车载智能终端安全威胁及应对措施分析

翟世俊，姚一楠/Zhai Shijun,Yao Yinan

（中国信息通信研究院北京100191）

1 引言

车联网是以车内网、车际网和车载移动互联网为基础，按照约定的通信协议和数据交互标准，在车与X（X代表车、路、行人及互联网等）之间，进行无线通信和信息交换的大系统网络，是能够实现智能化交通管理、智能动态信息服务和车辆智能化控制的一体化网络，是物联网技术在交通系统领域的典型应用。

为了实现“车—路—人”为一体的庞大信息网络，车载智能终端被赋予了重要的使命，它是车联网系统的管理控制单元，通常车载智能终端集成了传感器、数据采集器、无线发送模块等组件，目前能够实现行车数据采集、通信、导航定位监控以及车辆控制等服务。在未来的车联网发展中，汽车会整合更多技术，如远程感应、远程识别、数据融合、无线通信等，而车载智能终端将会采集和存储更多的信息，实现更多的智能控制。

然而，当人们将越来越多的控制交给机器时，巨大的安全隐患也随之诞生，尤其是在高速飞驰的汽车上，汽车的安全就意味着生命安全。如何保证车载智能终端的信息安全，将成为车联网是否能够快速发展的关键点。本文将总结目前车载智能终端的发展现状，通过具体案例分析车载智能终端的安全威胁，最终给出应对措施。

2 车载智能终端发展现状

2.1 车载智能终端类型及简介

目前，车载终端主要以Telematics产品为主。Telematics是 通 信 （Telecommunication） 和 资 讯（Informatics）这两个词的合成词，狭义上是指远距离通信与信息处理技术，广义上包括汽车自动化、GPS导航、随驾协助系统等，被称为移动通信导航信息系统[1]。Telematics产品通常都是由汽车厂商联合软件厂商，将系统直接集成到车辆中控台智能终端上实现智能服务的。

在国外，很多发达国家都已经推出了自己的Telematics系统。最为出名的应该是美国通用汽车研发的安吉星（OnStar）系统，此套系统是在美国广泛使用的车联网产品。2008年底，北美上市的95%的通用汽车上的车载智能终端都安装了该系统。中国是北美之外首个导入安吉星系统的市场，安吉星于2009年12月在中国推出业务，如今在上海通用的凯迪拉克、别克、雪佛兰等多个品牌的多种车型中均搭载了安吉星系统。此系统依托于安吉星强大的呼叫后台，通过语音拨号连接后台服务中心，实现智能导航、道路救援、防盗追踪等功能，同时可以依托手机端APP应用与车载终端互联，实现远程操控，包括车门上锁解锁、汽车启动、位置提示等[2]。其他的还有宝马iDrive、克莱斯勒UConnect系统，另外，Google和苹果公司也推出了基于Android和iOS的车载智能操作系统，可以说，国外在车载智能终端的发展上处于比较领先的位置。

我国车载智能终端服务起步较晚，其原因主要是国产汽车产业还不够发达，不过，随着互联网公司与车企合作的加深，国产车载终端系统也在飞速发展，目前有比亚迪云服务系统以及乐视推出的LeUI智能系统，这些智能系统在功能上也很丰富，能够很好地满足车载智能终端的需求。

除了集成在车辆中控上的车载智能终端以外，很多公司还推出了通过汽车OBD接口实现通信互联的车载智能终端，这类终端通过外接在OBD接口上的OBD盒子来实现控制车辆、故障诊断等功能。

2.2 车载智能终端应用领域

目前车载智能终端主要实现了在以下几个领域的应用。

（1）导航领域

主要提供交通信息，服务器可以协助用户查找定位、避免拥堵、规划路线等。

（2）娱乐领域

通过车载智能终端能够提供很多咨询服务，例如，下发天气预报、新闻报道等信息，还包括传统的音乐、视频等媒体影音服务。

（3）通信领域

可以提供拨打电话、发送短信等基本通信功能，实现道路救援、事故报警、远程协助等服务。

（4）信息采集领域

可以提供车辆信息采集，包括车辆诊断、行驶速度油耗统计等信息，帮助车主了解车辆使用情况；也可以进行车与车、车与路的信息采集，从而达到辅助驾驶的目的，例如，盲区提醒、车道偏离警告等。

