權威解讀 2020車聯網信息安全十大風險
【太平洋汽車網 天津商家活動】近年來,隨著汽車智能化、網聯化程度的不斷提高,信息安全事件頻發,車輛在為生活帶來更多便利的同時,也面臨越來越多的信息安全威脅。梳理明確車聯網常見信息安全風險,對整車生產企業、零部件制造商等汽車行業同仁具有重要的指導意義,有助于保障車輛網健康發展。
中汽數據有限公司(簡稱:中汽數據)長期從事汽車信息安全漏洞的研究工作,通過自主挖掘、合作采集、漏洞。經過近兩年的研究與積累,于2019年發布了首個年度車聯網信息安全十大風險,一經發布在行業內引起了強烈反響,整車生產企業車企、零部件制造商通過參考所發布的車聯網信息安全十大風險,進行針對性的查漏補缺,以評估自身產品的信息安全水平,在一定程度上推動了汽車行業信息安全水平的提高。
隨著車聯網進程的不斷推進,技術研究不斷創新,汽車行業也發生了較大變化。中汽數據對車聯網信息安全持續研究,在過去的一年里項目團隊通過使用自主研發的汽車信息安全滲透工具及合規驗證工具對漏洞進行重新檢測,同時依托C-Auto-ISAC、CNNVD、CAVD面向社會收集建議,與安全公司合作收集漏洞等多種途徑豐富汽車漏洞數據。經過近一年的研究與分析,梳理總結2020車聯網信息安全十大風險(見表1)。
表1 汽車信息安全漏洞TOP10
排名 | 漏洞名稱 | 安全影響 |
1 | 不安全的生態接口 | SQL注入導致非法查詢數據庫資源 |
XSS跨站攻擊導致后臺數據被非法獲取 | ||
中間件遠程命令執行導致服務器被遠程入侵 | ||
2 | 未經授權的訪問 | 車主未操作汽車的情況下,使汽車開車門、上電、點火等 |
訪問服務器數據,造成信息泄漏,增大攻擊者攻擊面。 | ||
造成攻擊者可提升為最高權限 | ||
3 | 系統存在的后門 | 造成車載娛樂系統、T-Box容易被攻擊提權 |
繞過車載系統已有的安全設置,泄漏敏感信息和系統程序 | ||
導致服務器被遠程控制,作為攻擊其他主機的跳板 | ||
4 | 不安全的車載通訊 | 對車輛wifi/藍牙的通信數據進行監聽,相關信息被泄露 |
車輛位置被欺騙,干擾駕駛安全 | ||
鑰匙信號被重放攻擊,威脅車主財產安全 | ||
5 | 系統固件可被提取及逆向 | 造成文件系統和敏感配置信息泄漏 |
造成固件被逆向分析,挖掘出的漏洞危害同款車型安全 | ||
造成固件被篡改,危害汽車行駛安全 | ||
6 | 存在已知漏洞的組件 | 第三方組件的漏洞導致程序可被利用提權,危害系統安全 |
第三方組件潛在的后門,使應用程序被遠程控制 | ||
7 | 車載網絡未做安全隔離 | 造成應用報文被重放篡改,可控制車輛行為,影響駕駛安全 |
CAN總線負載率高,造成車輛拒絕服務 | ||
8 | 敏感信息泄露 | 無線密碼泄露,攻擊者可連接汽車無線,對車載流量進行劫持、中間人攻擊或植入木馬 |
車主敏感信息泄露,影響用戶日常生活,嚴重可造成經濟損失 | ||
9 | 不安全的加密 | 通信過程中敏感信息被第三方監聽竊取 |
沒有對敏感數據進行加密或使用弱加密算法,造成敏感數據泄露 | ||
密鑰硬編碼在代碼中,造成密鑰信息泄露 | ||
10 | 不安全的配置 | 服務器配置被惡意篡改,造成敏感信息泄露 |
使服務器容易被攻擊提權,被遠程控制 | ||
非法獲取系統內存數據或系統權限 |
相較于2019車聯網信息安全十大風險,其中,“不安全的生態接口”仍處于首位,占比約25%;“系統固件可被提取及逆向”由第六名,上升到第五名,占比約10%;“存在已知漏洞的組件”由第七名上升到第六名,占比約9%;“車載網絡未做安全隔離”由第五名下降到第七名,占比約7%。
攻擊者通過“不安全的生態接口”可以對后臺數據庫進行非法訪問,對車輛信息(車輛行駛軌跡、車輛位置等)、車主信息(身份證號、姓名、手機號、登錄密碼等)等敏感數據進行竊取。進一步通過遠程入侵服務器,登錄到車聯網服務云平臺,實現對車輛的遠程控制(例如攻擊者在物理接觸車輛的情況下,遠程實現對車輛的動力、轉向等核心功能的操控),嚴重影響駕駛員的行車安全,甚至生命財產安全。
未來,中汽數據將持續推進車聯網信息安全研究,與國家政府機構、汽車行業同仁、權威安全公司加強合作,共同探討汽車信息安全漏洞共享新機制,構建完善的汽車信息安全生態圈,持續加強汽車信息安全體系建設,推動我國智能網聯汽車的健康可持續發展。
>>點擊查看今日優惠<<
進入凌寶BOX微信交流群
使用微信掃描二維碼
即可進入交流群
進入凌寶BOX微信交流群
使用微信掃描二維碼
粵公網安備 44010602000157號