本文目录一览:
网联汽车的信息交互系统面临着哪些安全威胁?
随着时代的发展,网联汽车的通信、娱乐功能越来越丰富,而背后的信息交互系统所面临的安全威胁也越来越严重。我认为网联汽车的信息交互系统面临的安全威胁主要有以下四个方面
1.硬件安全威胁
汽车零件制造商在 *** T-Box和IVI时,为了调试方便,会在设备PCB上保留一些调试口,如JTAG,调试口信息并没有进行安全加密,通过这些接口,可登录到系统内部,甚至获取到root权限,这就导致系统内的用户数据信息面临着被泄漏的风险,更严重的是通过篡改系统内部文件实现对车辆动力系统的控制;且部分零部件生产厂商在系统芯片上保留了芯片型号丝印,攻击者可通过芯片型号,轻松查询到该芯片各个引脚的定义,然后通过设备直接提取芯片固件或读取芯片信息,获取芯片内的信息。
2.通信协议安全威胁
通信协议包括对外通信协议和内部通信协议,对外通信协议包括公有远程通信协议(例如HTTP、FTP等)、私有远程通信协议、蓝牙通信协议和Wi-Fi通信协议等,内部通信协议主要指CAN总线协议和以太网协议。无论是对外通信协议还是内部通信协议,均面临着被攻击的安全威胁。
对外通信协议可能受到中间人攻击威胁、洪泛攻击等。所谓中间人攻击就是在通信双方无法察觉的情况下,攻击者将一台设备放置在通讯车辆与服务平台之间,对正常通讯信息进行监听或篡改。
车内通信如CAN总线协议可能面临洪泛攻击、重放攻击等。洪泛攻击是拒绝服务攻击的一种[6]。由于车辆CAN总线采取的是基于优先级的串行通信机制,在两个节点同时发送信息时,会发生总线访问冲突,根据逐位仲裁原则,借助帧开始部分的标识符,优先级低的节点主动停止发送数据,而优先级高的节点继续发送信息。因此攻击者可通过OBD等总线接口向CAN总线发送大量的优先级较高的报文或者发送大量的ping包,导致系统忙于处理攻击者所发送的报文,而无法对正常请求报文进行处理,导致车辆正常报文信息无法被识别从而造成危害。
3.操作系统安全威胁
网联汽车操作系统以嵌入式Linux、QNX、Android操作系统为主,但是这些操作系统所使用的代码十分复杂,不可避免的会产生安全漏洞,因此操作系统具有安全脆弱性,从而导致网联汽车系统面临着被恶意入侵、控制的风险。
操作系统除了面对自身漏洞的威胁,还面临着系统提权、操作系统升级文件篡改等威胁。部分汽车操作系统保留了管理员权限,攻击者可以通过命令获取到管理员权限,从而对系统内的文件进行查看或修改。另外目前车辆几乎均采用远程无线下载方式进行升级,这种升级方式增强自身安全防护能力,但是这种升级方式也面临着各种威胁,如:升级过程中,攻击者通过篡改操作系统文件和MD5文件从而使篡改后的升级包通过系统校验;传输过程中,攻击者劫持升级包,进行中间人攻击;生成过程中,若云端的服务器受到攻击,会使恶意软件随升级包的下载而传播。
4.应用软件安全威胁
据调查表明,车载信息交互系统自带的应用软件和市场上的网联汽车远程控制App普遍缺乏软件防护机制和安全保护机制。大部分车辆并未对未知应用软件的安装进行限制,甚至保留了浏览器的隐藏入口,这就导致黑客可以通过浏览器下载恶意软件,从而发起对车载信息交互系统的攻击。
而对于那些没有保护机制的远程控制App,攻击者可以通过逆向分析软件对这些App进行分析,可以查询到TSP的接口、参数信息。而那些采取了软件防护机制的远程控制App也存在防护强度不够的问题,具备一定黑客技术的攻击者还是可以分析出App中存储的密钥、接口等信息。
汽车黑客大曝光就是书?
