欢迎来到呼和浩特互联网
Time:

您的位置: 首页 >> 职场

专访VisualThreat创始人汽车应

2020.01.16 来源: 浏览:0次

  专访VisualThreat创始人:汽车应用和OBD巨大安全隐患不可忽视!

  “我可以看到你的发动机已运行。但是你不觉着我就在你的轮子后面,在你没意识到情况下,控制着你的车吗?”这是VisualThreat的CEO严威博士在硅谷的一次汽车安全分享会上所说的话。这听起来非常令人毛骨悚然,但它却真实存在。

  控制器区域络(CAN)是汽车产业上最常用的协议。它是基于广播总线的协议,这意味着所有的信息包都会被发送到所有的电子控制单元(ECU)上。很久以前,基于CAN的汽车系统是隔离且安全的,而现如今,高级诊断功能允许汽车生成关于引擎和驱动程序的大量剖面数据(profile data),并将其提交给所连接的车辆云。

  随着移动技术的快节奏发展,移动设备的数量呈指数级增长。当同时连接汽车级车联云移动应用,汽车便成了病毒新的攻击目标。

  开头所提到的VisualThreat是硅谷的一家车联安全防火墙提供商,联合创始人兼首席执行官严威博士曾在迈克菲、趋势科技和赛门铁克等安全行业合资企业担当重任,并对安全服务有着深刻的理解。

  同时,他也是同行评审专业期刊编委会成员和许多国际安全会议的技术委员会成员,曾在领先的产业和学术会议上发表演讲,例如Virus Bulletin、AVAR以及Syscan。笔者在其位于硅谷Santa Clara的办公室对严威博士进行了专访。

  汽车应用发展迅速,安全隐患巨大

  在此之前,他见证了PC发展的十年中病毒的演变

  ,并推断移动端的病毒发展可能会更盛,这便是他创立VisualThreat的初衷。再加上汽车安全方面目前还鲜有人涉足,因此这也是一个很好的发展契机。

  目前许多汽车厂商、互联科技公司等企业都在发展车联,但安全问题似乎很少被提上议程,甚至也有人质疑:汽车到底会不会有病毒呢?

  严博士说,他们目前正在建立一个汽车病毒攻击库。现在,有些OBD盒子已经允许智能通过其来对汽车进行遥控,如打开车门、后尾箱等。通过严博士的实拍视频演示,他的团队对这样的智能进行了攻击,让它自动向第三方服务器发送汽车的型号及位置所在,并截取其控制汽车的频段,于是很轻松就能打开车门并偷走里面的东西。

  另一种攻击手段为:通过截取频段,对汽车的OBD盒子进行远程操控,比如让仪表盘上的检修灯亮,再以短消息的形式通知4S店。随后,车主就将被4S店的或短信狂轰滥炸地骚扰,甚至接到其他不法分子的诈骗信息。

  这些例子说明:汽车移动端有着很大的安全隐患,比如移动应用很可能会在人们不知情的情况下将一些重要的代码打包发送给第三方等。目前来说,无论是P2P租车公司还是OBD盒子厂商,他们的服务和产品都已经问世了,看似能够在表面上满足用户的使用需求,但他们恰恰忽略了人们潜在的安全需求。

  OBD的作用和安全隐患超乎想象

  严博士表示令他没有想到的是,中国OBD的发展速度竟然比他预想的还要快得多,尤其当他看到腾讯路宝盒子问世的时候。但也许随着汽车产业的发展,汽车会逐渐转型向电动汽车,OBD以后也有可能会消失,但汽车的移动应用、移动端和汽车的连通一定是一个大趋势。而在这其中,安全问题是不可忽视的。

  目前,主流的汽车一共有三个对外接口:OBD、AUX和点烟器插口。而会发生数据传输的目前只有OBD,今天几乎所有的汽车移动互联都通过OBD来完成。再者,目前OBD的发展较为成熟,这也是严博士和他的团队将OBD作为VisualThreat涉足汽车安全的起点。他强调,汽车安全在未来并不会局限于OBD。

