现如今的智能网联汽车还存在着哪些安全隐患

（文章来源：雷锋网）

2019 年有两类新型车联网攻击方式爆出，新出现的攻击方式往往会打破这种平衡，原有的防护方案没有考虑到此类攻击手段，需要主机厂的重点关注。

国内大部分自主品牌汽车，均使用私有 APN 连 接车控相关的 TSP 后端服务器。通过 ISP 拉专线可以在一定程度上保护后端服务器的安全，但与此同时也 给后端服务器带来了更多的安全风险，由于私有 APN 的存在， TSP 不会暴露于公网，导致 TSP 的安全人员 忽视了私有网络和 TSP 本身的安全问题，同时私有网络内没有设置严格的安全访问控制，过度信任 T-Box， 使得 T-Box 可以任意访问私有网络内部资产，同时很多不必要的基础设施服务也暴露于 APN 私网内，将引发更多安全风险。因此一旦黑客获取到智能汽车的 T-Box 通讯模块，即可通过通讯模块接入车厂私有网络，进而攻击车厂内网，导致 TSP 沦陷。

经过研究发现，现阶段大部分智能汽车的 TCU 都可以找到调试接口，并可以通过调试接口输出的日志，获取到很多敏感信息，包括系统启动日志、TSP 后端地址、APN 配置信息等，攻击者可通过获取到的 APN 配置信息，结合上 TCU 板载的 eSIM 进行上网，甚至可以访问到车厂的核心网络。也可以通过提取 TCU 上通讯模组的存储芯片，逆向分析固件，从而拿到 APN 配置、TSP 后端配置等重要信息。

对于双向认证的服务器，通过进一步提取出出 TLS 客户端证书，通过对 TCU上的 TSP 客户端进行逆向分析，获取到和后端服务器的通讯方式，就可以对 TSP 服务端进行访问。提取固件逆向分析自动雨刮的操作代码2019 年 5 月，科恩实验室爆出特斯拉 Model S 的自动雨刮器，车道识别系统存在漏洞，研究人员静态逆向和动态调试分析了 APE（Autopilot ECU）的视觉识别系统，并尝试实施攻击。

通过逆向分析发现，fisheye 摄像头将开启自动雨刷图像识别的执行过程，此后会搭建一个判断天气情况 的神经网络文件，名称是“fisheye.prototxt”。神经网络的输出结果代表了系统对当前下雨概率做出的预测， 当结果超过阈值时，自动雨刮器就会启动。

使用 Worley 噪音生成对抗样本图片研究人员通过使用一种名为 Worley 噪音（在计算机图形学中，它被广泛使用，以任意精度自动生成纹理。 Worley 噪声能够模拟石头，水或其他噪音的纹理）的噪音生成函数，通过加补丁的方式生成所需的对抗样本图片。最终通过在电视上放映生成的对抗样本图片，成功启动了特斯拉的自动雨刮器。

部署对抗样本贴纸欺骗特斯拉自动驾驶系统基于同样的原理，研究人员经过实验发现，只需在道路上贴上对抗样本贴纸，就能成功误导自动驾驶系统，使车辆行驶到对面的车道，造成逆行。

通过压缩图片消除对抗扰动或打破扰动结构 通过对车道识别功能分析发现，首先摄像头对图像开始处理，然后将图像送入神经网络， detect_and_track 函数负责不断更新内部的高精地图，并根据周边的实时路况，不断向相关控制器发送对应的控制指令。 根据研究人员分析，特斯拉仅使用计算视觉识别系统来识别车道，在良好的外部环境下，该功能拥有不错的鲁棒性，但在真实道路上行驶时，只依靠视觉识别系统将会导致车辆遭受地面的对抗样本干扰项影响，从而驶离正常车道。

通信模组的安全防护可以有效降低云端平台被暴露导致的入侵风险，降低漏洞造成的影响范围，避免批 量远程控制事件的发生。360 智能网联汽车安全实验室在发现此类新型攻击方法以后，2018 年就投入了对安全通信模组的研发。通过对传统通信模组进行了升级改造，在原有模组的基础架构之上，增加了安全芯片建立安全存储机制。 集成了 TEE 环境保护关键应用服务在安全环境中运行，并嵌入了入侵检测与防护模块，提供在 TCU 端侧上的安全监控。

