最安全的黑莓QNX“漏洞”频出？汽车网络安全进入高风险周期

高工智能汽车

一直以来，整车的安全更多地与物理功能有关，但行业也在积极考虑如何解决未来逐步升温的网络安全问题。从行业标准制定机构到政府主管部门，对于汽车网络安全的担忧越来越明确。
汽车产业正在经历巨大的变革，其中，推动这一转变的关键因素将是互联互通和自动驾驶，以及汽车制造商及其整个供应链的演变。
这其中，尤其是联网率的提升，带来的软件OTA更新策略，让汽车行业参与者开启了全新的商业模式探索。从特斯拉开始，越来越多的汽车制造商正在积极推动功能付费订阅模式的创新。
然而，对于消费者和监管部门来说，仍然存在许多问题。
许多人认为，汽车联网可能会推动对与移动性相关的服务收入。然而，也越来越担心联网车辆的安全，以及这些车辆获取和管理的数据风险。
高工智能汽车研究院监测数据显示，今年1-6月车联网前装搭载量为552.79万辆，搭载率首次突破50%，达到54.97%；搭载OTA功能上险量为316.78万辆，同比上年同期增长123.04%，继续保持高增速态势。
而潜在的网络安全风险也已经埋下种子。
一、
近日，黑莓(BlackBerry)公司宣布，旗下主营产品——QNX实时操作系统(RTOS)的某个版本存在BadAlloc漏洞的安全风险，黑客可能会让使用该系统的设备瘫痪。
BadAlloc是影响多个RTOSs和支持库的漏洞集合，远程攻击者可以利用CVE-2021-22156造成拒绝服务条件或在受影响的设备上执行任意代码。
按照披露的信息，CVE-2022-22156是一个整数溢出漏洞，影响多个黑莓QNX系统版本的C运行时库中的calloc()函数。如果，攻击者控制calloc()函数调用的参数，就能够控制访问哪些内存。
美国国土安全部下属的网络与基础设施安全局（CISA）发布公告称，使用RTOS软件的设备及所属公司，应该尽快联系黑莓公司获得补丁代码。一些系统定制开发的厂商，可能需要开发和测试他们自己的软件补丁。
有消息称，黑莓公司起初否认BadAlloc对其产品有任何影响。而在今年4月，微软安全研究人员已经发现了该漏洞，并在许多公司的操作系统和软件中也发现类似漏洞。
随后，黑莓公司表示，不打算通过公开信息方式来解决这个问题，并尝试计划私下接触直接客户，就相关问题提出预警。不过，该公司表示，无法通知到所有使用其软件的公司。
这是因为黑莓公司此前将QNX授权给一些软件系统集成商，后者再向客户提供定制化的软硬件产品。黑莓公司坦言，公司的直接客户是一个相对较小的群体。本周，黑莓公司正式对外发布了关于该漏洞的警告，并敦促客户将设备升级到最新的QNX版本。
在汽车行业，QNX实时操作系统是安全等级最高的商业化操作系统之一，此前主要应用仪表、信息娱乐、ECU以及包括高级驾驶员辅助系统在内的关键安全领域。
不过，黑莓公司表示，QNX实时操作系统的当前或最新版本不存在该缺陷，受影响的是2012年及更早的版本。但这并非该公司第一次被爆出系统存在安全漏洞。
然而，高工智能汽车研究院从国家信息安全漏洞库查询到，从2000年至今，黑莓QNX共计发现47个安全漏洞，涉及缓冲区溢出、文件泄漏、密码哈希泄漏、进程修改、权限许可及访问控制等。
目前，还不清楚，此次安全漏洞事件是否会对黑莓公司的汽车客户产生影响。该公司在官网表示，已经发布了软件补丁来解决这个问题。目前，没有客户表示他们受到了影响。
2010年，黑莓公司以2亿美元从哈曼国际手中收购了QNX系统。开始涉足汽车领域的智能互联以及安全技术。2018年，其来自汽车操作系统业务的销售收入增幅高达23%。
黑莓QNX在汽车安全体系方面的专业经验是其认为在汽车下一个操作系统时代的先发优势，一部分来自于BlackBerry在安全领域超过30年的专业经验；另一部分是QNX所打造的通过安全认证的基础软件。
同时，应对域控制器架构的需求，黑莓推出的QNX Hypervisor允许多个系统在同一控制器下并发操作，完全独立且彼此独立。汽车制造商可以在这个架构下使用其他信息娱乐系统，同时基于QNX操作系统来实现关键的安全功能。
