2021年全球汽车网络安全报告:网络攻击新目标车联网基础设施

VSole2021-11-19 21:07:39


汽车网络安全专家近期在采访中表示,随着汽车联网程度越来越高,各式各样的网络攻击也逐渐兴起:偷车贼滥用无钥匙进入系统、黑客挖掘新的汽车部件漏洞利用方式、诈骗团伙盯上汽车金融服务等等。

比如说,今年9月,纽约市警察局端掉了一个汽车盗窃团伙,称该团伙从网上购得安全密码后通过当地锁匠将密码编码进电子车钥匙中,用这种克隆的电子车钥匙盗取汽车。盗车贼们还使用了机械师常用的一种售后扫描工具重新编程目标汽车的启动系统,让系统以为所有车钥匙都遗失了。

汽车行业网络安全服务提供商Upstream产品副总裁Guy Molho表示,电子盗窃的增加只是汽车领域快速采用联网软件的意外后果之一。、

“汽车原始设备制造商(OEM)正争先恐后地为其客户提供诸多新功能,而这些新功能正是可为黑客所用的全新攻击面和攻击途径。这个攻击面只会越来越大,因为汽车不再仅仅是一辆车,而是安装在轮子上的软件平台。”

欢迎进入联网汽车新世界!潜在的危险不单单是传闻中的纽约数字盗车贼。另一报道中,英国的另一伙黑客利用类似掌上游戏机的设备欺骗无钥匙进入系统,在不到三个月的时间里盗取了三十多辆三菱欧蓝德汽车。

从勒索软件导致汽车制造商生产业务中断(如雷诺和本田公司所遭遇的),到白帽子网络安全研究员成功获取特斯拉有限远程控制权,一系列各式各样的攻击无不表明:联网可为高科技车辆不断增添各种新功能,但同时也大幅增加了汽车承受的攻击面。根据Upstream的调查数据,2020年里,54.6%的此类事件涉及黑帽子黑客,而白帽子研究人员则参与了剩下的其中大多数事件。研究自家汽车的车主虽然占比很小,这一比例却在不断扩大。

而且,联网车辆的数量持续增长。目前约有四分之一的车辆都以某种方式接入网络。据估计,到2025年,每八辆汽车中就有七辆是联网汽车。

Upstream《2021年全球汽车网络安全报告》


Upstream在其年度《全球汽车网络安全报告》中指出:“汽车生态中的网络威胁尤为令人担忧,因为此类威胁可能直接影响道路使用者的安全。车辆本身就很危险;再加上联网,现代汽车就尤其危险了。”

涉车安全事件中最著名的无疑是2015年的吉普切诺基黑客攻击演示,在演示中Charlie Miller和Chris Valasek成功夺取了汽车控制权;但最常见的汽车攻击方式是破坏托管汽车服务的服务器(40%),利用电子车钥匙或无钥匙进入系统(25%),以及入侵移动设备汽车应用(9%)。针对信息娱乐系统、利用车载诊断(OBD)端口和针对制造商IT网络的攻击各占案例总数的6%。

Upstream首席分析师Tomer Porat表示,未来大规模入侵尝试将变得更加普遍,因而联网基础设施的组件将成为攻击目标。

他认为:“攻击渠道将延伸到服务器,以及通过OEM的IT基础设施利用漏洞。Porat表示,尽管其中一些问题出自设计缺陷,另一些却是由人为失误引起的。开发人员经常犯错,他们会将敏感信息发布到GitHub和其他公开的地方,暴露出基础设施。

Point Predictive公司提供打击金融欺诈的工具,其首席欺诈策略师兼联合创始人Frank McKenna指出,汽车生态中也充斥着金融欺诈。诈骗犯、购车人,甚至经销商经常在申请汽车贷款时耍花招,确保能够完成汽车销售交易。McKenna称,大约80%的贷款欺诈是为了让购车人有资格获得汽车贷款;大约20%涉及罪犯试图获利。

McKenna表示:“当购车人告诉你他们的收入是实际收入的两倍时,当他们开始在重要事实上对你撒谎时,那就是欺诈。如果贷方没有良好的控制措施,欺诈可能会给贷方造成50个基点到3%的损失。”、

最后,联网汽车产生和消费的数据量均显著增长。Upstream的Molho表示,现代联网车辆每天产生GB级数据,这给安全控制造成了问题。

“汽车产生的数据如此之多,因而大多数联网车辆都设置5G连接来支持如此庞大的数据量。通过无线更新,汽车可以随时获得新功能,于是数据不断增长。”


网络安全汽车
本作品采用《CC 协议》,转载必须注明作者和本文链接
汽车一直以来都将速度、激情、男性荷尔蒙和阳刚气息联系在一起,这种联系似乎已经成为了文化符号。然而,作为一名安全从业者,我时常担心智能汽车被黑客远程控制,就像在《速度与激情8》动作电影中所描绘的一样,尽管这看上去像是科幻小说,但汽车黑客攻击是一个非常真实的问题。
Salesforce的一项调查报告显示:汽车行业的人员安全意识大大低于各行业平均水平。
尽管汽车制造商越来越重视网络安全,但随着汽车向“轮子上的软件平台”迈进,随着各种新功能的快速采用,联网汽车也逐渐成为了恶意黑客的攻击目标。
近三分之二(64%)的汽车行业领导者认为,他们的供应链容易受到网络攻击,许多企业没有为互联汽车时代做好充分准备。这是根据卡巴斯基对汽车行业至少1000名员工的大型企业C级决策者进行的200次采访得出的最新研究结果。它揭示了汽车公司在生产的几乎每个阶段——从厂商到供应商——遭遇的广泛攻击。
在本次报告中,研究人员探讨了当前汽车行业面临的主要安全威胁态势,以及如何有效应对这些威胁挑战的方法和建议。以下就是本次报告研究中的五个关键发现。
科技已成为日常生活中必不可少的一部分。从我们的出行方式到我们购买的东西,计算机都处于变革的前沿,对于车辆来说尤其如此。
关键词汽车网络安全与数据安全监管中国汽车产业发展国际论坛昨天(5日)闭幕,工信部相关负责人明确指出,随着汽车
信息安全成为社会性关注的话题,汽车进入智能网联的发展阶段,汽车俨然成为了新的移动终端,甚至被定义成了生活的第三空间。近年来,关于汽车信息安全的话题和风险的暴露,引发了公众的关注,那究竟什么是汽车信息安全?它对于我们而言意味着什么?我们要怎么样防范?
VSole
网络安全专家