汽车人参考|汽车黑客无处不在,细数网络安全十大风险,或只是冰山一角
这是“汽车人参考”的第250篇原创文章
有人的地方就有江湖 , 有接口的地方就有黑客 。
JEEP自由光被远程操作 , FCA宣布召回140万辆汽车;宝马数字系统遭黑客入侵 , 车门被开信息被盗;特斯拉Model S发送“自杀”命令 , 正常行驶中被关闭引擎......
汽车网联化和智能化程度越来越高 , 同时被黑客攻击的风险也越大 , 解决汽车网络安全已迫在眉睫 , 这里分享最可能、最常见、最危险的十大风险 。
本文图片
风险一:不安全的接口
汽车与Web、后端API、云或移动有大量接口 , 通信时 , 接口易受到攻击 。
对数据库、操作系统、Web中间件的攻击 , 会导致后台数据被非法查询和获取 , 服务器被远程入侵和控制 , 进而汽车被远程控制 。
本文图片
风险二:未经授权访问
利用安全配置或权限认证地址、授权页面、汽车控制指令的缺陷 , 直接访问汽车相关功能 。
攻击场景包括了绑定车辆逻辑漏洞、利用中间人攻击、利用越权漏洞 , 会造成汽车自主上电、点火等以及信息的泄漏 。
本文图片
风险三:系统后门
设计开发者有意留下的入口 , 在发布软件后 , 后门程序没有删除 。
对调试接口后门、组合键后门、系统特殊账号密码的攻击 , 会造成车载娱乐系统或T-BOX等被提权 。
风险四:不安全的车载通信模式
通信协议未加密或加密程度不够 。
攻击场景包括了伪造GPS信号、拦截汽车通信数据包、录制智能钥匙信号 , 会造成车辆位置被篡改、通讯数据被监听、汽车被盗等 。
本文图片
风险五:系统固件被提取和逆向
从芯片中提取系统固件文件 , 利用逆向工程分析出软件的结构、流程、算法等 。
包括了固件提取、获取内存数据、逆向分析三个攻击场景 , 会造成汽车文件系统和配置信息的泄露、更多漏洞被挖掘以及算法被破解 。
风险六:存在已知漏洞组件
汽车应用程序组件如库、框架等存在漏洞 。
【汽车人参考|汽车黑客无处不在,细数网络安全十大风险,或只是冰山一角】利用漏洞可进行提权操作和远程攻击 , 会危害系统安全以及应用程序被远程控制 。
本文图片
风险七:车载网络未做安全隔离
汽车通讯总线在OBD处预留物理连接线路 , 通过外部设备直接读取到总线信息 , 并将攻击信息发送给总线 。
攻击场景包括利用OBD接口发送恶意的CAN数据或者拒绝服务攻击 , 会导致汽车娱乐和动力系统被控制 。
风险八:敏感信息泄露
汽车内部软件保护数据失效 , 在程序文件、配置文件、日志文件、备份文件以及数据库中泄露口令、密匙、个人隐私数据、授权凭证等 。
攻击场景包括逆向车辆内部软件获取敏感数据 , 导致汽车被植入木马、流量劫持以及影响用户 。
本文图片
风险九:不安全的加密
重要信息不加密或者加密强度不够 , 没有使用安全方法储存加密秘钥 。
攻击场景包括嗅探和查看安装位置 , 导致各种数据泄露 。
风险十:不安全的配置
汽车硬件和软件系统默认设置不安全 , 缺乏限制操作者修改配置 。
推荐阅读
- 南京■南京长途汽车东站12月28日起恢复发车
- 子良说汽车|崔克“唯一”的车型?TREK Domane进化史
- 汽车|马自达全新CX-5曝光!搭直列六缸引擎/后驱平台
- 汽车|8款新车12月份上市,开回家过年很有面子
- 汽车|9万不到的SUV 居然有197马力 而且还有大空间7座!
- 汽车|续航里程410km 华晨新日新能源汽车首车下线
- 汽车|评测 | 懂你所想,予你所需!依维柯欧胜2021款这个“搭档”可还行?
- 汽车知识|凯美瑞2.0L落地近22万,动力差,优惠少,但就是销量高!
- 汽车市场|品牌与性价比亦可兼得 实拍奥迪Q2L
- 汽车知识|保时捷灯玛莎脸,配上三菱动力,你会买吗