汽车网络安全专家近期在采访中表示,随着汽车联网程度越来越高,各式各样的网络攻击也逐渐兴起:偷车贼滥用无钥匙进入系统、黑客挖掘新的汽车部件漏洞利用方式、诈骗团伙盯上汽车金融服务等等。
比如说,今年9月,纽约市警察局端掉了一个汽车盗窃团伙,称该团伙从网上购得安全密码后通过当地锁匠将密码编码进电子车钥匙中,用这种克隆的电子车钥匙盗取汽车。盗车贼们还使用了机械师常用的一种售后扫描工具重新编程目标汽车的启动系统,让系统以为所有车钥匙都遗失了。
汽车行业网络安全服务提供商Upstream产品副总裁Guy Molho表示,电子盗窃的增加只是汽车领域快速采用联网软件的意外后果之一。
“汽车原始设备制造商(OEM)正争先恐后地为其客户提供诸多新功能,而这些新功能正是可为黑客所用的全新攻击面和攻击途径。这个攻击面只会越来越大,因为汽车不再仅仅是一辆车,而是安装在轮子上的软件平台。”
欢迎进入联网汽车新世界!潜在的危险不单单是传闻中的纽约数字盗车贼。另一报道中,英国的另一伙黑客利用类似掌上游戏机的设备欺骗无钥匙进入系统,在不到三个月的时间里盗取了三十多辆三菱欧蓝德汽车。
从勒索软件导致汽车制造商生产业务中断(如雷诺和本田公司所遭遇的),到白帽子网络安全研究员成功获取特斯拉有限远程控制权,一系列各式各样的攻击无不表明:联网可为高科技车辆不断增添各种新功能,但同时也大幅增加了汽车承受的攻击面。根据Upstream的调查数据,2020年里,54.6%的此类事件涉及黑帽子黑客,而白帽子研究人员则参与了剩下的其中大多数事件。研究自家汽车的车主虽然占比很小,这一比例却在不断扩大。
而且,联网车辆的数量持续增长。目前约有四分之一的车辆都以某种方式接入网络。据估计,到2025年,每八辆汽车中就有七辆是联网汽车。
Upstream《2021年全球汽车网络安全报告》
Upstream在其年度《全球汽车网络安全报告》中指出:“汽车生态中的网络威胁尤为令人担忧,因为此类威胁可能直接影响道路使用者的安全。车辆本身就很危险;再加上联网,现代汽车就尤其危险了。”
涉车安全事件中最著名的无疑是2015年的吉普切诺基黑客攻击演示,在演示中Charlie Miller和Chris Valasek成功夺取了汽车控制权;但最常见的汽车攻击方式是破坏托管汽车服务的服务器(40%),利用电子车钥匙或无钥匙进入系统(25%),以及入侵移动设备汽车应用(9%)。针对信息娱乐系统、利用车载诊断(OBD)端口和针对制造商IT网络的攻击各占案例总数的6%。
Upstream首席分析师Tomer Porat表示,未来大规模入侵尝试将变得更加普遍,因而联网基础设施的组件将成为攻击目标。
他认为:“攻击渠道将延伸到服务器,以及通过OEM的IT基础设施利用漏洞。Porat表示,尽管其中一些问题出自设计缺陷,另一些却是由人为失误引起的。开发人员经常犯错,他们会将敏感信息发布到GitHub和其他公开的地方,暴露出基础设施。
Point Predictive公司提供打击金融欺诈的工具,其首席欺诈策略师兼联合创始人Frank McKenna指出,汽车生态中也充斥着金融欺诈。诈骗犯、购车人,甚至经销商经常在申请汽车贷款时耍花招,确保能够完成汽车销售交易。McKenna称,大约80%的贷款欺诈是为了让购车人有资格获得汽车贷款;大约20%涉及罪犯试图获利。
McKenna表示:“当购车人告诉你他们的收入是实际收入的两倍时,当他们开始在重要事实上对你撒谎时,那就是欺诈。如果贷方没有良好的控制措施,欺诈可能会给贷方造成50个基点到3%的损失。”
最后,联网汽车产生和消费的数据量均显著增长。Upstream的Molho表示,现代联网车辆每天产生GB级数据,这给安全控制造成了问题。
“汽车产生的数据如此之多,因而大多数联网车辆都设置5G连接来支
来源:数世咨询