周鸿祎为何关注智能汽车安全?看看全球这14起攻击事件 【图】
“不要让智能汽车去‘裸奔’。”今年两会,360集团董事长兼CEO周鸿祎谈起智能汽车提到的最重要的问题是安全。让出行更加便利的智能网联汽车安全状况到底如何?实际上,2018年几乎
“不要让智能汽车去‘裸奔’。”今年两会,360集团董事长兼CEO周鸿祎谈起智能汽车提到的最重要的问题是安全。让出行更加便利的智能网联汽车安全状况到底如何?实际上,2018年几乎可以称为智能网联汽车的“刷漏洞”年。3月20日,360发布《2018年智能网联汽车信息安全年度报告》,从行业发展、安全标准规范、安全事件以及2019年发展建设建议等方面,对智能网联汽车信息安全做了全面梳理。
“刷漏洞年”——2018全年爆发14次智能汽车信息安全事件
今年两会,周鸿祎等互联网大佬的两会提案都聚焦智能汽车,技术的发展推动互联网和汽车行业的逐渐融合,智能网联汽车正在成为主流。360在去年的报告中预测,汽车信息安全将进入“刷漏洞”时代。不幸的是这个说法被言中了,过去的一年里很多汽车厂商惨遭漏洞威胁,越来越多汽车相关的漏洞取得了CVE编号,攻击面从汽车终端转向了云端,对汽车厂商及供应商造成了极大的影响,暴露出来的问题层出不穷。
《报告》盘点了2018年发生的14起智能网联汽车信息安全事件,其中包括5起数据泄露事件和9起汽车破解事件。以数据泄露为例,2018年7月,包含大众、特斯拉、丰田、福特、通用、菲亚特克莱斯勒等百余家汽车厂商机密文件被曝光。其涉及内容从车厂发展蓝图规划、工厂原理、制造细节,到客户合同材料、工作计划,再到各种保密协议文件,甚至员工的驾驶证和护照的扫描件等隐私信息,共计157千兆字节,包含近47,000个文件。
这起事件背后主角是这些车厂共同的服务器供应商,其在使用远程数据同步工具rsync处理数据时,备份服务器没有限制使用者的IP地址,让非指定客户端也能连接,并且未设置身份验证等用户访问权限,比如客户端在接收信息前进行身份验证等,任何人都能直接通过rsync访问备份服务器,这是这起事件的主要原因。