信息來(lái)源:安全內(nèi)參
汽車網(wǎng)絡(luò)安全專家近期在采訪中表示��,隨著汽車聯(lián)網(wǎng)程度越來(lái)越高���,各式各樣的網(wǎng)絡(luò)攻擊也逐漸興起:偷車賊濫用無(wú)鑰匙進(jìn)入系統(tǒng)、黑客挖掘新的汽車部件漏洞利用方式�����、詐騙團(tuán)伙盯上汽車金融服務(wù)等等。
比如說��,今年9月��,紐約市警察局端掉了一個(gè)汽車盜竊團(tuán)伙���,稱該團(tuán)伙從網(wǎng)上購(gòu)得安全密碼后通過當(dāng)?shù)劓i匠將密碼編碼進(jìn)電子車鑰匙中,用這種克隆的電子車鑰匙盜取汽車�。盜車賊們還使用了機(jī)械師常用的一種售后掃描工具重新編程目標(biāo)汽車的啟動(dòng)系統(tǒng),讓系統(tǒng)以為所有車鑰匙都遺失了��。
汽車行業(yè)網(wǎng)絡(luò)安全服務(wù)提供商Upstream產(chǎn)品副總裁Guy Molho表示�,電子盜竊的增加只是汽車領(lǐng)域快速采用聯(lián)網(wǎng)軟件的意外后果之一。
“汽車原始設(shè)備制造商(OEM)正爭(zhēng)先恐后地為其客戶提供諸多新功能��,而這些新功能正是可為黑客所用的全新攻擊面和攻擊途徑�。這個(gè)攻擊面只會(huì)越來(lái)越大,因?yàn)槠嚥辉賰H僅是一輛車�����,而是安裝在輪子上的軟件平臺(tái)��?�!?
歡迎進(jìn)入聯(lián)網(wǎng)汽車新世界!潛在的危險(xiǎn)不單單是傳聞中的紐約數(shù)字盜車賊��。另一報(bào)道中�,英國(guó)的另一伙黑客利用類似掌上游戲機(jī)的設(shè)備欺騙無(wú)鑰匙進(jìn)入系統(tǒng),在不到三個(gè)月的時(shí)間里盜取了三十多輛三菱歐藍(lán)德汽車��。
從勒索軟件導(dǎo)致汽車制造商生產(chǎn)業(yè)務(wù)中斷(如雷諾和本田公司所遭遇的)��,到白帽子網(wǎng)絡(luò)安全研究員成功獲取特斯拉有限遠(yuǎn)程控制權(quán)��,一系列各式各樣的攻擊無(wú)不表明:聯(lián)網(wǎng)可為高科技車輛不斷增添各種新功能�����,但同時(shí)也大幅增加了汽車承受的攻擊面�。根據(jù)Upstream的調(diào)查數(shù)據(jù),2020年里�,54.6%的此類事件涉及黑帽子黑客,而白帽子研究人員則參與了剩下的其中大多數(shù)事件�����。研究自家汽車的車主雖然占比很小�,這一比例卻在不斷擴(kuò)大。
而且����,聯(lián)網(wǎng)車輛的數(shù)量持續(xù)增長(zhǎng)�����。目前約有四分之一的車輛都以某種方式接入網(wǎng)絡(luò)。據(jù)估計(jì)�,到2025年,每八輛汽車中就有七輛是聯(lián)網(wǎng)汽車��。
Upstream《2021年全球汽車網(wǎng)絡(luò)安全報(bào)告》
Upstream在其年度《全球汽車網(wǎng)絡(luò)安全報(bào)告》中指出:“汽車生態(tài)中的網(wǎng)絡(luò)威脅尤為令人擔(dān)憂��,因?yàn)榇祟愅{可能直接影響道路使用者的安全�����。車輛本身就很危險(xiǎn)��;再加上聯(lián)網(wǎng)���,現(xiàn)代汽車就尤其危險(xiǎn)了��?���!?
涉車安全事件中最著名的無(wú)疑是2015年的吉普切諾基黑客攻擊演示,在演示中Charlie Miller和Chris Valasek成功奪取了汽車控制權(quán)����;但最常見的汽車攻擊方式是破壞托管汽車服務(wù)的服務(wù)器(40%),利用電子車鑰匙或無(wú)鑰匙進(jìn)入系統(tǒng)(25%)��,以及入侵移動(dòng)設(shè)備汽車應(yīng)用(9%)��。針對(duì)信息娛樂系統(tǒng)��、利用車載診斷(OBD)端口和針對(duì)制造商IT網(wǎng)絡(luò)的攻擊各占案例總數(shù)的6%��。
Upstream首席分析師Tomer Porat表示��,未來(lái)大規(guī)模入侵嘗試將變得更加普遍����,因而聯(lián)網(wǎng)基礎(chǔ)設(shè)施的組件將成為攻擊目標(biāo)。
他認(rèn)為:“攻擊渠道將延伸到服務(wù)器����,以及通過OEM的IT基礎(chǔ)設(shè)施利用漏洞。Porat表示��,盡管其中一些問題出自設(shè)計(jì)缺陷�����,另一些卻是由人為失誤引起的。開發(fā)人員經(jīng)常犯錯(cuò)�����,他們會(huì)將敏感信息發(fā)布到GitHub和其他公開的地方�����,暴露出基礎(chǔ)設(shè)施�。
Point Predictive公司提供打擊金融欺詐的工具��,其首席欺詐策略師兼聯(lián)合創(chuàng)始人Frank McKenna指出��,汽車生態(tài)中也充斥著金融欺詐�。詐騙犯、購(gòu)車人��,甚至經(jīng)銷商經(jīng)常在申請(qǐng)汽車貸款時(shí)?�;ㄕ?,確保能夠完成汽車銷售交易。McKenna稱�,大約80%的貸款欺詐是為了讓購(gòu)車人有資格獲得汽車貸款���;大約20%涉及罪犯試圖獲利。
McKenna表示:“當(dāng)購(gòu)車人告訴你他們的收入是實(shí)際收入的兩倍時(shí)�����,當(dāng)他們開始在重要事實(shí)上對(duì)你撒謊時(shí)���,那就是欺詐��。如果貸方?jīng)]有良好的控制措施�����,欺詐可能會(huì)給貸方造成50個(gè)基點(diǎn)到3%的損失����?!?
最后,聯(lián)網(wǎng)汽車產(chǎn)生和消費(fèi)的數(shù)據(jù)量均顯著增長(zhǎng)����。Upstream的Molho表示,現(xiàn)代聯(lián)網(wǎng)車輛每天產(chǎn)生GB級(jí)數(shù)據(jù)�����,這給安全控制造成了問題。
“汽車產(chǎn)生的數(shù)據(jù)如此之多�,因而大多數(shù)聯(lián)網(wǎng)車輛都設(shè)置5G連接來(lái)支持如此龐大的數(shù)據(jù)量。通過無(wú)線更新����,汽車可以隨時(shí)獲得新功能,于是數(shù)據(jù)不斷增長(zhǎng)�。”