但因车载通信模组的计算资源和存储资源有限，因此只依靠本地的检测不足以识别黑客的攻击行为。因 此需要依赖于后台安全运营中心的全面检测，云端安全运营中心的全局异常行为检测可以通过实时对车载智能终端设备的系统资源、应用行为、网络连接以及 CAN 总线接口的监测，结合云端的安全大数据进行分析，发现并定位车载终端中的异常行为，并根据预置策略执行阻断，实现基于终端检测与响应技术 (Endpoint Detection and Response) 的车载智能终端动态防护体系。

通过这套体系配合车载通信模组内置的密码算法为车联网系统提供安全通信、安全启动、安全升级、安全控车、隐私保护等功能，全面守护车联网安全，保护车主的隐私及人身财产安全。

此类攻击的发生源于在深度学习模型训练过程中，缺失了对抗样本这类特殊的训练数据。因此一类常见 的防御手段是增强神经网络本身的鲁棒性，将对抗样本放入训练数据中重新训练网络，并提高训练数据的极端情况覆盖率。同时在使用过程中，对出现的无法识别样本进行标记，利用此类数据持续训练网络，不断提高输入数据的识别准确率。但是无论在训练过程中添加多少对抗样本，仍然存在新的对抗攻击样本可以再次欺骗网络。

另一类防御方式是修改网络，例如添加子网络，或者利用外部模型处理无法识别的输入数据。通常可使用 输入梯度正则化增强鲁棒性，或者使用防御蒸馏方法降低网络梯度的大小，提高对小幅度扰动对抗样本的发现能力。

还有一类防御手段是对输入数据进行预处理或者转换。例如在图片进入视觉识别系统之前，通过图像转 换，包括图像裁剪和重新缩放、位深度缩减、JPEG 压缩、总方差最小化和图像拼接等操作，消除对抗扰动或打破对抗扰动的结构。或者通过噪声处理，将对抗扰动视为噪声，通过高阶表征引导去噪器（HGD）消除对抗样本中不易察觉的扰动。通过净化输入数据的这一类防御方式无需修改或重新训练神经网络，且易于部署，有较好的防御效果。

但是目前安全标准大多提供的是基线的安全要求，在动态变化的网络安全环境下，仅遵循标准，使用密码应用等被动防御机制还远远不够。新兴攻击方式层出不穷，需要构建多维安全防护体系，增强安全监控等主动防御能力。2020 年全球只有 300 亿台设备连接到互联网，但随着物联网、5G、AI 等技术的应用，这一数字可能在未来十年内增长到 5000 亿。一切万物都不可避免的数据化、互联化，而出行领域也将彻底被车联网所完全改造。

随着中国推行的车联网技术标准 C-V2X 获得欧盟等大部分国家地区的支持，2020 年将正式进入 4G/LTE-V2X 车联网的商用元年。也就是车联网正在从车载信息服务向智能网联服务阶段全面过度。而对于广大的汽车厂商而言，布局车联网已经是一个不用讨论的既定战略。但是选择自建体系还是与外部合作，成为摆在车企面前的选择题。

第一条路是自建车联网体系 ，例如 DiLink 系统，第二条路是引入多家主流互联网、运营商以及华为、高通这样的芯片技术商开展合作，打造开放车联网生态系统，第三条路线则是汽车厂商选择与某一家互联网厂商展开深度合作，打造深度定制的车联网系统。

当然，摆在车企面前的除了如何选择外，还有一个不容忽视的问题是：万物互联时代，假设一个场景，车辆在通信时，有一条信息是假的，这条信息就会告诉一辆车，这一辆车就会把错误的信息再反馈给其他车，一传十，十传百，造成批量群死群伤的事故。所以在 5G 车联网里，眼里容不得沙子，不能有一个信息是错误的，不能有一个信息是攻击行为的，所以它的安全威胁和风险更大。

与此同时，车企自身也不能掉以轻心，因为部分车企在处理汽车信息安全时也存在侥幸心理，这就导致 了车企更大的损失。所以，360 建议车企未来要更重视安全问题，车企应与业界各头部厂商加强合作，提升自主研发能力，将车联网领域的软硬件深度整合，同时更希望车企们在面对新型威胁时，360 能够给更多的车厂种上“疫苗”，抵御新型攻击。
      （责任编辑：fqj）