權(quán)威解讀 2020車(chē)聯(lián)網(wǎng)信息安全十大風(fēng)險(xiǎn)

2020-09-27 11:52:03 作者：tianjin02

　　【太平洋汽車(chē)網(wǎng) 天津商家活動(dòng)】近年來(lái)，隨著汽車(chē)智能化、網(wǎng)聯(lián)化程度的不斷提高，信息安全事件頻發(fā)，車(chē)輛在為生活帶來(lái)更多便利的同時(shí)，也面臨越來(lái)越多的信息安全威脅。梳理明確車(chē)聯(lián)網(wǎng)常見(jiàn)信息安全風(fēng)險(xiǎn)，對(duì)整車(chē)生產(chǎn)企業(yè)、零部件制造商等汽車(chē)行業(yè)同仁具有重要的指導(dǎo)意義，有助于保障車(chē)輛網(wǎng)健康發(fā)展。

　　中汽數(shù)據(jù)有限公司（簡(jiǎn)稱(chēng)：中汽數(shù)據(jù)）長(zhǎng)期從事汽車(chē)信息安全漏洞的研究工作，通過(guò)自主挖掘、合作采集、漏洞。經(jīng)過(guò)近兩年的研究與積累，于2019年發(fā)布了首個(gè)年度車(chē)聯(lián)網(wǎng)信息安全十大風(fēng)險(xiǎn)，一經(jīng)發(fā)布在行業(yè)內(nèi)引起了強(qiáng)烈反響，整車(chē)生產(chǎn)企業(yè)車(chē)企、零部件制造商通過(guò)參考所發(fā)布的車(chē)聯(lián)網(wǎng)信息安全十大風(fēng)險(xiǎn)，進(jìn)行針對(duì)性的查漏補(bǔ)缺，以評(píng)估自身產(chǎn)品的信息安全水平，在一定程度上推動(dòng)了汽車(chē)行業(yè)信息安全水平的提高。

　　隨著車(chē)聯(lián)網(wǎng)進(jìn)程的不斷推進(jìn)，技術(shù)研究不斷創(chuàng)新，汽車(chē)行業(yè)也發(fā)生了較大變化。中汽數(shù)據(jù)對(duì)車(chē)聯(lián)網(wǎng)信息安全持續(xù)研究，在過(guò)去的一年里項(xiàng)目團(tuán)隊(duì)通過(guò)使用自主研發(fā)的汽車(chē)信息安全滲透工具及合規(guī)驗(yàn)證工具對(duì)漏洞進(jìn)行重新檢測(cè)，同時(shí)依托C-Auto-ISAC、CNNVD、CAVD面向社會(huì)收集建議，與安全公司合作收集漏洞等多種途徑豐富汽車(chē)漏洞數(shù)據(jù)。經(jīng)過(guò)近一年的研究與分析，梳理總結(jié)2020車(chē)聯(lián)網(wǎng)信息安全十大風(fēng)險(xiǎn)（見(jiàn)表1）。

