出色的網(wǎng)絡(luò)鏈接功能已成為很多車主買車時(shí)的主要評(píng)選標(biāo)準(zhǔn),無(wú)線手機(jī)充電器、數(shù)據(jù)傳輸、實(shí)時(shí)掃描路牌和傳感器、遠(yuǎn)程啟動(dòng)車輛等人性化的功能大大提高了我們的駕駛舒適度。然而,任何事物都有正反兩面,這些便捷功能同樣也是雙刃劍,會(huì)使車輛面臨潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。數(shù)據(jù)顯示,2010年至2021年間,影響聯(lián)網(wǎng)車輛的安全事故中,7.3%都與配套的移動(dòng)應(yīng)用程序有關(guān)。
遠(yuǎn)程劫車不僅僅存在于電影之中
有大量實(shí)驗(yàn)數(shù)據(jù)表明,聯(lián)網(wǎng)后的車輛很有可能被黑客入侵和劫持,比如操縱內(nèi)部代碼和數(shù)據(jù),通過信息娛樂系統(tǒng)發(fā)送有害信息,利用軟件和聯(lián)網(wǎng)設(shè)備中的漏洞獲取訪問權(quán)限,以及部署拒絕服務(wù)攻擊致使車輛出現(xiàn)故障等等。
其中新興的威脅途徑具有更大的破壞性。據(jù)觀察,利用API漏洞遠(yuǎn)程訪問和控制車輛、竊取車輛以及破壞關(guān)鍵功能的攻擊趨勢(shì)顯著提高。此外,攻擊者還能夠利用充電站攻擊電動(dòng)車輛、實(shí)施假冒欺詐以及破壞充電站使其無(wú)法正常工作等。
以上觀點(diǎn)不僅僅只是電影中的場(chǎng)景,Argus的研究人員利用博世Drivelog連接器的漏洞,成功地破壞了一輛行駛中的汽車的發(fā)動(dòng)機(jī);由于TeslaMate日志軟件存在漏洞,安全研究人員David Colombo成功地遠(yuǎn)程訪問了分散在全球各地的數(shù)十輛特斯拉車。
另外,并非只有網(wǎng)絡(luò)安全研究人員才對(duì)利用聯(lián)網(wǎng)車輛的漏洞感興趣。據(jù)報(bào)告稱,2021年針對(duì)車輛的網(wǎng)絡(luò)攻擊比2018年猛增了225%,其中惡意行為占比高達(dá)54.1%。攻擊事件中大約85%是遠(yuǎn)程執(zhí)行的,40%針對(duì)后端服務(wù)器,38%涉及數(shù)據(jù)/隱私泄露,20%影響控制系統(tǒng),無(wú)鑰匙進(jìn)入和車鑰匙攻擊占所有車輛盜竊案的50%。2022年上半年,充電站聯(lián)合攻擊事件持續(xù)增加,這為大規(guī)模破壞充電能力、獲取管理特權(quán)和勒索軟件攻擊電動(dòng)汽車用戶鋪平了道路。
聯(lián)網(wǎng)車輛的風(fēng)險(xiǎn)防范
與其他任何物聯(lián)網(wǎng)設(shè)備一樣,聯(lián)網(wǎng)車輛也容易受到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的影響。如果沒有落實(shí)適當(dāng)?shù)木W(wǎng)絡(luò)安全控制措施,智能車輛就有可能變成攻擊武器。隨著車聯(lián)萬(wàn)物(V2X)和蜂窩車聯(lián)網(wǎng)(CV2X)技術(shù)網(wǎng)絡(luò)不斷發(fā)展,攻擊者可以探索無(wú)窮的攻擊方法,智能車輛生態(tài)系統(tǒng)中的任何漏洞都可能淪為武器,導(dǎo)致大規(guī)模破壞。
數(shù)據(jù)顯示,針對(duì)聯(lián)網(wǎng)車輛的新興網(wǎng)絡(luò)威脅包括:針對(duì)通信通道的威脅--89.3%;針對(duì)車輛數(shù)據(jù)/代碼的威脅--87%;未打補(bǔ)丁的漏洞--50.8%;針對(duì)車輛連接和網(wǎng)絡(luò)連接的威脅--47.1%以及針對(duì)后端服務(wù)器連接的威脅--24.1%。
