信息來(lái)源:安全內(nèi)參
汽車(chē)網(wǎng)絡(luò)安全專家近期在采訪中表示,隨著汽車(chē)聯(lián)網(wǎng)程度越來(lái)越高,各式各樣的網(wǎng)絡(luò)攻擊也逐漸興起:偷車(chē)賊濫用無(wú)鑰匙進(jìn)入系統(tǒng)、黑客挖掘新的汽車(chē)部件漏洞利用方式、詐騙團(tuán)伙盯上汽車(chē)金融服務(wù)等等。
比如說(shuō),今年9月,紐約市警察局端掉了一個(gè)汽車(chē)盜竊團(tuán)伙,稱該團(tuán)伙從網(wǎng)上購(gòu)得安全密碼后通過(guò)當(dāng)?shù)劓i匠將密碼編碼進(jìn)電子車(chē)鑰匙中,用這種克隆的電子車(chē)鑰匙盜取汽車(chē)。盜車(chē)賊們還使用了機(jī)械師常用的一種售后掃描工具重新編程目標(biāo)汽車(chē)的啟動(dòng)系統(tǒng),讓系統(tǒng)以為所有車(chē)鑰匙都遺失了。
汽車(chē)行業(yè)網(wǎng)絡(luò)安全服務(wù)提供商Upstream產(chǎn)品副總裁Guy Molho表示,電子盜竊的增加只是汽車(chē)領(lǐng)域快速采用聯(lián)網(wǎng)軟件的意外后果之一。
“汽車(chē)原始設(shè)備制造商(OEM)正爭(zhēng)先恐后地為其客戶提供諸多新功能,而這些新功能正是可為黑客所用的全新攻擊面和攻擊途徑。這個(gè)攻擊面只會(huì)越來(lái)越大,因?yàn)槠?chē)不再僅僅是一輛車(chē),而是安裝在輪子上的軟件平臺(tái)?!?
歡迎進(jìn)入聯(lián)網(wǎng)汽車(chē)新世界!潛在的危險(xiǎn)不單單是傳聞中的紐約數(shù)字盜車(chē)賊。另一報(bào)道中,英國(guó)的另一伙黑客利用類(lèi)似掌上游戲機(jī)的設(shè)備欺騙無(wú)鑰匙進(jìn)入系統(tǒng),在不到三個(gè)月的時(shí)間里盜取了三十多輛三菱歐藍(lán)德汽車(chē)。
從勒索軟件導(dǎo)致汽車(chē)制造商生產(chǎn)業(yè)務(wù)中斷(如雷諾和本田公司所遭遇的),到白帽子網(wǎng)絡(luò)安全研究員成功獲取特斯拉有限遠(yuǎn)程控制權(quán),一系列各式各樣的攻擊無(wú)不表明:聯(lián)網(wǎng)可為高科技車(chē)輛不斷增添各種新功能,但同時(shí)也大幅增加了汽車(chē)承受的攻擊面。根據(jù)Upstream的調(diào)查數(shù)據(jù),2020年里,54.6%的此類(lèi)事件涉及黑帽子黑客,而白帽子研究人員則參與了剩下的其中大多數(shù)事件。研究自家汽車(chē)的車(chē)主雖然占比很小,這一比例卻在不斷擴(kuò)大。
而且,聯(lián)網(wǎng)車(chē)輛的數(shù)量持續(xù)增長(zhǎng)。目前約有四分之一的車(chē)輛都以某種方式接入網(wǎng)絡(luò)。據(jù)估計(jì),到2025年,每八輛汽車(chē)中就有七輛是聯(lián)網(wǎng)汽車(chē)。
Upstream《2021年全球汽車(chē)網(wǎng)絡(luò)安全報(bào)告》
Upstream在其年度《全球汽車(chē)網(wǎng)絡(luò)安全報(bào)告》中指出:“汽車(chē)生態(tài)中的網(wǎng)絡(luò)威脅尤為令人擔(dān)憂,因?yàn)榇祟?lèi)威脅可能直接影響道路使用者的安全。車(chē)輛本身就很危險(xiǎn);再加上聯(lián)網(wǎng),現(xiàn)代汽車(chē)就尤其危險(xiǎn)了。”
涉車(chē)安全事件中最著名的無(wú)疑是2015年的吉普切諾基黑客攻擊演示,在演示中Charlie Miller和Chris Valasek成功奪取了汽車(chē)控制權(quán);但最常見(jiàn)的汽車(chē)攻擊方式是破壞托管汽車(chē)服務(wù)的服務(wù)器(40%),利用電子車(chē)鑰匙或無(wú)鑰匙進(jìn)入系統(tǒng)(25%),以及入侵移動(dòng)設(shè)備汽車(chē)應(yīng)用(9%)。針對(duì)信息娛樂(lè)系統(tǒng)、利用車(chē)載診斷(OBD)端口和針對(duì)制造商IT網(wǎng)絡(luò)的攻擊各占案例總數(shù)的6%。
Upstream首席分析師Tomer Porat表示,未來(lái)大規(guī)模入侵嘗試將變得更加普遍,因而聯(lián)網(wǎng)基礎(chǔ)設(shè)施的組件將成為攻擊目標(biāo)。
他認(rèn)為:“攻擊渠道將延伸到服務(wù)器,以及通過(guò)OEM的IT基礎(chǔ)設(shè)施利用漏洞。Porat表示,盡管其中一些問(wèn)題出自設(shè)計(jì)缺陷,另一些卻是由人為失誤引起的。開(kāi)發(fā)人員經(jīng)常犯錯(cuò),他們會(huì)將敏感信息發(fā)布到GitHub和其他公開(kāi)的地方,暴露出基礎(chǔ)設(shè)施。
Point Predictive公司提供打擊金融欺詐的工具,其首席欺詐策略師兼聯(lián)合創(chuàng)始人Frank McKenna指出,汽車(chē)生態(tài)中也充斥著金融欺詐。詐騙犯、購(gòu)車(chē)人,甚至經(jīng)銷(xiāo)商經(jīng)常在申請(qǐng)汽車(chē)貸款時(shí)?;ㄕ?,確保能夠完成汽車(chē)銷(xiāo)售交易。McKenna稱,大約80%的貸款欺詐是為了讓購(gòu)車(chē)人有資格獲得汽車(chē)貸款;大約20%涉及罪犯試圖獲利。
McKenna表示:“當(dāng)購(gòu)車(chē)人告訴你他們的收入是實(shí)際收入的兩倍時(shí),當(dāng)他們開(kāi)始在重要事實(shí)上對(duì)你撒謊時(shí),那就是欺詐。如果貸方?jīng)]有良好的控制措施,欺詐可能會(huì)給貸方造成50個(gè)基點(diǎn)到3%的損失?!?
最后,聯(lián)網(wǎng)汽車(chē)產(chǎn)生和消費(fèi)的數(shù)據(jù)量均顯著增長(zhǎng)。Upstream的Molho表示,現(xiàn)代聯(lián)網(wǎng)車(chē)輛每天產(chǎn)生GB級(jí)數(shù)據(jù),這給安全控制造成了問(wèn)題。
“汽車(chē)產(chǎn)生的數(shù)據(jù)如此之多,因而大多數(shù)聯(lián)網(wǎng)車(chē)輛都設(shè)置5G連接來(lái)支持如此龐大的數(shù)據(jù)量。通過(guò)無(wú)線更新,汽車(chē)可以隨時(shí)獲得新功能,于是數(shù)據(jù)不斷增長(zhǎng)?!?