（5）车辆控制领域

车载智能终端可以通过控制汽车ECU达到控制汽车的功能，例如，开关空调、电动升窗、解锁车门，未来甚至可以实现自动泊车、自动驾驶等功能。

可以看到，为了实现车联网的发展，车载智能终端能够实现的功能越来越多，这其中有两类敏感信息需要更多的安全保护。一是个人信息，这其中包括电话本、短信、联系人及定位信息；二是车辆控制协议信息，包括远程控制命令、身份验证信息等。这两种敏感信息，前者针对个人隐私，车载终端需要采取相应的技术手段防止信息泄漏；后者则更多地关系到人身安全，试想如果黑客攻破了车载智能终端系统，当驾驶者高速行驶时，黑客能够控制方向盘转向，控制油门刹车，这将会造成重大的安全事件。因此，如果车载智能终端的安全机制不够完善，将在很大程度上阻碍车联网的进步。

3 车载智能终端安全威胁

在车联网产业蓬勃发展和车载终端广泛应用的同时，车载智能终端的安全问题日益凸显，与车载智能终端相关的驾驶者和车辆信息泄露，车载终端或系统攻击等安全事件频发。例如，2014年10月，作为车联网发展里程碑的特斯拉汽车在GeekPwn智能设备挑战赛上被攻破，使其可以实现无人驾驶。2015年8月，被誉为迄今为止最优秀的车载智能系统“UConnect”被攻破，黑客可以实现远程控制汽车刹车、油门和方向盘，为此，克莱斯勒在美国紧急召回了140万辆汽车[3]。种种安全事件说明，越来越多的黑客将目光转移到安装有车载智能终端的汽车，车载智能终端面临着复杂多样的安全威胁。

黑客攻击汽车的方式多种多样，有的通过OBD接口物理连接入侵；有的通过蜂窝、蓝牙、Wi-Fi等无线连接实施入侵；有的先入侵装有相关汽车应用的手机终端，进而入侵汽车；也有的针对汽车联网应用，通过伪基站等方式欺骗车辆，窃取驾驶者和车辆信息，控制车载电控系统。这些安全威胁损害了用户权益，将驾驶者置于危险中，甚至还威胁到国家安全，造成了不良的社会影响，也影响了行业的正常发展。未来，车载智能终端类型和车载应用将更加丰富，涉及用户的隐私信息和开展的业务也将越来越多，车载智能终端的安全形势将更加严峻。应当及时分析，发现车载智能终端的安全漏洞并进行修补，对抗威胁，使黑客无从下手。

4 车载智能终端安全漏洞分类

4.1 车载智能终端系统安全漏洞

黑客可以通过各种方式攻击车辆，其根本原因是车载智能终端的操作系统、应用软件、固件等存在可以被利用的安全漏洞。目前，车载智能终端操作系统的发布与更新往往是由各个车载终端厂商独立完成，每个车载终端厂商都会根据自己的软/硬件设计，定制开发自己的操作系统和应用软件。但是，由于目前缺少规范的安全监管政策和流程，大多厂商无法对其车载终端的硬件、操作系统和应用软件进行必要的安全性测试，导致车载终端不可避免地存在一些缺陷，有些缺陷可能造成车载终端管理权限被非法获取或绕过安全防护措施，因此，会降低产品的安全性，使车载智能终端面临更加严重的安全问题。另外，车载智能终端需要与外界进行通信，可使用不同的方法将汽车数据传送出去，如使用开放协议、自己定制私有协议或者通过电信运营商和数据中心进行通信。若通信协议存在漏洞或者保护方法太简单，攻击者可以轻易地破解协议，然后通过车载终端向汽车发送控制指令。

车载智能终端漏洞会降低智能终端的安全性，导致严重的安全问题，如窃取用户隐私和控制车载电控系统。车载终端可将全车几十个汽车控制微处理器收集的数据和信息（如汽车数据、车辆运行情况、驾驶习惯、行驶路线、停留时间、使用情况等）通过移动互联网络发送到数据中心，恶意应用或攻击者可以利用车载终端漏洞获取用户和汽车数据，并将这些数据传输给第三方厂商，包括广告商、社交网站、汽车网站等。另外，攻击者也可利用车载终端漏洞对车载电控系统进行破坏性攻击，如关闭汽车刹车系统、篡改车速表读数、控制空调以及将驾驶员锁在车中等破坏行为，并进一步威胁驾驶员的人身安全。

目前，车载终端厂商已经开始重视车载智能终端的安全问题，从车载终端的硬件、操作系统、应用软件等方面不断提升产品的安全性，但对产品漏洞的及时发现和修补的重视程度还不够，造成很多正在使用的车载终端还存在比较严重的安全漏洞。

