佐思汽研發(fā)布《2020主機廠信息安全布局研究報告》，對當前汽車信息安全現(xiàn)狀和主機廠布局進行了梳理。

汽車信息安全事件頻發(fā)，服務器、數(shù)字鑰匙等成主要攻擊端口

隨著新四化發(fā)展，汽車智能化率不斷提升，功能逐漸豐富。根據(jù)統(tǒng)計，2020年1-10月中國新車網(wǎng)聯(lián)功能裝配率已超過50%，2025年將達到75%左右。功能上，則向智能座艙、高等級自動駕駛方向演進，多模態(tài)交互、多屏互動、5G網(wǎng)絡、V2X、OTA、數(shù)字鑰匙等功能應用不斷擴大。隨之而來的，則是汽車控制代碼逐漸增多，可攻擊端口增加，面臨的安全威脅加大。 從安全事件端口分布來看，目前的汽車信息安全事件主要集中在服務器、數(shù)字鑰匙、移動APP、OBD端口等。 服務器是信息安全第一大端口，黑客可通過入侵操作系統(tǒng)、數(shù)據(jù)庫、TSP服務器、OTA服務器等系統(tǒng)漏洞，對數(shù)據(jù)進行篡改、破壞，造成車端安全事故。服務器的攻擊工具大多數(shù)為遠程接入，成本相對較低；同時服務器存儲的數(shù)據(jù)資產(chǎn)極其重要。這些特性導致了服務器攻擊占比一直高居首位。 數(shù)字鑰匙是信息安全第二大端口，是用于闖入和盜竊車輛的最常見攻擊媒介之一。根據(jù)統(tǒng)計，2020年中國藍牙數(shù)字鑰匙裝配率將超過30萬，裝配率有望接近4%，功能亦從基本的解閉鎖與啟動，延伸至賬號登錄、鑰匙分享、車輛軌跡記錄、快遞到車等個性化配置，其對于車端安全的影響日益突顯。

圖：截至2020年全球汽車安全信息事件端口分布

來源：upstream.auto；佐思汽研整理

不同品牌汽車正在遭受不同程度安全攻擊

車輛智能化程度越高，所遭受的安全攻擊越多。在智能化背景下，全球主機廠無一幸免，例如奔馳、寶馬、奧迪、大眾、豐田、本田、現(xiàn)代等國際一線品牌，均遭受了不同程度的安全攻擊。

圖：2018-2020年部分主機廠信息安全事件

2020年3月，豐田、現(xiàn)代和起亞等OEM鑰匙加密方式被曝出存在缺陷，存在被侵入或被盜風險。主要由于上述OEM采用的德州儀器DST80加密系統(tǒng)存在漏洞，黑客只要在任何搭載DST80汽車的遙控鑰匙附近，使用相對便宜的Proxmark RFID閱讀器/發(fā)射機設(shè)備對鑰匙進行“盜刷”，其就可以獲得足夠的信息，從而獲得其中的加密信息。

主機廠紛紛加快信息安全領(lǐng)域布局

為應對汽車信息安全日益嚴峻的挑戰(zhàn)，主機廠從不同方向提升安全防護，主要集中在三個方面：1.集團內(nèi)部信息管理、研發(fā)流程的優(yōu)化；2. 設(shè)立專門的信息安全團隊的建設(shè)；3.車聯(lián)網(wǎng)的信息安全防護。 歐美主機廠：信息安全防護部署多樣化 歐美主機廠依托技術(shù)優(yōu)勢，全面推進網(wǎng)絡安全防護建設(shè)。除了提升車聯(lián)網(wǎng)網(wǎng)絡安全防護外，也一直在加強對公司的信息安全管理。從團隊建設(shè)上看，歐美大部分主機廠會建立獨立的信息安全部門或者子公司，以保證汽車全生命周期的信息安全。 例如奔馳，信息安全防護布局主要體現(xiàn)在3個方面：

云計算：通過云平臺實現(xiàn)對車載數(shù)據(jù)的防護。通過該技術(shù)，車主能在駕駛過程中掌控數(shù)據(jù)對外的開放程度。同時車主也可在離開車之后自動消除相關(guān)信息。

工廠端：與電信商、設(shè)備商合作建立智能汽車生產(chǎn)工廠，運用5G移動網(wǎng)絡保證生產(chǎn)數(shù)據(jù)安全。

漏洞防護：與第三方網(wǎng)絡安全企業(yè)合作，檢測并修復智能網(wǎng)聯(lián)汽車有關(guān)的潛在漏洞。

圖：歐美主機廠信息安全布局

日韓主機廠：更注重公司級別的信息安全防護，主要以公司的信息安全的管理為重心。 例如：日產(chǎn)主要從公司內(nèi)部信息安全的管理入手，健全信息安全管理規(guī)范，而且其研發(fā)管理系統(tǒng)和信息安全平臺近幾年一直在完善。同時依托以色列特拉維夫的聯(lián)合創(chuàng)新實驗室與以色列初創(chuàng)企業(yè)合作進行信息安全測試、研究，目前合作聯(lián)合原型項目已超過10個。

圖：日韓主機廠信息安全布局

中國主機廠：新勢力企業(yè)先行 中國新勢力企業(yè)在信息安全防護方面可圈可點，例如小鵬汽車通過自建安全團隊，并與阿里云、科恩實驗室、艾迪德等伙伴合作的方式，從云端、車端、手機端同時部署，建立以主動防御為核心的防護體系。蔚來汽車也通過自建團隊及多方合作，建立起X–Dragon多維度防護系統(tǒng) 中國傳統(tǒng)車企也正在跟進，東風、上汽、廣汽、北汽等更加關(guān)注企業(yè)全生命周期的安全管理。例如上汽在整體部署中，將下屬企業(yè)加入集團信息安全保護與管理體系，內(nèi)部統(tǒng)一采用數(shù)絡加密軟件（GS-EDS系統(tǒng)），保證集團整體的數(shù)據(jù)安全；其次，自建云平臺，獨資建立云計算中心，提供全品類的云安全服務；最后，成立上汽集團零束軟件分公司，承擔基礎(chǔ)技術(shù)平臺的研發(fā)，增強自己的軟件研發(fā)能力。

圖：中國主機廠信息安全布局

主機廠不斷擴大信息安全領(lǐng)域合作

主機廠除加強自身安全防護能力外，近年來開始廣泛尋求對外合作，合作范圍已覆蓋車端、通信端、平臺、數(shù)據(jù)、應用等各個層級。

圖：部分主機廠信息安全領(lǐng)域合作伙伴

原文標題：汽車信息安全研究：主要攻擊端口為服務器、數(shù)字鑰匙，主機廠加大信息安全布局

文章出處：【微信公眾號：佐思汽車研究】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。

責任編輯：haq