写点什么

智能网联汽车行业信息安全现状与威胁

发布于: 2 小时前

随着汽车迈向智能化、网联化、电动化和服务化之后,尤其是众多的网联接口,给智能网联汽车带来的巨大的安全挑战。虽然汽车行业的安全研究已经开展了很多年,但从整个行业来看,最佳实践的缺失,安全标准的缺失,以及安全技术、方法论及其配套工具链等都未完全跟进,导致整个行业的安全现状并没有得到显著的改变,尤其是 OEM 的变革相对滞后。

 

1. 智能网联汽车行业安全挑战

 

车联网生态系统是车内网、车际网和车载移动互联网三大部分组成,只有全面理解智能网联汽车的生态系统,才能真正理解汽车行业面临的安全挑战和风险。见图 1.

 


图 1 车联网示意图 

 

到 2025 年,联网汽车将占全球汽车市场的近 86%,从而为黑客带来许多易受攻击的威胁点。网络攻击和数据泄露事件将对汽车行业构成严重风险,因为它们直接影响驾驶员安全、数据隐私和服务连续性。

 

1.1 安全现状 1-庞大的产业链带来的巨大安全隐患

车联网产业链条长,跨越了汽车、电子、通信、交通、车辆管理等多个行业和领域,在 Synopsys 和 SAE International 的一项新研究中,73% 的受访者对第三方供应商的网络安全表示担忧,但只有 44% 的受访者表示他们的组织对上游供应商的产品提出了网络安全要求。在整个供应链体系任何一个环节被植入后门,都可能影响到整车的安全,而且极难排查。见图 2. 在 Synopsys 和 SAE International 的一项新研究中,73% 的受访者对第三方供应商的网络安全表示担忧,但只有 44% 的受访者表示他们的组织对上游供应商的产品提出了网络安全要求。

 


图 2 :车联网供应链示意图

 

【什么是供应链攻击?软件供应链攻击是一种面向软件开发人员和供应商的新兴威胁。目标是通过感染合法应用分发恶意软件来访问源代码、构建过程或更新机制】

 

一个供应链攻击的案例:

2020 年 12 月 13 日,FireEye 发布了关于 SolarWinds 供应链攻击的通告,基础网络管理软件供应商 SolarWinds Orion 软件更新包中被黑客植入后门,并将其命名为 SUNBURST,与其相关的攻击事件被称为 UNC2452。

 

【1】SolarWinds 的客户主要分布在美国本土,不乏世界 500 强企业。本次供应链攻击事件,波及范围极大,包括政府部门,关键基础设施以及多家全球 500 强企业,造成的影响目前无法估计。当地时间 12 月 13 日,FireEye 发布安全通告称其在跟踪一起被命名为 UNC2452 的攻击活动中,发现了 SolarWinds Orion 软件在 2020 年 3-6 月期间发布的版本均受到供应链攻击的影响。攻击者在这段期间发布的 2019.4-2020.2.1 版本中植入了恶意的后门应用程序。这些程序利用 SolarWinds 的数字证书绕过验证,与攻击者的通信会伪装成 Orion Improvement Program(OIP)协议并将结果隐藏在众多合法的插件配置文件中,从而达成隐藏自身的目的。与此同时,SolarWinds 官方也发布通告,承认其 Orion 平台部分软件更新中被黑客植入恶意软件,提醒用户尽快更新到不受影响的版本。

 

12 月 14 日,SolarWinds 在提交给美国证券交易委员会(SEC)的文件中表示,在其 30w+客户中,大约有 33,000 名是 Orion 客户,这其中大约又有 18,000 名客户安装了带有后门的 Orion 软件。同时 SolarWinds 称入侵也损害了其 Microsoft Office 365 帐户。

 

Google 近日推出了一个软件供应链安全框架:SLSA,目标是改善软件行业安全状况,尤其是开源软件,以抵御最紧迫的完整性威胁。

 

1.2 安全现状 2-智能车攻击面广,远程操控成为可能

移动互联网上恶意应用程序数量 1300 万,并以年复合增长率 60%的速度增加。Android 移动终端上,月均 80~90 万用户受到攻击,如果这一数字放到智能汽车上,那就产生灾难性的影响,过去 5 年时间里,汽车被攻击的次数增长了 20 倍。

 


图 3:智能车攻击面示意图

 

攻击向量是黑客获得访问权限的手段。单个事件可以包括多个攻击向量。通过分析自 2010 年以来发生的事件,Upstream 发现三种最常见的攻击向量,分别是服务器(Servers)、无钥匙进入系统(Keyless entry systems)和移动应用程序(mobile apps)。下面的图 4 数字表示使用每种攻击向量事件的百分比.

 


图 4 最常见的攻击面

(来源:青骥编译 l Upstream security 全球汽车信息安全报告 2021)

 

1.3 安全现状 3-上亿代码带来的复杂性,被利用的漏洞数也会增加

现在车辆的使用寿命>15 年,根据漏洞发现规律,随着时间的推移,黑客对智能车系统的理解的深入,发现漏洞的概率和数量就会增加,智能车需要保证在整个使用生命周期的安全性,挑战也很大。

 

当前高级的智能车代码量已上亿行,随着软件定义汽车的趋势的加剧,车载软件比重快速上升,导致可被黑客利用的漏洞也会上升。



1.4 安全现状 4-汽车工业与传统 ICT 行业的理念差异

 


1.5 安全现状 5-整个行业的安全仍然缺乏成熟的实践



1.6 安全现状 6-Safety 与 Security 的设计挑战

 


1.7 安全现状 7-海量数据上云带来的隐私保护挑战



2. 智能网联汽车面临的安全威胁

 

2.1 支撑车关键资产

下图给出了车辆上最重要的软硬件资产信息。

 


2.2 智能车 ToP 攻击场景

 


2.3 智能车攻击案例介绍

 

案例 1:入侵 OEM 后端服务器后大规模部署流氓固件



案例 2:黑客/更改允许访问汽车的 V2X 移动应用程序



通过对抗性扰动欺骗传感器 



3. 总结

 




文章来源:汽车信息安全  原文链接:https://mp.weixin.qq.com/s/2zxAQiZa4QeM1U7HrLR3Gg

作者:路人甲——青骥小组  版权归原作者所有,如需转载,请联系作者。

原文链接:https://bbs.z-onesoft.com/omp/community/front/api/page/mainTz?articleId=7551

用户头像

还未添加个人签名 2021.09.06 加入

还未添加个人简介

评论

发布
暂无评论
智能网联汽车行业信息安全现状与威胁