汽车黑客大曝光
《汽车黑客大曝光》是于2017年1月清华大学出版社出版的一本图书,作者是Craig Smith。
前言
2014年,OpenGarages——对汽车安全技术的共享与协作感兴趣的一群人,发布了之一本CarHacker’sManual(《汽车黑客手册》),作为汽车黑客培训班的教材。原书被设计为可放入汽车手套箱的小开本,在一两天的汽车安全课程中涵盖汽车黑客技术的基础内容。我们几乎没有预料到它会引起读者如此浓厚的兴趣:在之一周它就被下载了超过30万次。实际上,该书如此热门,甚至让我们的Internet服务提供商瘫痪两次,让他们对我们颇有微词(还好,最后他们原谅了我们,这好极了,因为本人很喜欢这家小的Internet服务提供商HiSpeedSpan.net!),读者反馈基本上也是好评如潮;主要的批评集中在于该手册篇幅太短,没有足够多的细节。本书就是应这些批评而生的。这本《汽车黑客大曝光》深入到汽车黑客技术的大量细节,甚至涵盖了与安全并不直接相关的内容,例如性能调校以及理解与操作汽车的有用工具。
图书简介
现代的汽车比以往任何时候都更加计算机化。信息娱乐和导航系统、Wi-Fi、软件自动更新,以及其他一些创新都以使驾驶更加便利为目标。然而,汽车技术尚未适应当今更加充满敌意的安全环境,令数以百万计的人受到攻击威胁。
《汽车黑客大曝光》能够深化你对现代汽车中计算机系统和嵌入式软件的理解,以脆弱性检测以及对CAN总线上和设备/系统间通信的详解开始。理解了汽车的通信 *** 之后,本书接着介绍如何拦截数据并执行特定的黑客手段,以跟踪车辆、解锁车门、进行发动机时钟脉冲干扰攻击及泛洪通信攻击等。
(据“百度百科”)
速8里黑客怎么控制汽车
《速度与 *** 8》最近在国内热映,引发各路影迷广泛讨论。在作者看来,影片涉及到的黑客技术主要有两个——天眼(The Eye)和僵尸车队(Zombie Cars),这两个东西其实和现实当中两项比较前沿的安全技术——汽车及物联网安全和攻击者溯源相关。雷锋网摘取了作者针对僵尸车队的技术解读部分并进行了编辑。
▲ 被激活的“僵尸车”
僵尸车队——汽车及物联网安全
首先我们先来说说智能汽车和非智能汽车,智能汽车其实就可以当做一个物联网设备来解决,也就是说智能汽车的攻击面和其他IoT设备的攻击面是差不多甚至更多的。
其实汽车和计算机一样,内部通信依靠总线进行,汽车中的总线就是CAN总线。
CAN *** 是由以研发和生产汽车电子产品著称的德国BOSCH公司开发的,并最终成为国际标准(ISO 11898),是国际上应用最广泛的现场总线之一。CAN总线协议目前已经成为汽车计算机控制系统和嵌入式工业控制局域网的标准总线,同时也是车载ECU之间通信的主要总线。当前市场上的汽车至少拥有一个CAN *** ,作为嵌入式系统之间互联的主干网进行车内信息的交互和共享。
CAN总线的短帧数据结构、非破坏性总线仲裁技术、灵活的通讯方式等特点能够满足汽车实时性和可靠性的要求,但同时也带来了系列安全隐患,如广播消息易被监听、基于优先级的仲裁机制易遭受攻击、无源地址域和无认证域无法区分消息来源等问题。
特别是在汽车网联化大力发展的背景下,车内 *** 攻击更是成为汽车信息安全问题发生的源头,CAN总线 *** 安全分析逐渐成为行业安全专家聚焦点。如2013年9月DEFCON黑客大会上,黑客演示了从OBD-II控制福特翼虎、丰田普锐斯两款车型实现方向盘转向、刹车制动、油门加速、仪表盘显示等动作。汽车车内CAN *** 安全问题当前主要通过安全漏洞的分析和各种攻击手段进行挖掘,因为汽车车内 *** 安全的脆弱性和威胁模型的分析尤为关键。
这么说来,只要抓住了CAN总线,我们就相当于是抓住了汽车的神经,也就能对汽车进行控制。
▲ 影片中自动驾驶状态下的汽车
攻击CAN总线会引发什么后果?