尤其是QNX的Neutrino实时操作系统，目前在ADAS和自动驾驶系统方面优势明显，符合ISO 26262 ASIL D最高级别安全认证。近年来，数家提供面向L4级自动驾驶系统的公司都已经与黑莓公司签署相关的合作协议。
独立调研公司Strategy Analytics此前发布的统计数据显示，截止今年上半年，全球已有超过1.95亿辆汽车搭载黑莓QNX各种不同软件版本，其中，全球前25家电动汽车制造商中的23家已经是黑莓公司的客户。
尤其是近年来逐步演进的座舱域控制器市场，高通8155SA芯片+QNX虚拟化系统架构已经成为市场的主流配置选择，此外还包括ADAS系统、高精地图导航系统等等。
二、
CISA网络部门负责人埃里克•戈德斯坦(Eric Goldstein)表示，QNX的漏洞可能导致恶意网络黑客获得对高度敏感系统的控制。黑莓公司则表示，对受影响软件的初步调查确定了几个版本，但受影响软件的名单并不完整。
网络安全专家表示，在高度复杂的系统中，这类漏洞偶尔也会出现。这些漏洞可能会对严重依赖该类型软件的各个行业——从汽车到医疗行业，产生显著的连锁反应。
如今，对于汽车行业来说，随着软件在整车中的占比越来越高，“软件供应链安全已经成为最大的安全漏洞之一，”安全专家表示，尤其是软件的供应周期，只是一个开始，不是结束。
科络达首席执行官吴柏仪表示：随着智能网联汽车的普及，对智能汽车的安全性和稳定性提出了史无前例的高要求。比如，自动驾驶是否会收到黑客的攻击，智能座舱环境车主的隐私问题，智能汽车OTA升级的安全和稳定，等等问题。
8月12日，工信部正式发布《关于加强智能网联汽车生产企业及产品准入管理的意见》，明确压实企业主体责任，加强汽车数据安全、网络安全、软件升级、功能安全和预期功能安全管理，保证产品质量和生产一致性。
《意见》明确指出，车企需要强化数据安全管理能力、加强网络安全保障能力以及保证产品生产一致性。尤其是，在实施在线升级活动前，应当确保汽车产品符合国家法律法规、技术标准及技术规范等相关要求并向工业和信息化部备案。
在汽车网络安全方面，《意见》明确提出，企业应当建立汽车网络安全管理制度，依法落实网络安全等级保护制度和车联网卡实名登记管理要求，明确网络安全责任部门和负责人。
同时，要求企业具备保障汽车电子电气系统、组件和功能免受网络威胁的技术措施，具备汽车网络安全风险监测、网络安全缺陷和漏洞等发现和处置技术条件，确保车辆及其功能处于被保护的状态，保障车辆安全运行。
而在此之前，《网络安全产业高质量发展三年行动计划（2021-2023年）（征求意见稿）》正式发布，其中，也明确指出需要强化车联网安全能力建设。
此外，根据国家互联网信息办公室发布的关于《汽车数据安全管理若干规定（征求意见稿）》，对包括车主、驾驶人、乘车人、行人等的个人信息，以及能够推断个人身份、描述个人行为等的各种信息提出了更高的要求。
这其中，重要的数据涉及道路人流车流数据、高精度地图测绘数据、包含人脸、声音、车牌等的车外音视频数据，以及车辆位置、生物特征、驾驶习惯等等目前常见的类别。
这意味着，汽车制造商需要加强安全保护机制与开发流程，评估导入国际及国内标准认证、严格遵守OTA升级法规要求、加强信息安全建设。
而对于整车来说，随着车载软件和系统架构变得越来越复杂，集成度越来越高，减少漏洞，最小化攻击区域，并阻止可能危及车辆功能安全和数据安全的恶意攻击已经箭在弦上。
“对各种潜在安全风险，要做到防范于未然。”科络达首席技术官章鑫杰表示，与科络达V-SOC平台系统的同步，即可迅速侦测安全风险、保护所管理的设备，以避免持续扩大的安全威胁，有助于提升设备之服务的安全等级。
《意见》同时明确提出，第三方服务机构和企业要加强相关测试验证和检验检测能力建设，不断提升智能网联汽车相关技术和网络安全、数据安全水平。
同时，进一步完善智能网联汽车标准体系建设，加快推动汽车数据安全、网络安全、在线升级、驾驶辅助、自动驾驶等标准规范制修订。
此外，《意见》明确企业应当加强自查，发现生产、销售的汽车产品存在数据安全、网络安全、在线升级安全等严重问题，应当依法依规立即停止相关产品的生产、销售，采取措施进行整改。
三、
网络安全风险的根源，来自于底层硬件和系统的自主掌控。
去年发布的《新能源汽车产业发展规划（2021-2035年）》，进一步明确了中国智能电动汽车产业发展的顶层设计和推进机制，核心技术攻关是其中的一大重点。