2021年,智能車輛中發(fā)現(xiàn)的通用漏洞披露(CVE)比2020年暴增了321%。有26個(gè)關(guān)鍵漏洞和70個(gè)高危漏洞,其中未經(jīng)授權(quán)的藍(lán)牙配對(duì)漏洞(CVE-2021-0583)和車載信息娛樂操作系統(tǒng)漏洞(CVE-2021-22156)可用于執(zhí)行DoS攻擊。運(yùn)行Apache Log4j代碼庫(kù)的聯(lián)網(wǎng)車輛和充電站容易受到Log4Shell漏洞(CVE-2021-44228、CVE-2021-45046和CVE-2021-45105)的影響。
這些漏洞通常能夠被用來(lái)破壞車輛到電網(wǎng)(V2G)基礎(chǔ)設(shè)施、固件空中升級(jí)(FOT)更新、車載信息娛樂(IV)系統(tǒng)以及控制車輛重要功能的數(shù)字密鑰。
據(jù)預(yù)測(cè),到2023年全球汽車行業(yè)交付的聯(lián)網(wǎng)車輛預(yù)計(jì)將超過7600萬(wàn)輛。汽車行業(yè)的增長(zhǎng)和轉(zhuǎn)型擴(kuò)大了網(wǎng)絡(luò)攻擊面,導(dǎo)致商業(yè)風(fēng)險(xiǎn)劇增。預(yù)計(jì)到2024年,預(yù)計(jì)汽車行業(yè)因網(wǎng)絡(luò)攻擊而蒙受的損失將超過5000億美元。以此來(lái)看,智能車輛市場(chǎng)獲得的大部分利潤(rùn)將因網(wǎng)絡(luò)攻擊而蕩然無(wú)存。
為了幫助解決這一問題,除了網(wǎng)絡(luò)安全監(jiān)管標(biāo)準(zhǔn)外,聯(lián)合國(guó)歐洲經(jīng)濟(jì)委員會(huì)(UNECE)已推出WP.29 R1552和R1563法規(guī)以及ISO/SAE 21434標(biāo)準(zhǔn),要求智能車輛制造商必須優(yōu)先考慮充分的安全控制措施,以減小攻擊面,盡量降低智能車輛的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
如何為智能車輛保駕護(hù)航?
保護(hù)聯(lián)網(wǎng)車輛的網(wǎng)絡(luò)安全不僅僅是汽車制造商的責(zé)任,車主同樣應(yīng)該盡己所能盡量減少數(shù)據(jù)訪問和數(shù)據(jù)泄露。以下將為您介紹一些可以保護(hù)聯(lián)網(wǎng)車輛安全的簡(jiǎn)單建議。
限制與智能車輛共享的個(gè)人信息,包括如何保存家庭地址(一些車輛在更新后要求車主用智能鑰匙創(chuàng)建一個(gè)用戶配置文件,應(yīng)拒絕創(chuàng)建)。
隨時(shí)更新手機(jī),確保應(yīng)用程序可安全安裝。
不要將手機(jī)與租賃的車輛同步,那樣可能會(huì)泄露個(gè)人信息。
及時(shí)更新固件,但請(qǐng)勿在行駛途中更新。
確保USB適配器等聯(lián)網(wǎng)設(shè)備未含有惡意軟件。
盡量避免把車輛連接到家庭網(wǎng)絡(luò)。如果非要這么做,應(yīng)在專用信道上進(jìn)行連接。
使用車密鑰時(shí)要留意周圍環(huán)境,并盡量減少使用。
只在安保措施到位(比如裝有監(jiān)控?cái)z像頭)的專用充電站給電動(dòng)車輛充電。
通過車輛連接到社交媒體時(shí),避免點(diǎn)擊可疑鏈接。
在車輛接入互聯(lián)網(wǎng)以后避免訪問可疑網(wǎng)站。
儀表盤顯示異常時(shí)不啟動(dòng)車輛,除非確定信息娛樂系統(tǒng)沒有被入侵。
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不應(yīng)該成為阻止車主享受駕駛智能汽車樂趣的絆腳石,每一位智能車輛的車主都應(yīng)該盡可能做出完整的車輛信息安全保護(hù)措施。此外,汽車制造商應(yīng)確保安全工程原則融入到汽車開發(fā)生命周期的每個(gè)階段中;第三方供應(yīng)商也應(yīng)該實(shí)施適當(dāng)?shù)目刂拼胧?,盡量減少數(shù)字供應(yīng)鏈漏洞被利用,從而在維護(hù)聯(lián)網(wǎng)車輛的完好性方面起到重要作用。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<