之一个后果是失控:CAN总线主要应用之一是支持主动安全系统的通信。车辆行驶的时候,主动安全系统将是一把双刃剑,它们确实发挥着不可替代的作用,但是考虑到主动安全系统的可操作和有能力调整正确的输入,也会引起驾驶者对主动安全系统的完全依赖。因此一个突然的故障会引起不可预知的危险后果。
为了引发一个危险的条件,恶意攻击者将会在CAN总线中注入错误帧,让主动安全系统失灵。例如,在牵引力控制系统里安装一个攻击,会造成车辆失去控制等危险。如果攻击者的目标是自适应巡航系统,将会导致汽车不会按驾驶者预期的那样停止。
此外,为了更大可能地伤害汽车驾驶者,假如数据可以直接从CAN总线上获取,攻击者可以根据特定的条件,触发一个DoS攻击。例如汽车某一特定速度、特定的节气门百分比或者是某一确切的GPS位置等。
第二个后果就是勒索:一个恶意攻击者在CAN总线中某一目标帧中设置攻击,这将会导致驾驶者无法控制节气门的位置从而不能让汽车移动。尽管这些不一定会诱发危险状态,但一个以金钱为目的的攻击者,将会利用车载娱乐系统的漏洞,迫使汽车停止,并在娱乐系统屏幕上显示消息,让车主为了重新获取汽车的操控权而去付赎金。
第三个可能是盗窃:现在,大部分昂贵的汽车门锁是通过CAN连接到ECU来控制,通常通过OBD-II端口连接。隔离负责控制锁/解锁车门的数据帧比逆向主动安全设备更简单、更快捷。因此,攻击者可以在几分钟左右隔离负责锁车门的数据帧,编写他的设备程序-特定帧的DoS攻击,然后把设备插入到OBD-II的接口,阻止车门锁住。对于一个攻击者来说,这个攻击结果是可能的。通过低成本的花费就能进入到车内,随后就能够窃取车内任何贵重物品。
长期以来,几乎整个汽车界都有这样的共识:CAN总线是没法保护的。
两方面的原因,其一,ECU的计算处理能力不足;其二,车载 *** 的带宽有限。有些LIN总线使用的MCU甚至是16bit或8bit,但AES使用的加密算法只能处理16字节区块的数据,这意味着很多时候LIN总线根本就是处在“裸奔”的状态。
所以汽车安全未来肯定是炙手可热的一部分。
智能车时代,黑客是否能通过 *** 入侵并控制智能化的汽车?
相信很多车主都有一个这样的疑问:如果有一天,恶意的黑客恶意的入侵了汽车系统,让汽车失去控制怎么办?车联网的智能车是否足够安全呢?
很多人不知道车联网带来的便利,与之形成鲜明对比的是,更多的人对车联网所遭遇的安全问题一无所知。
6月21日,工信部发布《关于车联网 *** 安全标准体系建设的指导意见》,向社会公开征求意见。该文件包括了车联网 *** 安全标准体系的框架、重点标准化领域和方向。
工信部为何继续关注车联网?车联网的未来是怎样的?车联网的概念可以追溯到20年前。早在1996年,通用汽车公司(General Motors)就率先推出了搭载OnStar系统的联网汽车。车联网顾名思义,就是将智能汽车、行人、智能道路、指标连接在一起,实现智能出行的目的。
《证券日报》做过相关统计,在2019年,黑客通过入侵共享汽车的APP、改写程序和数据的方式,成功盗走的车辆多达100多辆,其中包括奔驰CLA、CLA小型SUV、Smartfortwo微型车等。在过去的5年里,针对智能汽车的攻击次数呈指数级增长,高达20倍,其中27.6%的攻击与车辆控制有关,这是一个重大的安全问题。
Upstream Security发布了2021年《汽车 *** 安全报告》,该报告衡量了2016年至2021年9月期间汽车 *** 安全事故的数量。报告发现,事故数量增加了6倍多。黑客给无数汽车 *** 行业带来损失,但在智能化的大趋势下,汽车不会因为黑客的存在和 *** 发展的停滞,本质、启明星、深信、绿色unita、arnhem、天信信息互联 *** 安全公司也参与了汽车产业链、产业安全防御体系的布局。
总的来说,黑客是可以通过 *** 入侵车联网的,但受于国家政策法规的限制,即使智能车存在漏洞黑客也不敢随意加以利用,目前智能车的安全性需要智能车相关领域的大多数汽车企业和供应商的关注和共同探索,使得智能车给我们生活带来的便利的同时不会受到黑客攻击的影响。