软件定义汽车时代，整车计算平台需要高算力车规级芯片加安全的底层操作系统，从而规避过去在上述两大核心产品线受制于人的前车之鉴，及早谋划自主可控的芯片、操作系统成为从政策制定到产业升级的共识。
同时，统一的开源开放的操作系统，可以形成构架之上的车载应用软件“百花齐放”，形成中国智能汽车的产业生态。而通过合规的数据平台，可以进一步促进底层的算法优化。
突破车规级芯片、车用操作系统、新型电子电气架构，突破车载智能计算平台，搭建开放共享、协同演进的良好生态也多次在数个汽车产业规划中被提及。
“未来3-5年将在智能汽车上构建软硬件组合，其中包括了车用操作系统和车用高性能芯片两类卡脖子技术，只有解决了卡脖子技术，才能真正实现智能网联汽车自主可控发展。”国汽智控总经理、首席技术官尚进表示。
从面向整合ECU的OS，到面向融合DCU的OS、面向云计算的OS，到基于中央大脑的车云计算OS，智能网联汽车操作系统在不断发生演变，同时也驱动高安全、高实时、高性能、信息及网络安全的刚需。
在尚进看来，智能汽车操作系统，第一需要自主可控，第二是一个市场化的产品，最终检验是否自主可控的唯一标准，是市场化的落地程度。
7月30日，国汽智控重磅发布了智能网联汽车操作系统ICVOS（Intelligent Connected Vehicle Operating System）1.5版本，实现了OS与硬件平台和应用开发的双解耦，支持异构和弹性扩展芯片硬件平台。
目前，国汽智控牵头编制的国家标准研究报告《车控操作系统架构研究报告》及《车控操作系统总体技术要求研究报告》已经发布，也正在牵头制定《车控操作系统功能软件架构及接口要求》标准。
过去，汽车实时操作系统市场主要掌握在黑莓QNX、Wind River、Green Hills、WITTENSTEIN等少数几家外资供应商手中，基本上都是封闭模式。而和上层应用操作系统Android、Linux等相比，实时操作系统门槛更高、开发难度也更大。
但，中国企业已经陆续开始挺进。
几周前，地平线推出了基于安全微内核架构的开源实时车载操作系统TogetherOS™️，满足高等级自动驾驶实时性要求和功能安全要求，可覆盖自动驾驶、智能交互、智能网联、智能车控等车载全应用场景。
同时，地平线宣布，TogetherOS™️将实现开源开放，通过采用开放式软件架构，全产业生态合作伙伴都可参与共建，并且通过参与汽标委车用操作系统标准化项目，共建车载OS的开放生态系统。
TogetherOS™️采用面向下一代域集中式和中央集中式车载SoC平台设计，即可通过虚拟化来承载Linux、Android等操作系统，满足车载各个不同功能域的操作系统需求；又可基于高度灵活性和可扩展性的OS架构，来支持小核简单和多核复杂的应用场景。
“我们会把整套的运营环境，包括开源开放TogetherOS™系统、中间件等全部开放，我们的合作伙伴可以基于此去构建自己的计算平台或者应用操作系统。”地平线副总裁兼智能驾驶产品总经理余轶南表示。
此外，今年年初，斑马智行也亮相了全新一代智能座舱操作系统，基于AliOS打造，采用一种全新的多核分布融合架构，包含生态娱乐核、安全仪表核、实时自驾核、实时车控核，既有负责安全的微内核，也有宏内核，可同时满足车内不同域的功能隔离和功能安全要求。
整个智能座舱操作系统分为了三个Core，分别是仪表Core、车机Core以及AI智能Core，通过系统级Fusion技术将三个系统整体融合打通。可同时支持仪表Core和车机Core的运行。
同时，斑马智行异构融合式智能座舱操作系统的特点还在于基于云端一体的多核架构，使得系统能够统一调度资源，提高效率，并可以基于用户在线数据进行自学习，带来深层次的智能。
按照计划，下一阶段斑马智行将重点布局智能整车OS，以“OS+AI+芯片”为智能汽车决策核心，在操作系统层面推进汽车分布式智能向整车智能逐渐迈进。在这一点上，不管是地平线还是华为，基本上都是采用类似的策略。
这意味着，在中国汽车智能化大潮的带动下，中国企业有机会在核心的汽车操作系统细分赛道占据天时地利人和的优势。这是一条非常艰难的路，但前面却是无限可能。