  严博士也提到了近期逆势大涨的Mobileye:产品其实很简单,不外乎就是摄像头+应用程序,但它却能很好地切中用户对于外部行车安全的需求,这从股价就能反映出来。随着越来越多汽车应用的出现,汽车正从一个纯粹的交通工具变为一个交互设备,而VisualThreat则是从汽车内部的安全入手,与Mobileye能够形成一个很好的互补。

  目前已经有一些应用以OBD盒子为入口,可以通过智能实现对汽车的远程控制,但在汽车应用运行的过程中,谁也不知道这其中会发生什么事情,也没有OBD厂商能够对此进行掌控。无论拿OBD来做什么,其原理不外乎为硬件+应用,而应用则可以拿来大做文章。

  严博士认为,OBD并不是鸡肋,它作为汽车数据的端口有很大的潜力,通过它能做很多事情。用户的痛点在于:通过OBD能用很小的成本来让自己的入门级汽车达到高档汽车的水准,如远程操控等。而它的背后是什么呢?钓鱼、诈骗甚至是对生命安全的威胁。

  虽然现在还没有太多关于汽车安全隐患方面的报道,但根据从业多年的经验来看,严博士认为汽车病毒一旦爆发就将成指数倍增长,而且是在用户不知情的情况下。他的团队已经验证:可诱使用户下载一个被打包了的应用,那么将能够通过智能检测出车里装了什么样的OBD盒子,随后即可对其进行破解并进行犯罪行为。

  但遗憾的是,目前对于汽车安全问题还没有足够的关注度,也许要等发生一两次重大事故以后才能引起人们的重视。严博士预测:未来的半年内汽车应用将会大规模发展,而OBD则是一个主要汽车互联媒介。而汽车与智能的互联也是一把双刃剑。传统汽车的安全验证都是从总线和ECU来验证,而现在多了一个智能到OBD这样的外部渠道,使安全认证变得更加复杂。

  车联安全在中国未引起足够重视

  严博士表示,如果VisualThreat这样的汽车安全解决方案如要进行推广,2B是目前最好的渠道。相比于个人用户,租车公司、汽车诊断上和后市场相关企业对汽车安全有更大的需求。另外,传统燃油汽车的市场更加成熟,且未来几年内燃油汽车也不可能被代替,因此汽车安全提供商的目光也应该放在传统汽车行业。

  VisualThreat可通过汽车防火墙为用户营造一个安全的驾驶环境,与Mobileye这类注重汽车外部安全的技术可形成互补。目前VisualThreat的潜在合作对象有OEM、OBD厂商、租车公司甚至保险公司,它也为上述的一些公司提供了安全检测,将通过这些渠道来融入车联的生态系统。

  严博士的团队和美国、日本及中国的潜在服务对象都接触过,本认为中国应最有市场潜力,可结果发现日本和美国的相关企业对汽车安全更加重视,更有合作意向。而遗憾的是,中国却未对其置予太大的兴趣。“目前中国的OBD厂商基本上都在拉客户、拼销量、相互“取经”的状态,安全方面几乎空白,漏洞百出。经检测,它们的漏洞甚至都是一模一样的。”严博士如是说。

  他的团队对来自中国的几款OBD盒子进行了测试,发现它们普遍存在的问题为通信协议都过于简单,很容易被攻破。另外,他们也对来自北京的某P2P租车公司的产品服务进行了检测,其安全方面可以用“一塌糊涂”来形容——他们甚至能通过OBD盒子从其数据库调取用户的隐私数据,包括信用卡号等。这么看来,OBD也许并不是“伪需求”,它所能做的比我们想象的还要多。

  其中还有一个小插曲:在团队检测到安全漏洞时,美国的公司会非常重视并积极与他们联系;而在告知中国某OBD厂商时,对方除了回复了一个“呵呵”就再也没有下文了。

  严博士认为,在技术上,中国和美国的差距并不大,甚至中国的OBD市场更加成熟。但是美国的2B市场更加规范,生态链更加完整。而中国整体偏向于2C市场,因此造成了过于碎片化和零星的局面。安全需求是一个刚性需求,它将随着汽车应用的发展而逐渐显现,也许到那时,它会在中国引起足够的重视,而不是等到悲剧发生以后。

  原创文章,未经授权禁止转载。详情见转载须知。

Tags:
友情链接
呼和浩特互联网