信息來源:安全內(nèi)參
汽車網(wǎng)絡(luò)安全專家近期在采訪中表示,隨著汽車聯(lián)網(wǎng)程度越來越高���,各式各樣的網(wǎng)絡(luò)攻擊也逐漸興起:偷車賊濫用無鑰匙進入系統(tǒng)���、黑客挖掘新的汽車部件漏洞利用方式、詐騙團伙盯上汽車金融服務(wù)等等�。
比如說,今年9月���,紐約市警察局端掉了一個汽車盜竊團伙���,稱該團伙從網(wǎng)上購得安全密碼后通過當?shù)劓i匠將密碼編碼進電子車鑰匙中,用這種克隆的電子車鑰匙盜取汽車��。盜車賊們還使用了機械師常用的一種售后掃描工具重新編程目標汽車的啟動系統(tǒng)����,讓系統(tǒng)以為所有車鑰匙都遺失了。
汽車行業(yè)網(wǎng)絡(luò)安全服務(wù)提供商Upstream產(chǎn)品副總裁Guy Molho表示�����,電子盜竊的增加只是汽車領(lǐng)域快速采用聯(lián)網(wǎng)軟件的意外后果之一。
“汽車原始設(shè)備制造商(OEM)正爭先恐后地為其客戶提供諸多新功能��,而這些新功能正是可為黑客所用的全新攻擊面和攻擊途徑�����。這個攻擊面只會越來越大�,因為汽車不再僅僅是一輛車,而是安裝在輪子上的軟件平臺�����?���!?
歡迎進入聯(lián)網(wǎng)汽車新世界!潛在的危險不單單是傳聞中的紐約數(shù)字盜車賊��。另一報道中��,英國的另一伙黑客利用類似掌上游戲機的設(shè)備欺騙無鑰匙進入系統(tǒng)�����,在不到三個月的時間里盜取了三十多輛三菱歐藍德汽車��。
從勒索軟件導(dǎo)致汽車制造商生產(chǎn)業(yè)務(wù)中斷(如雷諾和本田公司所遭遇的)����,到白帽子網(wǎng)絡(luò)安全研究員成功獲取特斯拉有限遠程控制權(quán),一系列各式各樣的攻擊無不表明:聯(lián)網(wǎng)可為高科技車輛不斷增添各種新功能����,但同時也大幅增加了汽車承受的攻擊面。根據(jù)Upstream的調(diào)查數(shù)據(jù)����,2020年里,54.6%的此類事件涉及黑帽子黑客���,而白帽子研究人員則參與了剩下的其中大多數(shù)事件���。研究自家汽車的車主雖然占比很小,這一比例卻在不斷擴大�����。
而且���,聯(lián)網(wǎng)車輛的數(shù)量持續(xù)增長���。目前約有四分之一的車輛都以某種方式接入網(wǎng)絡(luò)����。據(jù)估計��,到2025年����,每八輛汽車中就有七輛是聯(lián)網(wǎng)汽車。
Upstream《2021年全球汽車網(wǎng)絡(luò)安全報告》
Upstream在其年度《全球汽車網(wǎng)絡(luò)安全報告》中指出:“汽車生態(tài)中的網(wǎng)絡(luò)威脅尤為令人擔憂�����,因為此類威脅可能直接影響道路使用者的安全�����。車輛本身就很危險�����;再加上聯(lián)網(wǎng)�,現(xiàn)代汽車就尤其危險了?!?
涉車安全事件中最著名的無疑是2015年的吉普切諾基黑客攻擊演示,在演示中Charlie Miller和Chris Valasek成功奪取了汽車控制權(quán)����;但最常見的汽車攻擊方式是破壞托管汽車服務(wù)的服務(wù)器(40%),利用電子車鑰匙或無鑰匙進入系統(tǒng)(25%)��,以及入侵移動設(shè)備汽車應(yīng)用(9%)�����。針對信息娛樂系統(tǒng)�����、利用車載診斷(OBD)端口和針對制造商IT網(wǎng)絡(luò)的攻擊各占案例總數(shù)的6%�����。
Upstream首席分析師Tomer Porat表示��,未來大規(guī)模入侵嘗試將變得更加普遍�����,因而聯(lián)網(wǎng)基礎(chǔ)設(shè)施的組件將成為攻擊目標。
他認為:“攻擊渠道將延伸到服務(wù)器����,以及通過OEM的IT基礎(chǔ)設(shè)施利用漏洞。Porat表示�����,盡管其中一些問題出自設(shè)計缺陷���,另一些卻是由人為失誤引起的�����。開發(fā)人員經(jīng)常犯錯���,他們會將敏感信息發(fā)布到GitHub和其他公開的地方,暴露出基礎(chǔ)設(shè)施���。
Point Predictive公司提供打擊金融欺詐的工具��,其首席欺詐策略師兼聯(lián)合創(chuàng)始人Frank McKenna指出�����,汽車生態(tài)中也充斥著金融欺詐��。詐騙犯�����、購車人����,甚至經(jīng)銷商經(jīng)常在申請汽車貸款時?����;ㄕ?����,確保能夠完成汽車銷售交易����。McKenna稱,大約80%的貸款欺詐是為了讓購車人有資格獲得汽車貸款�����;大約20%涉及罪犯試圖獲利。
McKenna表示:“當購車人告訴你他們的收入是實際收入的兩倍時��,當他們開始在重要事實上對你撒謊時��,那就是欺詐�����。如果貸方?jīng)]有良好的控制措施�,欺詐可能會給貸方造成50個基點到3%的損失?����!?
最后����,聯(lián)網(wǎng)汽車產(chǎn)生和消費的數(shù)據(jù)量均顯著增長。Upstream的Molho表示�,現(xiàn)代聯(lián)網(wǎng)車輛每天產(chǎn)生GB級數(shù)據(jù),這給安全控制造成了問題��。
“汽車產(chǎn)生的數(shù)據(jù)如此之多���,因而大多數(shù)聯(lián)網(wǎng)車輛都設(shè)置5G連接來支持如此龐大的數(shù)據(jù)量���。通過無線更新��,汽車可以隨時獲得新功能�,于是數(shù)據(jù)不斷增長���。”
