權(quán)威解讀 2020車聯(lián)網(wǎng)信息安全十大風(fēng)險
【太平洋汽車網(wǎng) 天津商家活動】近年來,隨著汽車智能化、網(wǎng)聯(lián)化程度的不斷提高,信息安全事件頻發(fā),車輛在為生活帶來更多便利的同時,也面臨越來越多的信息安全威脅。梳理明確車聯(lián)網(wǎng)常見信息安全風(fēng)險,對整車生產(chǎn)企業(yè)、零部件制造商等汽車行業(yè)同仁具有重要的指導(dǎo)意義,有助于保障車輛網(wǎng)健康發(fā)展。
中汽數(shù)據(jù)有限公司(簡稱:中汽數(shù)據(jù))長期從事汽車信息安全漏洞的研究工作,通過自主挖掘、合作采集、漏洞。經(jīng)過近兩年的研究與積累,于2019年發(fā)布了首個年度車聯(lián)網(wǎng)信息安全十大風(fēng)險,一經(jīng)發(fā)布在行業(yè)內(nèi)引起了強烈反響,整車生產(chǎn)企業(yè)車企、零部件制造商通過參考所發(fā)布的車聯(lián)網(wǎng)信息安全十大風(fēng)險,進(jìn)行針對性的查漏補缺,以評估自身產(chǎn)品的信息安全水平,在一定程度上推動了汽車行業(yè)信息安全水平的提高。
隨著車聯(lián)網(wǎng)進(jìn)程的不斷推進(jìn),技術(shù)研究不斷創(chuàng)新,汽車行業(yè)也發(fā)生了較大變化。中汽數(shù)據(jù)對車聯(lián)網(wǎng)信息安全持續(xù)研究,在過去的一年里項目團(tuán)隊通過使用自主研發(fā)的汽車信息安全滲透工具及合規(guī)驗證工具對漏洞進(jìn)行重新檢測,同時依托C-Auto-ISAC、CNNVD、CAVD面向社會收集建議,與安全公司合作收集漏洞等多種途徑豐富汽車漏洞數(shù)據(jù)。經(jīng)過近一年的研究與分析,梳理總結(jié)2020車聯(lián)網(wǎng)信息安全十大風(fēng)險(見表1)。
表1 汽車信息安全漏洞TOP10
排名 | 漏洞名稱 | 安全影響 |
1 | 不安全的生態(tài)接口 | SQL注入導(dǎo)致非法查詢數(shù)據(jù)庫資源 |
XSS跨站攻擊導(dǎo)致后臺數(shù)據(jù)被非法獲取 | ||
中間件遠(yuǎn)程命令執(zhí)行導(dǎo)致服務(wù)器被遠(yuǎn)程入侵 | ||
2 | 未經(jīng)授權(quán)的訪問 | 車主未操作汽車的情況下,使汽車開車門、上電、點火等 |
訪問服務(wù)器數(shù)據(jù),造成信息泄漏,增大攻擊者攻擊面。 | ||
造成攻擊者可提升為最高權(quán)限 | ||
3 | 系統(tǒng)存在的后門 | 造成車載娛樂系統(tǒng)、T-Box容易被攻擊提權(quán) |
繞過車載系統(tǒng)已有的安全設(shè)置,泄漏敏感信息和系統(tǒng)程序 | ||
導(dǎo)致服務(wù)器被遠(yuǎn)程控制,作為攻擊其他主機的跳板 | ||
4 | 不安全的車載通訊 | 對車輛wifi/藍(lán)牙的通信數(shù)據(jù)進(jìn)行監(jiān)聽,相關(guān)信息被泄露 |
車輛位置被欺騙,干擾駕駛安全 | ||
鑰匙信號被重放攻擊,威脅車主財產(chǎn)安全 | ||
5 | 系統(tǒng)固件可被提取及逆向 | 造成文件系統(tǒng)和敏感配置信息泄漏 |
造成固件被逆向分析,挖掘出的漏洞危害同款車型安全 | ||
造成固件被篡改,危害汽車行駛安全 | ||
6 | 存在已知漏洞的組件 | 第三方組件的漏洞導(dǎo)致程序可被利用提權(quán),危害系統(tǒng)安全 |
第三方組件潛在的后門,使應(yīng)用程序被遠(yuǎn)程控制 | ||
7 | 車載網(wǎng)絡(luò)未做安全隔離 | 造成應(yīng)用報文被重放篡改,可控制車輛行為,影響駕駛安全 |
CAN總線負(fù)載率高,造成車輛拒絕服務(wù) | ||
8 | 敏感信息泄露 | 無線密碼泄露,攻擊者可連接汽車無線,對車載流量進(jìn)行劫持、中間人攻擊或植入木馬 |
車主敏感信息泄露,影響用戶日常生活,嚴(yán)重可造成經(jīng)濟(jì)損失 | ||
9 | 不安全的加密 | 通信過程中敏感信息被第三方監(jiān)聽竊取 |
沒有對敏感數(shù)據(jù)進(jìn)行加密或使用弱加密算法,造成敏感數(shù)據(jù)泄露 | ||
密鑰硬編碼在代碼中,造成密鑰信息泄露 | ||
10 | 不安全的配置 | 服務(wù)器配置被惡意篡改,造成敏感信息泄露 |
使服務(wù)器容易被攻擊提權(quán),被遠(yuǎn)程控制 | ||
非法獲取系統(tǒng)內(nèi)存數(shù)據(jù)或系統(tǒng)權(quán)限 |
相較于2019車聯(lián)網(wǎng)信息安全十大風(fēng)險,其中,“不安全的生態(tài)接口”仍處于首位,占比約25%;“系統(tǒng)固件可被提取及逆向”由第六名,上升到第五名,占比約10%;“存在已知漏洞的組件”由第七名上升到第六名,占比約9%;“車載網(wǎng)絡(luò)未做安全隔離”由第五名下降到第七名,占比約7%。
攻擊者通過“不安全的生態(tài)接口”可以對后臺數(shù)據(jù)庫進(jìn)行非法訪問,對車輛信息(車輛行駛軌跡、車輛位置等)、車主信息(身份證號、姓名、手機號、登錄密碼等)等敏感數(shù)據(jù)進(jìn)行竊取。進(jìn)一步通過遠(yuǎn)程入侵服務(wù)器,登錄到車聯(lián)網(wǎng)服務(wù)云平臺,實現(xiàn)對車輛的遠(yuǎn)程控制(例如攻擊者在物理接觸車輛的情況下,遠(yuǎn)程實現(xiàn)對車輛的動力、轉(zhuǎn)向等核心功能的操控),嚴(yán)重影響駕駛員的行車安全,甚至生命財產(chǎn)安全。
未來,中汽數(shù)據(jù)將持續(xù)推進(jìn)車聯(lián)網(wǎng)信息安全研究,與國家政府機構(gòu)、汽車行業(yè)同仁、權(quán)威安全公司加強合作,共同探討汽車信息安全漏洞共享新機制,構(gòu)建完善的汽車信息安全生態(tài)圈,持續(xù)加強汽車信息安全體系建設(shè),推動我國智能網(wǎng)聯(lián)汽車的健康可持續(xù)發(fā)展。
>>點擊查看今日優(yōu)惠<<
進(jìn)入凌寶BOX微信交流群
使用微信掃描二維碼
即可進(jìn)入交流群
進(jìn)入凌寶BOX微信交流群
使用微信掃描二維碼
粵公網(wǎng)安備 44010602000157號