車載信息娛樂系統的網絡安全考慮

創提信息
2022/11/07

分享到

如今,新車購買者的關注點更多地集中在“數字座艙生态系統體驗”上,而不是馬力和燃油經(jīng)濟性等傳統功能(néng)上。汽車行業已經(jīng)將(jiāng)通過(guò)完全連接的車載信息娛樂(IVI)系統(由觸摸顯示屏、語音命令以及綜合信息娛樂功能(néng)組成(chéng))提供這(zhè)種(zhǒng)體驗作爲有限考慮的需求。


什麼(me)是車載信息娛樂系統?
 
終端消費者對(duì)連接到他們的“數字生态系統”的體驗的期望越來越高。“數字座艙”是車載信息娛樂系統的核心,正成(chéng)爲各大整車廠及其汽車品牌的主要區别所在。
 
IVI是車輛系統的組合,用于向(xiàng)車内人員提供音視頻接口和控制元件——觸摸顯示屏、按鈕面(miàn)闆、語音命令等。
 
以下是組成(chéng)“數字座艙”的組件或模塊的簡要說(shuō)明:
 
    1. 用戶界面(miàn):駕駛員和乘客通過(guò)觸摸或通過(guò)旋鈕和表盤在屏幕上查看并互動的界面(miàn)。
 
    2. 頭部單元:包括顯示器、外殼、電路闆、CD/DVD播放機、收音機和多個處理器——這(zhè)些統稱爲車輛的頭部單元。它也是車輛所有物理輸入(如音響系統和/或外部攝像頭)的接口。
 
    3. 操作系統(OS):操作系統是信息娛樂系統的核心,可以控制對(duì)頭部單元中處理器、内存、存儲器和顯示器的訪問。
 
    4. 應用程序框架模塊:管理從Spotify應用程序到導航以及與系統交互的一切,如文本轉語音和語音命令。它可以控制所有應用程序的功能(néng),以及哪些應用程序出現在頭部單元。
 
    5. 移動集成(chéng):使車輛能(néng)夠與各種(zhǒng)智能(néng)手機和設備連接。支持Wi-Fi、藍牙和即插即用軟件,例如Google Play’s Mirror Link, Apple Car Play和Android Auto,可以將(jiāng)自定義版本的手機媒體和應用程序導入到屏幕上。
 
    6. 汽車平台:應用程序框架與操作系統(OS)之間的軟件橋梁,支持多媒體、視頻、導航、音頻、收音機、音響、軟件更新、雲服務等等。
 
根據行業研究公司Frost & Sullivan最近的一項分析,到2025年,“聯網汽車”將(jiāng)占據全球汽車市場近86%的份額。同年,IVI市場預計將(jiāng)達到427億美元。
 
但是,IVI系統本身與第三方應用程序共同爲網絡犯罪分子制造了大量的漏洞威脅點,也的确是事(shì)實。整車廠和汽車行業的IVI系統一級供應商必須努力确保這(zhè)些系統内的嵌入式代碼符合安全關鍵标準。這(zhè)樣(yàng)做有助于避免産生召回成(chéng)本和對(duì)商業信譽造成(chéng)影響。


網絡攻擊對(duì)IVI構成(chéng)嚴重風險
 
可以說(shuō),聯網車輛是通過(guò)IVI系統與互聯網連接的四輪計算機。此外,由于IVI系統是車載網絡的一部分,黑客可以利用該系統控制駕駛員的智能(néng)手機,獲取個人信息,操縱車輛安全關鍵系統功能(néng),編寫系統更新程序等,從而制造出許多易受攻擊的威脅點。因此,IVI系統開(kāi)發(fā)實踐必須遵守編碼标準和指南。
 
另外,最近的兩(liǎng)項舉措有望惠及IVI系統,即ISO/SAE 21434标準和聯合國(guó)歐洲經(jīng)濟委員會(huì)(UNECE)WP.29法規。這(zhè)兩(liǎng)個标準相互補充,爲汽車行業打造新一代的聯網汽車做好(hǎo)了準備。
 
ISO/SAE 21434标準建立在其前身ISO 26262的基礎上,而不包括軟件開(kāi)發(fā)和子系統。ISO/SAE 21434重點關注的是汽車電子産品設計和開(kāi)發(fā)中固有的網絡安全風險。汽車軟件安全标準ISO/SAE 21434提供了一個結構化的流程,以确保在汽車産品的整個生命周期内都(dōu)會(huì)考慮網絡安全問題。
 
與ISO/SAE 21434不同的是,WP.29法規确認了整車廠有責任管理整個供應鏈網絡安全風險。


IVI網絡安全漏洞如何影響整車廠
 
整車廠及其一級供應商需要采取措施,避免其IVI嵌入式軟件中的漏洞産生負面(miàn)影響,因爲攻擊可能(néng)會(huì)威脅駕駛員和乘客的隐私與安全。網絡安全事(shì)故可能(néng)會(huì)耗費可觀的成(chéng)本和大量的時(shí)間,還(hái)可能(néng)導緻車輛召回,最終帶來最嚴重的影響,造成(chéng)聲譽的損失和組織效率的降低。


爲什麼(me)SAST是IVI系統軟件代碼的關鍵
 
靜态應用程序安全測試(Static Application Security Testing, 簡稱SAST)軟件測試方法可以檢查和分析應用程序源代碼、字節碼以及用于編碼和設計的二進(jìn)制文件,以發(fā)現IVI系統軟件中的安全漏洞。SAST背後(hòu)的工作機制依賴于檢查設計和編碼缺陷的靜态分析工具。
 
Klocwork是業界領先的靜态分析和SAST工具,适用于C, C++, C#, Java, JavaScript, Python和Kotlin等語言設計的源代碼,非常适合企業DevOps和DevSecOps。而且,10家頂級汽車零部件制造商中有9家依賴于Perforce靜态分析工具來幫助确保其汽車軟件的安全性和合規性。
 
如果您準備親自體驗Klocwork如何幫助确保您的嵌入式軟件的質量,立刻注冊申請10天的免費試用吧。