近年来,汽车产业智能化、网联化、电动化、共享化的“新四化”程度进一步深入,电动汽车作为汽车智能化和网联化的最佳载体,正在加快由人工操作的机械产品转变为基于电子电气架构及信息控制系统的智能终端,不断推动智能网联汽车领域的创新发展。
随着智能网联汽车安全的重要性日益凸显,网络安全、数据安全、OTA安全、个人隐私安全引发了越来越多关注,并已成为事关智能网联汽车技术研发和高质量发展的基础性因素,给车企、芯片厂商、零部件供应商等产业链各个环节主体提出了更严苛的安全要求。
在政策的推动下,汽标委、信安标委等标准组织和行业有关单位不断加速汽车数据安全、网络安全、在线升级等标准规范制定进程,用于指导企业加强相关测试验证和检验检测能力建设,不断提升智能网联汽车相关技术和网络安全、数据安全水平。
中国软件评测中心(赛迪汽车)在相关主管单位的指导监督下,从2020年开始连续三年牵头组织智能网联汽车安全渗透测试活动,从 智能网联汽车产品准入安全要求出发,验证车辆的防护情况,为行业发展提供参考。
一、渗透活动3.0
2022年在往届基础上新增了10款车型,全面覆盖了传统车企、造车新势力在售的新能源车辆、燃油车辆以及混合动力车辆,样本更加充分。据统计,三届渗透活动共测试24家主流车企的35个不同车型,包括一汽、比亚迪、东风日产、理想汽车、北汽新能源、合众新能源、威马汽车、上汽大众、零跑汽车、广汽、 吉利、长安、奔驰、奇瑞、宝马、蔚来、现代、沃尔沃、小鹏、长城等。
车型主要涉及理想ONE、哪吒U、长安cs75Plus、奥迪A4L、沃尔沃XC40、索纳塔10、斯柯达柯珞克、吉利领克01、蔚来ES6、新瑞虎、广汽GS8、沃尔沃S90、吉利帝豪、红旗E-QM5、吉利GSe、中华V7、极狐αS、比亚迪唐、比亚迪元、长安逸动、MINI Cooper S countryman、奔驰GLE450、长城VV6、奔驰威霆、轩逸日产、传祺GS8、大众Polo、小蚂蚁EQ1、吉利Smart等。
■ 测试指标3.0
本年度安全渗透测试指标体系细分7类测试指标,共85项测试用例。包括硬件安全、外部连接安全、软件升级安全、接口安全、应用安全、数据安全、系统安全。基于2020-2021年的研究成果完善了指标体系,在2.0的基础上增加40余项用例,聚焦强标要求新增软件升级安全指标,依据数据安全法和个人信息保护法细化数据安全、个人信息保护指标。
■ 测试结果3.0
本次测试结果显示,典型问题涉及服务端口安全、通信链路安全、蓝牙链接认证、车端系统无身份鉴别机制、车端系统调试模式暴露、非授权前提下安装应用、车端系统无法识别恶意木马、日志明文本地存储及敏感信息暴露、车端WIFI 热点无安全防护、个人信息非授权访问、物理介质(USB、OBD)接入无校验机制、代码/数据未经授权修改、高危已知漏洞等方面,具体检出率如图所示。
二、问题分析
据统计,三届渗透测试共计发现汽车安全问题类别超过90项,被测车辆存在的安全问题超过300个。以车内安全、第三方应用安全、个人信息几个典型方面的问题检出率趋势来看,在相关政策法规和技术标准的引导和逐步规范下,行业内的网络安全意识普遍提升,在车辆上采用了如访问控制、身份鉴别、安全通信协议等方面的防护措施,进入车载信息系统调试模式、获取权限难度逐渐增加。
然而,测试过程中也发现,对于新提出的关于数据收集、使用、处理以及相关防护,个人隐私保护,OTA升级等方面的安全要求,部分被测车辆尚未采取防护措施,数据安全、个人隐私、软件升级等方面的新问题仍是行业需面对并尽快解决的挑战。具体分析及建议如下:
1. 数据安全问题
数据安全问题主要表现在个人隐私数据泄漏、数据越权访问、数据出境是否合规、敏感数据无安全防护措施等方面。
其中,63%的车型存在安全日志、行为日志明文存储,其日志内容包含车辆行驶轨迹信息,车辆位置经纬度信息,个人身份信息等;44%的车型可以通过车机或其他入口在非授权情况下访问使用敏感数据,对车辆工况数据、密钥数据及证书未做安全防护处理。另外,个别车企存在使用境外服务器部署服务的情况,且使用过程中未进行数据出境的相关评估工作。