4.2 车载智能终端后门

后门是车载智能终端面临的另一个安全问题。后门程序一般是指那些绕过程序或系统已有的安全措施而获取对程序或系统访问权的程序方法。在车载智能终端操作系统和车载应用开发阶段，开发人员有时会在车载终端操作系统或应用软件内创建后门程序，以便修改操作系统或应用软件程序设计中的缺陷。如果这些后门程序被他人获知或在车载智能终端发布前没有删除后门程序，那么后门程序就可能被黑客利用进行攻击，如窃取用户隐私和控制车载电控系统，成为安全隐患。另外，还有些后门程序可能是开发者故意设置，为了以后利用后门程序实施信息采集、远程控制等行为，如收集用户和汽车数据，并将这些数据传输给第三方厂商。由于后门程序都是开发人员自主设计的，隐蔽性非常强，通过技术手段直接发现后门程序的难度很大。但后门程序权限高、危害大，给用户和国家带来了较大的安全威胁。

4.3 应用架构导致新的安全暴露

目前，有很多移动互联网公司开始和汽车厂商合作开发车载智能终端，提出了众多移动应用集成智能汽车的解决方案，如苹果的CarPlay和谷歌的Android Auto都提供了移动智能终端的开发接口，将会引发大量和汽车有关的手机应用的井喷。与此同时，移动智能终端的安全威胁也将引入车载智能终端中。移动智能终端应用缺少安全渗透测试的监管，加上许多应用开发者和车载终端厂商未对其开发的与车载终端连接的移动应用进行深入的安全检测，导致许多移动应用存在缺陷漏洞，如组件暴露、代码未混淆加密。同时，移动智能终端本身存在操作系统敏感权限滥用、恶意应用软件、漏洞和后门等安全威胁。攻击者可以利用这些缺陷或漏洞攻击移动应用，插入恶意代码，重新打包成恶意应用发布到应用商店，然后利用这些恶意应用窃取用户隐私，控制车载电控系统。

5 车载智能终端现有安全措施

针对车载智能终端安全，目前并不是完全没有手段，很多车企已经通过政策、技术等方式对车载智能终端的信息安全进行了一定的保护。

（1）满足现有标准中的相关安全要求

目前，国际标准化组织（ISO）于2011年发布了国际标准ISO 26262，这套标准派生于工业领域标准IEC 61508，主要定位在汽车行业中特定的电气器件、电子设备、可编程电子器件的安全基本标准。这套标准对汽车生产的整个生命周期提出了安全要求，包括车用软件在设计、开发、测试等方面一整套的功能性安全要求。目前，很多车载智能系统都希望通过ISO 26262，但到目前为止，这套标准的通过率仅为40%左右。

（2）依托厂商的安全架构

很多车企并不具备强大的软件开发能力，而车载智能终端的安全在很大程度上又依赖车用操作系统、车用APP这些软件的安全性，因此，大量的车企选择与软件厂商合作，由软件公司提供车载智能终端操作系统或安全加固方案来提升终端品质。例如，目前车用市场最大的操作系统供应商是QNX软件系统公司，据不完全统计，QNX在车用市场的占有率达75%，全球有超过230种车型使用QNX系统。QNX也在2014年推出了通过ISO 26262测试的汽车安全操作系统QNX1.0。此系统最大的特点是采用微内核技术，将操作系统模块化，内核仅提供操作系统核心功能，应用和驱动等都运行于内核之外，这样就保证了电子系统的功能安全。另外，针对信息安全，QNX系统可以根据使用者的不同划分不同的权限等级，在一定程度上保证了敏感信息不被非授权用户获取[4]。

（3）自身安全防护机制

车载终端最后还是要控制汽车，而车辆控制协议等信息依然掌控在车企手中，车企本身在这些内容的获取上也做了不同的限制。OBD盒子就是通过安插在车载OBD2接口上实现智能控制的，例如，通过手机端向OBD接口发送读取发动机水温值命令（0105），此时命令通过CAN总线到达车辆控制单元（ECU），ECU会返回一个水温值，这就完成了整套读取通信。但是，对于写入命令，车企会有比较严格的控制，目前会通过加密、隐瞒接口、权限验证等方式进行限制，而对于车辆的控制（如发动机启停、车门落锁），大部分需要通过写入命令实现。美国VisualThreat公司也提供了一种CAN防火墙，通过车内微控制单元（MCU）判断OBD传来的指令，安全则放行，否则给予拦截并通过移动应用进行报警[5]。