表1 汽車(chē)信息安全漏洞TOP10

排名	漏洞名稱(chēng)	安全影響
1	不安全的生態(tài)接口	SQL注入導(dǎo)致非法查詢(xún)數(shù)據(jù)庫(kù)資源
		XSS跨站攻擊導(dǎo)致后臺(tái)數(shù)據(jù)被非法獲取
		中間件遠(yuǎn)程命令執(zhí)行導(dǎo)致服務(wù)器被遠(yuǎn)程入侵
2	未經(jīng)授權(quán)的訪問(wèn)	車(chē)主未操作汽車(chē)的情況下，使汽車(chē)開(kāi)車(chē)門(mén)、上電、點(diǎn)火等
		訪問(wèn)服務(wù)器數(shù)據(jù)，造成信息泄漏，增大攻擊者攻擊面。
		造成攻擊者可提升為最高權(quán)限
3	系統(tǒng)存在的后門(mén)	造成車(chē)載娛樂(lè)系統(tǒng)、T-Box容易被攻擊提權(quán)
		繞過(guò)車(chē)載系統(tǒng)已有的安全設(shè)置，泄漏敏感信息和系統(tǒng)程序
		導(dǎo)致服務(wù)器被遠(yuǎn)程控制，作為攻擊其他主機(jī)的跳板
4	不安全的車(chē)載通訊	對(duì)車(chē)輛wifi/藍(lán)牙的通信數(shù)據(jù)進(jìn)行監(jiān)聽(tīng)，相關(guān)信息被泄露
		車(chē)輛位置被欺騙，干擾駕駛安全
		鑰匙信號(hào)被重放攻擊，威脅車(chē)主財(cái)產(chǎn)安全
5	系統(tǒng)固件可被提取及逆向	造成文件系統(tǒng)和敏感配置信息泄漏
		造成固件被逆向分析，挖掘出的漏洞危害同款車(chē)型安全
		造成固件被篡改，危害汽車(chē)行駛安全
6	存在已知漏洞的組件	第三方組件的漏洞導(dǎo)致程序可被利用提權(quán)，危害系統(tǒng)安全
		第三方組件潛在的后門(mén)，使應(yīng)用程序被遠(yuǎn)程控制
7	車(chē)載網(wǎng)絡(luò)未做安全隔離	造成應(yīng)用報(bào)文被重放篡改，可控制車(chē)輛行為，影響駕駛安全
		CAN總線負(fù)載率高，造成車(chē)輛拒絕服務(wù)
8	敏感信息泄露	無(wú)線密碼泄露，攻擊者可連接汽車(chē)無(wú)線，對(duì)車(chē)載流量進(jìn)行劫持、中間人攻擊或植入木馬
		車(chē)主敏感信息泄露，影響用戶日常生活，嚴(yán)重可造成經(jīng)濟(jì)損失
9	不安全的加密	通信過(guò)程中敏感信息被第三方監(jiān)聽(tīng)竊取
		沒(méi)有對(duì)敏感數(shù)據(jù)進(jìn)行加密或使用弱加密算法，造成敏感數(shù)據(jù)泄露
		密鑰硬編碼在代碼中，造成密鑰信息泄露
10	不安全的配置	服務(wù)器配置被惡意篡改，造成敏感信息泄露
		使服務(wù)器容易被攻擊提權(quán)，被遠(yuǎn)程控制
		非法獲取系統(tǒng)內(nèi)存數(shù)據(jù)或系統(tǒng)權(quán)限

　　相較于2019車(chē)聯(lián)網(wǎng)信息安全十大風(fēng)險(xiǎn)，其中，“不安全的生態(tài)接口”仍處于首位，占比約25%；“系統(tǒng)固件可被提取及逆向”由第六名，上升到第五名，占比約10%；“存在已知漏洞的組件”由第七名上升到第六名，占比約9%;“車(chē)載網(wǎng)絡(luò)未做安全隔離”由第五名下降到第七名，占比約7%。

　　攻擊者通過(guò)“不安全的生態(tài)接口”可以對(duì)后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行非法訪問(wèn)，對(duì)車(chē)輛信息（車(chē)輛行駛軌跡、車(chē)輛位置等）、車(chē)主信息（身份證號(hào)、姓名、手機(jī)號(hào)、登錄密碼等）等敏感數(shù)據(jù)進(jìn)行竊取。進(jìn)一步通過(guò)遠(yuǎn)程入侵服務(wù)器，登錄到車(chē)聯(lián)網(wǎng)服務(wù)云平臺(tái)，實(shí)現(xiàn)對(duì)車(chē)輛的遠(yuǎn)程控制（例如攻擊者在物理接觸車(chē)輛的情況下，遠(yuǎn)程實(shí)現(xiàn)對(duì)車(chē)輛的動(dòng)力、轉(zhuǎn)向等核心功能的操控），嚴(yán)重影響駕駛員的行車(chē)安全，甚至生命財(cái)產(chǎn)安全。

　　未來(lái)，中汽數(shù)據(jù)將持續(xù)推進(jìn)車(chē)聯(lián)網(wǎng)信息安全研究，與國(guó)家政府機(jī)構(gòu)、汽車(chē)行業(yè)同仁、權(quán)威安全公司加強(qiáng)合作，共同探討汽車(chē)信息安全漏洞共享新機(jī)制，構(gòu)建完善的汽車(chē)信息安全生態(tài)圈，持續(xù)加強(qiáng)汽車(chē)信息安全體系建設(shè)，推動(dòng)我國(guó)智能網(wǎng)聯(lián)汽車(chē)的健康可持續(xù)發(fā)展。

>>點(diǎn)擊查看今日優(yōu)惠<<

免責(zé)聲明：上述文章內(nèi)容由經(jīng)銷(xiāo)商提供，其真實(shí)性、準(zhǔn)確性及合法性由經(jīng)銷(xiāo)商負(fù)責(zé)。本網(wǎng)站只提供網(wǎng)絡(luò)平臺(tái)，不承擔(dān)任何法律責(zé)任。本聲明最終解釋權(quán)歸太平洋網(wǎng)絡(luò)所有。

本文導(dǎo)航