点卡与大搜车展开战略合作,深度探索汽车新零售“新流量”
05-27
【报告】近年来,随着汽车智能化和网络互联程度的不断提高,信息安全事件频发。
汽车给生活带来更多便利的同时,也面临着越来越多的信息安全威胁。
中汽数据有限公司(简称:中汽数据)长期从事汽车信息安全漏洞研究,通过自主挖掘和合作采集的方式进行漏洞利用。
经过近两年的研究和积累,2018年首次发布年度车联网信息安全十大风险,一经发布,就引起了行业的强烈反响。
整车厂、整车企业、零部件企业参照发布。
我们根据车联网信息安全十大风险,进行针对性排查、补短板,评估自有产品的信息安全水平,一定程度上促进了汽车行业信息安全水平的提升。
随着车联网进程不断推进、技术研究不断创新,汽车行业也发生了重大变化。
中汽数据持续研究车联网信息安全。
过去一年,项目组利用自主研发的汽车信息安全渗透工具和合规性验证工具,重新检测了漏洞。
同时依托C-Auto-ISAC、CNNVD、CAVD收集社会建议,与安全公司合作收集漏洞,通过多种方式丰富汽车漏洞数据。
经过近一年的研究分析,总结出车联网信息安全十大风险。
表1 汽车信息安全十大漏洞排名 漏洞名称 安全影响1 生态接口不安全 SQL注入导致数据库资源非法查询 XSS跨站攻击导致后台数据非法获取 中间件远程命令执行导致远程入侵server 2 Unauthorized 当车主未操作汽车时,汽车可以通过开门、开机、点火等方式访问服务器数据,造成信息泄露,增加攻击者的攻击面。
攻击者可以提升至最高权限。
3 系统后门的存在使得车载娱乐系统和T-Box容易受到攻击。
提权会绕过车载系统现有的安全设置,泄露敏感信息和系统程序,导致服务器被远程控制。
作为攻击其他主机的跳板。
4 不安全的车辆通信监控车辆WiFi/蓝牙通信数据。
相关信息泄露、车辆位置被欺骗,干扰行车安全。
关键信号被重播、攻击,威胁业主财产安全。
5 可以提取系统固件。
而逆向工程导致文件系统和敏感配置信息泄露,导致固件被逆向分析,发现的漏洞危及同车型的安全,导致固件被篡改,危及汽车的行驶安全。
6 具有已知漏洞的组件。
第三方组件中的漏洞允许程序成为第三方组件中的潜在后门,通过使用权限升级危及系统安全,从而允许应用程序受到远程控制。
7 车载网络未安全隔离,导致应用消息被重放、篡改,可控制车辆行为,影响行车安全。
CAN总线负载率高。
造成车辆拒绝服务8 敏感信息泄露 无线密码泄露,攻击者可连接车载无线、劫持车辆流量、中间人攻击、或植入木马泄露车主敏感信息,影响用户日常生活和生活造成严重的经济损失9 不安全 敏感信息在加密通信过程中被第三方拦截窃取。
敏感数据未加密或使用弱加密算法,导致敏感数据泄露。
密钥被硬编码在代码中,导致密钥信息泄露。
10 配置不安全 服务器配置被恶意篡改,导致敏感信息泄露,使服务器容易遭受攻击、提权、远程控制,非法获取系统内存数据或系统权限。
与车联网信息安全十大风险相比,“不安全生态接口”仍位居第一,占比约25%; “系统固件可提取并逆向”从第六位上升至第五位,占比约10%; “存在已知漏洞的组件”从第七位上升至第六位,占比约10%至9%左右; “车网未安全隔离”从第五位下降至第七位,占比约7%。
攻击者可以通过“不安全生态接口”非法访问后端数据库,访问车辆信息(车辆行驶轨迹、车辆位置等)、车主信息(身份证号、姓名、手机号、登录密码、等)偷窃。
进一步,通过远程入侵服务器并登录车联网服务云平台,实现对车辆的远程控制(例如攻击者无需与车辆进行物理接触,即可远程控制车辆的动力、转向等核心功能) ,严重影响驾驶。
员工的行车安全,乃至生命财产的安全。
未来,中国汽车数据将持续推进车联网信息安全研究,加强与国家政府机构、汽车行业同仁、权威安全公司的合作,共同探索汽车信息安全漏洞共享新机制,构建完整的汽车信息安全体系。
信息安全生态系统,持续加强汽车信息安全体系建设,推动我国智能网联汽车健康可持续发展。
版权声明:本文内容由互联网用户自发贡献,本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,欢迎发送邮件 举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。
标签:
相关文章
05-27
05-17
05-27
05-18
05-18
05-16
05-27
05-18
最新文章
工信部将继续支持新能源汽车,两个机会不容错过
续航300公里的比亚迪秦EV电动版或将于3月上市
中国汽车工业协会数据!前11个月自主品牌出口下降9.3%
蜂巢能源常州工厂一期工程已投产,探路者车规级AI动力电池工厂
奥迪首款量产纯电动SUV e-tron正式亮相,续航400公里,明年进入中国
2024年,特斯拉电动汽车全球分离器使用量将达到3.4亿平方米
极氪汽车重启美股IPO,目标估值51.3亿美元
江淮iEV6S消息曝光 将于今年4月25日上市