手进行防护，通过云端对其进行加固防护，同时对传输的数据再进行加密处理，以达到云+管+端的整体安全。



保护智能终端和智能汽车APP，就是对智能汽车最核心的部分进行保护,确保最核心的密钥和业务逻辑不被攻击者逆向破解，从而保障智能终端不被攻击。几维安全源代码保护技术针对Android平台，提供Dex类方法抽取加固、Dex-Java2C静态代码加密、SO加壳、C/C++代码混淆、C/C++代码轻量虚拟化、C/C++代码虚拟化、防御型SDK，可以从静态加密到动态防护做一个全方位的安全加固。



而对于硬件平台，几维安全可提供SO加壳、C/C++代码混淆、C/C++代码轻量虚拟化、C/C++代码虚拟化等方案，针对不同嵌入式环境对尺寸、性能、内存消耗的不同要求，我们提供量身定制的安全方案。上述服务平台的代码加密产品还可配合防御型SDK、白盒秘钥等技术实现诸如数据加密存储、通讯链路加密等业务场景的保护需求，完全保护智能汽车中的源代码及应用程序安全。这样KiwiVM即可同时对智能终端和智能汽车APP进行安全加固，又能保障两者不被攻击者逆向分析破解。



结语



随着5G技术和AI人工智能技术的发展，智能汽车现在也已经在快速发展的道路上，那么接下来要怎么往下走？智能汽车是汽车发展的基石与核心，跨行业合作是保障，多领域合作是支撑。几维安全将在国家政策的领引下，继续加大对智能汽车安全领域的探索和研究，提供更为优质的安全服务，愿意成为智能汽车制造商优秀的合作伙伴。