安全牛课堂 | 如何保护智能车辆远离网络攻击?
作者: 日期:2022年10月28日 阅:8,983

出色的网络链接功能已成为很多车主买车时的主要评选标准,无线手机充电器、数据传输、实时扫描路牌和传感器、远程启动车辆等人性化的功能大大提高了我们的驾驶舒适度。然而,任何事物都有正反两面,这些便捷功能同样也是双刃剑,会使车辆面临潜在的网络安全风险。数据显示,2010年至2021年间,影响联网车辆的安全事故中,7.3%都与配套的移动应用程序有关。

远程劫车不仅仅存在于电影之中

有大量实验数据表明,联网后的车辆很有可能被黑客入侵和劫持,比如操纵内部代码和数据,通过信息娱乐系统发送有害信息,利用软件和联网设备中的漏洞获取访问权限,以及部署拒绝服务攻击致使车辆出现故障等等。

其中新兴的威胁途径具有更大的破坏性。据观察,利用API漏洞远程访问和控制车辆、窃取车辆以及破坏关键功能的攻击趋势显著提高。此外,攻击者还能够利用充电站攻击电动车辆、实施假冒欺诈以及破坏充电站使其无法正常工作等。

以上观点不仅仅只是电影中的场景,Argus的研究人员利用博世Drivelog连接器的漏洞,成功地破坏了一辆行驶中的汽车的发动机;由于TeslaMate日志软件存在漏洞,安全研究人员David Colombo成功地远程访问了分散在全球各地的数十辆特斯拉车。

另外,并非只有网络安全研究人员才对利用联网车辆的漏洞感兴趣。据报告称,2021年针对车辆的网络攻击比2018年猛增了225%,其中恶意行为占比高达54.1%。攻击事件中大约85%是远程执行的,40%针对后端服务器,38%涉及数据/隐私泄露,20%影响控制系统,无钥匙进入和车钥匙攻击占所有车辆盗窃案的50%。2022年上半年,充电站联合攻击事件持续增加,这为大规模破坏充电能力、获取管理特权和勒索软件攻击电动汽车用户铺平了道路。

联网车辆的风险防范

与其他任何物联网设备一样,联网车辆也容易受到网络安全风险的影响。如果没有落实适当的网络安全控制措施,智能车辆就有可能变成攻击武器。随着车联万物(V2X)和蜂窝车联网(CV2X)技术网络不断发展,攻击者可以探索无穷的攻击方法,智能车辆生态系统中的任何漏洞都可能沦为武器,导致大规模破坏。

数据显示,针对联网车辆的新兴网络威胁包括:针对通信通道的威胁–89.3%;针对车辆数据/代码的威胁–87%;未打补丁的漏洞–50.8%;针对车辆连接和网络连接的威胁–47.1%以及针对后端服务器连接的威胁–24.1%。

2021年,智能车辆中发现的通用漏洞披露(CVE)比2020年暴增了321%。有26个关键漏洞和70个高危漏洞,其中未经授权的蓝牙配对漏洞(CVE-2021-0583)和车载信息娱乐操作系统漏洞(CVE-2021-22156)可用于执行DoS攻击。运行Apache Log4j代码库的联网车辆和充电站容易受到Log4Shell漏洞(CVE-2021-44228、CVE-2021-45046和CVE-2021-45105)的影响。

这些漏洞通常能够被用来破坏车辆到电网(V2G)基础设施、固件空中升级(FOT)更新、车载信息娱乐(IV)系统以及控制车辆重要功能的数字密钥。

据预测,到2023年全球汽车行业交付的联网车辆预计将超过7600万辆。汽车行业的增长和转型扩大了网络攻击面,导致商业风险剧增。预计到2024年,预计汽车行业因网络攻击而蒙受的损失将超过5000亿美元。以此来看,智能车辆市场获得的大部分利润将因网络攻击而荡然无存。

为了帮助解决这一问题,除了网络安全监管标准外,联合国欧洲经济委员会(UNECE)已推出WP.29 R1552和R1563法规以及ISO/SAE 21434标准,要求智能车辆制造商必须优先考虑充分的安全控制措施,以减小攻击面,尽量降低智能车辆的网络安全风险。

如何为智能车辆保驾护航?

保护联网车辆的网络安全不仅仅是汽车制造商的责任,车主同样应该尽己所能尽量减少数据访问和数据泄露。以下将为您介绍一些可以保护联网车辆安全的简单建议。

  • 限制与智能车辆共享的个人信息,包括如何保存家庭地址(一些车辆在更新后要求车主用智能钥匙创建一个用户配置文件,应拒绝创建)。
  • 随时更新手机,确保应用程序可安全安装。
  • 不要将手机与租赁的车辆同步,那样可能会泄露个人信息。
  • 及时更新固件,但请勿在行驶途中更新。
  • 确保USB适配器等联网设备未含有恶意软件。
  • 尽量避免把车辆连接到家庭网络。如果非要这么做,应在专用信道上进行连接。
  • 使用车密钥时要留意周围环境,并尽量减少使用。
  • 只在安保措施到位(比如装有监控摄像头)的专用充电站给电动车辆充电。
  • 通过车辆连接到社交媒体时,避免点击可疑链接。
  • 在车辆接入互联网以后避免访问可疑网站。
  • 仪表盘显示异常时不启动车辆,除非确定信息娱乐系统没有被入侵。

网络安全风险不应该成为阻止车主享受驾驶智能汽车乐趣的绊脚石,每一位智能车辆的车主都应该尽可能做出完整的车辆信息安全保护措施。此外,汽车制造商应确保安全工程原则融入到汽车开发生命周期的每个阶段中;第三方供应商也应该实施适当的控制措施,尽量减少数字供应链漏洞被利用,从而在维护联网车辆的完好性方面起到重要作用。

参考链接:

https://hackernoon.com/how-to-protect-your-smart-vehicle-from-cyberattacks

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章