【EV视界报道】近年来,随着汽车智能化、网联化程度的不断提高,信息安全事件频发,车辆在为生活带来更多便利的同时,也面临越来越多的信息安全威胁。
中汽数据有限公司(简称:中汽数据)长期从事汽车信息安全漏洞的研究工作,通过自主挖掘、合作采集、漏洞。经过近两年的研究与积累,于2019年发布了首个年度车联网信息安全十大风险,一经发布在行业内引起了强烈反响,整车生产企业车企、零部件制造商通过参考所发布的车联网信息安全十大风险,进行针对性的查漏补缺,以评估自身产品的信息安全水平,在一定程度上推动了汽车行业信息安全水平的提高。
随着车联网进程的不断推进,技术研究不断创新,汽车行业也发生了较大变化。中汽数据对车联网信息安全持续研究,在过去的一年里项目团队通过使用自主研发的汽车信息安全渗透工具及合规验证工具对漏洞进行重新检测,同时依托C-Auto-ISAC、CNNVD、CAVD面向社会收集建议,与安全公司合作收集漏洞等多种途径丰富汽车漏洞数据。经过近一年的研究与分析,梳理总结2020车联网信息安全十大风险。
表1 汽车信息安全漏洞TOP10
排名 | 漏洞名称 | 安全影响 |
1 | 不安全的生态接口 | SQL注入导致非法查询数据库资源 |
XSS跨站攻击导致后台数据被非法获取 | ||
中间件远程命令执行导致服务器被远程入侵 | ||
2 | 未经授权的访问 | 车主未操作汽车的情况下,使汽车开车门、上电、点火等 |
访问服务器数据,造成信息泄漏,增大攻击者攻击面。 | ||
造成攻击者可提升为最高权限 | ||
3 | 系统存在的后门 | 造成车载娱乐系统、T-Box容易被攻击提权 |
绕过车载系统已有的安全设置,泄漏敏感信息和系统程序 | ||
导致服务器被远程控制,作为攻击其他主机的跳板 | ||
4 | 不安全的车载通讯 | 对车辆wifi/蓝牙的通信数据进行监听,相关信息被泄露 |
车辆位置被欺骗,干扰驾驶安全 | ||
钥匙信号被重放攻击,威胁车主财产安全 | ||
5 | 系统固件可被提取及逆向 | 造成文件系统和敏感配置信息泄漏 |
造成固件被逆向分析,挖掘出的漏洞危害同款车型安全 | ||
造成固件被篡改,危害汽车行驶安全 | ||
6 | 存在已知漏洞的组件 | 第三方组件的漏洞导致程序可被利用提权,危害系统安全 |
第三方组件潜在的后门,使应用程序被远程控制 | ||
7 | 车载网络未做安全隔离 | 造成应用报文被重放篡改,可控制车辆行为,影响驾驶安全 |
CAN总线负载率高,造成车辆拒绝服务 | ||
8 | 敏感信息泄露 | 无线密码泄露,攻击者可连接汽车无线,对车载流量进行劫持、中间人攻击或植入木马 |
车主敏感信息泄露,影响用户日常生活,严重可造成经济损失 | ||
9 | 不安全的加密 | 通信过程中敏感信息被第三方监听窃取 |
没有对敏感数据进行加密或使用弱加密算法,造成敏感数据泄露 | ||
密钥硬编码在代码中,造成密钥信息泄露 | ||
10 | 不安全的配置 | 服务器配置被恶意篡改,造成敏感信息泄露 |
使服务器容易被攻击提权,被远程控制 | ||
非法获取系统内存数据或系统权限 |
相较于2019车联网信息安全十大风险,其中,“不安全的生态接口”仍处于首位,占比约25%;“系统固件可被提取及逆向”由第六名,上升到第五名,占比约10%;“存在已知漏洞的组件”由第七名上升到第六名,占比约9%;“车载网络未做安全隔离”由第五名下降到第七名,占比约7%。
攻击者通过“不安全的生态接口”可以对后台数据库进行非法访问,对车辆信息(车辆行驶轨迹、车辆位置等)、车主信息(身份证号、姓名、手机号、登录密码等)等敏感数据进行窃取。进一步通过远程入侵服务器,登录到车联网服务云平台,实现对车辆的远程控制(例如攻击者在物理接触车辆的情况下,远程实现对车辆的动力、转向等核心功能的操控),严重影响驾驶员的行车安全,甚至生命财产安全。
未来,中汽数据将持续推进车联网信息安全研究,与国家政府机构、汽车行业同仁、权威安全公司加强合作,共同探讨汽车信息安全漏洞共享新机制,构建完善的汽车信息安全生态圈,持续加强汽车信息安全体系建设,推动我国智能网联汽车的健康可持续发展。