6 车载智能终端安全发展建议

尽管汽车厂商、车载终端的开发商已经开始采取措施加强信息安全防护，但是目前所做的工作不足以跟上车载智能终端的迅速发展，车载智能终端乃至车联网的安全建设还应该从以下几个方面进行加强。

6.1 提高车载终端自主创新能力

为提高车载终端安全自主可控，需鼓励和引导厂商加强车载终端自主创新能力，一是推动国产自主车载终端设备的研发，实现通信、存储及信息处理等关键芯片的自主可控，并开展车载终端安全技术研究，实现信息在终端层面采集、存储及使用的安全；二是推动车载操作系统的自主研发，充分利用开源技术，推动研发智能车载实时操作系统，鼓励开发和丰富本土化的车载应用，提高车载终端软件层面的安全能力；三是加强对车载终端及车联网安全新技术和产品服务的研究和投入，针对车载终端的安全挑战，有必要采取积极有效的应对措施，研究新的安全威胁解决方案。

6.2 完善车载智能终端安全标准体系

车载终端安全标准是提升车载终端安全能力的重要技术依据，要依据技术发展和应用情况及时制定完善的车载终端安全标准，明确其在保护用户数据、保障业务安全方面的技术要求，引导产品研发和产业发展。针对车载终端在隐私信息保护、访问控制等方面面临的风险开展研究，制定并完善车载终端的安全标准，着力推动车载智能终端接口及数据交互标准、无线数据传输标准、访问控制标准的完善，实现车载终端与车载电控系统间的安全互联互通。健全车载终端用户信息安全防护标准，推动车联网数据保护评级及软件评估认证。建立数据安全分级保护标准，按照重要性和敏感程度分级分类，强化数据保护，重视位置、车辆运行状态等敏感用户信息的安全性和隐私性。

6.3 加强车载终端安全监管

在传统的汽车行业监管之外，部分车载智能终端支持移动通信网络，符合移动终端的基本特征，按照《中华人民共和国电信条例》的要求，相关部门已对此类产品实施进网许可管理，通过进网检测，重点对其是否符合电信网络和信息安全的要求进行核查。随着车载智能终端和车载应用的普及，需要加强车载终端的安全监管，提升车载终端的信息安全水平。一是提升互联网汽车安全检测评价能力，加强产品事中、事后监管，进一步完善互联网汽车信息安全准入管理制度；二是将基于信息技术安全评估准则的安全领域认可的安全评估方法引入车载终端，建立车载终端与车载应用软件漏洞库。同时根据国家统一部署，借鉴国外的成熟经验并结合实际情况，做出符合我国信息产业发展现状的规定，对车载终端产品的安全性和可控性进行评估，全面降低车载终端面临的安全风险。

7 结束语

随着车载终端类型和数量的不断增多，车载应用软件也将更为复杂多变，车载终端面临的安全威胁类型也不断增多，安全风险将持续增大。为保障国家安全和用户合法权益不受侵害，需要提高车载终端安全自主创新能力，加快制订完善的车载智能终端相关的安全标准，加强车载终端安全监管，提高车载终端厂商、车载应用软件开发者等对车载终端安全的重视程度和技术能力。同时，加强车载终端产业各方的协作，建立科学合理的车载终端安全防护机制，确保车载终端安全有序地发展。

[1] 李守京.Telematics系统研究与车载终端设计[J].微型电脑应用,2012,28(8):30-33.

[2] 郭巍.汽车遇到互联网,体验通用安吉星[EB/OL].http://auto.163.com/14/0421/07/9QBAC3NI000816I5.html,2014.

[3]MILLER C,VALASEK C.Remote exploitation of an unaltered passenger vehicle[EB/OL].http://illmatics.com/Remote%20Car%20Hacking.pdf,2015.

[4]王珺.第一款经过ISO安全认证的车载OS长啥样?[EB/OL].http://www.cheyun.com/content/2313,2014.

[5]Visual Threat.2014年车联网OBD产品和汽车移动应用安全研究报告[R].2014.

[6] 李小刚,杨彬.车联网安全防护问题分析[J].移动通信,2015,(11):30-33.

[7]马世典,江浩斌,韩牟等.车联网环境下车载电控系统信息安全综述[J].江苏大学学报（自然科学版）,2014,35(6):635-643.

[8] 落红卫.车载自组网安全威胁及应对措施[J].现代电信科技,2014，(3):16-19.

[9]王闯.车联网:聚集新技术风险安全手段待加强[J].信息安全与通信保密,2015，(2):53-55.

[10]冯涛.车联网技术中的信息安全研究[J].信息安全与技术,2011，(8):28-30.