本文最初发布于The Drive。
大多数人想到汽车行业时,可能不会立刻联想到网络安全。毕竟,一个重达两吨的钢铁盒子很难让人联想到“电脑”。但随着汽车与中心化系统、彼此之间以及与外部世界的连接日益紧密,很明显,网络安全对当今的汽车来说比以往任何时候都更加重要。
周三,美国国家公路交通安全管理局发布了一套最佳实践,供汽车制造商在制造新车辆及其底层软件栈时遵循。该文件于去年首次在美国《联邦公报》上发布,是对该机构 2016 年指南的更新,重点关注互联汽车及其各自的安全系统。
NHTSA 关注的一个最关键的领域可能涉及车辆传感器。该机构指出,传感器篡改是与车辆网络安全相关的日益令人担忧的问题,并指出操纵传感器数据的可能性可能导致安全关键系统面临风险。NHTSA 要求汽车制造商防范的领域包括激光雷达和雷达**干扰**、**GPS 欺骗**、**路牌篡改**、摄像头致盲以及机器学习误报的激发。
具备无线 (OTA) 更新功能的车辆也在 NHTSA 的关注范围内。具体而言,该机构表示,汽车制造商不仅应维护关键车辆更新的完整性,还应维护托管 OTA 更新的底层服务器、车辆与服务器之间的传输机制以及车辆上进行的更新过程。此外,NHTSA 敦促汽车制造商考虑一般的网络安全问题,例如内部威胁、中间人攻击、协议漏洞和服务器被泄露。
鼓励能够远程更新和无法远程更新的车辆都加强对车辆固件的访问,以帮助阻止与网络安全相关的担忧。许多汽车制造商今天通过**加密 ECU 固件**来实现这一点,尽管这有时可以通过“bench flash”来规避。NHTSA 要求汽车制造商“采用最先进的技术”来阻止这种情况。然而,**这对售后市场意味着什么**尚不清楚,但对于那些想要改装汽车的人来说,可能不是个好消息。
最后,NHTSA 文件中包含的内容并非全部都是尖端技术。事实上,绝大多数建议都围绕着**NIST 安全框架**,或者仅仅是从 2016 年的指南中重新提出的,并且至今仍然具有价值。
从 2016 年的最佳实践中沿用下来的一个关键组成部分涉及售后设备。NHTSA 提醒售后设备制造商,尽管他们的设备可能看起来不会影响关系生命安全(safety-of-life)的系统,但它们仍应在设计时考虑到这些因素,并且应与车辆本身接受同等的安全审查。看似无害的设备,如保险接入设备和远程信息处理收集设备,可能被用作其他攻击的代理。因此,NHTSA 建议将关键安全信号与通用 CAN 总线流量分开发送。例如,隔离发送给控制车辆制动功能的牵引力控制执行器的消息,以防止重放攻击和欺骗攻击。
车辆可维修性是另一个从上一版最佳实践中沿用下来的项目。NHTSA 表示,网络安全防护不应过度限制第三方维修服务的访问,这是一个行业贸易团体在**马萨诸塞州最近的维修权斗争中**提出的论点。根据一份法庭文件,该行业贸易团体辩称,汽车制造商为了满足选民通过的维修权要求,需要“禁用”安装在车辆上的网络安全设计元素。如果行业遵循 NHTSA 2016 年(现在是 2022 年)的指南,这可能不会成为大问题。
尽管有所有这些建议,最终还是由汽车制造商来遵守。NHTSA 仅传达这些自愿性指导,供汽车制造商根据其可接受的风险水平提高自身网络安全成熟度。然而,在像联网汽车这样的快速发展行业中,这类指导是必需的。**如今的攻击面**可能仅占该行业未来所见情况的一小部分,如果没有监管机构指明正确的方向,其后果可能**比仅仅解锁车门要严重得多**。