■ 合规分析
① 准确把握安全要求,明确需求对应关系。先后出台的《网络安全法》、《数据安全法》、《密码法》、《个人信息保护法》几部上位法中,均提出数据安全的相关要求。在智能网联汽车行业中,企业将如何正确理解法律法规要求,同时将企业自身在数据安全方面的实际需求与法律法规相结合,是目前所面临的实际问题和难点。建议产业生态中相关企业深入分析自身安全需求,从数据安全体系建设和产品数据安全过程保障出发,提升数据安全保障能力,建立健全相关体系。
② 落实安全左移,重视数据生命周期。安全防护意识左移是从源头解决问题的有效办法,同时也可以大大降低安全成本。从概念设计阶段引入数据安全威胁建模和风险评估可以提前发现问题,消除安全隐患。重视数据的采集、生产、传输、使用、存储、销毁的生命周期是现阶段逐步形成的技术路线,也在一定程度上达成了行业共识。例如采用安全的信道链路保障传输层安全,使用授权认证的方式解决合法用户的问题,通过合理的加密方式解决部分数据保密性问题等。
③ 平衡数据安全、隐私合规与实际使用场景需求的矛盾。实现汽车智能化、网联化离不开对环境数据、工况数据以及个人隐私数据等信息的采集、处理和使用。目前车企在数据授权的方式上大多是采用注册即视为同意的方式,通过《隐私政策》的默认形式让用户同意“一揽子”授权,如果用户拒绝授权则直接影响相应功能的使用。建议企业从用户需求和实际功能角度出发细分数据类型,做好分级管理,避免无差异化授权的形式。通过事前漏洞扫描、安全加固,事中安全策略、加密脱敏,事后安全审计、日志分析来进行动态管理。
2. 个人隐私问题
测试结果显示,77%的车型存在个人隐私数据非授权采集、采集范围未做有效控制等问题;45%的车型存在个人隐私泄露问题,泄露内容包括个人身份信息、车辆位置信息、车内对话内容等;近六成的车型存在违规收集个⼈信息,违规使用个人信息,个人敏感信息未做安全防护或脱敏处理,车辆使用过程中强制、频繁、过度索取用户权限等问题。当然,汽车隐私合规问题与辅助驾驶功能、座舱娱乐域功能的丰富程度成正比,即车辆与用户的交互功能越多、越频繁,所导致的问题就会越多。
■ 安全建议
一方面,需重视车辆使用过程中个人信息隐私合规的重要性。应当按要求建立企业级车辆个人隐私数据管理体系,并实现产品级合规,规避企业因处理个人隐私数据所带来的法律风险和处罚。另一方面使用加密、脱敏等技术手段,对个人隐私数据的全生命周期进行安全防护。例如,严格加强车端数据的边界管控机制,在车内数据需向车外传输时做好数据分类分级保护、加密脱敏等工作。
3. OTA安全问题
测试结果统计表明,60%的被测车辆具备OTA功能,其中超九成都存在OTA升级缺陷。其中典型问题主要包括云端服务非授权访问、通信链路明文传输、软件升级包未做签名校验等。
■ 风险分析
全面覆盖“车、路、云、网”多元交互的汽车OTA作为智能网联汽车领域的新兴技术,其快速发展为智能网联汽车的功能快速升级及用户体验提升带来了强大的动力。在软件定义汽车的智能化转型趋势下,OTA场景应用逐渐广泛,其安全随之也变得至关重要。安全渗透测试通过OTA场景下的威胁分析和风险评估,梳理得出升级流程的高风险环节普遍存在于车端、云端以及两者间的网络通信中,需要对云管端的安全进行全面考虑。
因此,建议从如下方面考虑汽车软件升级过程中的安全。一是在云端采用证书、签名、加密机制等安全措施,保障OTA平台的安全服务,保证升级包不会随意被制作和发布,内容不被恶意获取及篡改。二是在通信端采用安全可靠的物理链路和安全传输协议来保证升级包传输过程中的安全。三是在车端通过功能可靠性设计、安全防御手段等方式实现车内升级的安全加载及启动运行。
本文摘编自中国软件评测中心、普华永道发布的《智能网联汽车安全渗透白皮书3.0》。
