网络信息安全资产评估公司IOActive发布的报告显示,信息显示,智能汽车在快速发展的同时,也受到诸多网络信息安全漏洞的威胁。黑客可以利用这个漏洞获取智能汽车车载互联网的访问限制,然后对其发起攻击。
三年来,来自IOActive公司智能车联网信息安全开发部的工作人员花了约670天的时间,对当今智能汽车车载应用系统的安全系数进行了分析和评估。他们从一些发表的研究报告中找到了一些科研数据;此外,另一部分数据信息来自他们自己的评价研究。IOActive公司已经起草了一份关于智能汽车安全系数的分析报告。IOActive公司内部人士认为,这份报告在解决未来智能汽车安全威胁时,可以得出优秀的实施意见。此外,它也可以被视为如何解决智能汽车安全威胁的发展战略和经济蓝皮书,具有很高的实用价值。
近两年来,很多网络信息安全研究者不止一次在不同地方提到:智能汽车的车载应用系统很可能受到网络黑客的本地或远程攻击。在最近发布的一份声明中,研究人员查理·米勒和克里斯·瓦拉塞克(ChrisValasek)表示,他们发现在智能汽车发起的一次新的互联网攻击中,网络黑客利用系统软件中的漏洞,获得了智能汽车在互联网上的访问限制。此外,它还绕过了CAN(控制器局域网)网络防火墙,劫持了许多驾驶程序模块,如汽车转向系统、加速系统软件及其制动系统。
IO公司的科研人员对这个漏洞进行评估后,得出了不同的安全评级。其中,20%的漏洞被归类为“风险漏洞”;另有25%的漏洞为“高危漏洞”。从能否恢复的角度,他们强调7%的漏洞是可以恢复的(归类为:风险漏洞);众所周知,另有21%的高危漏洞目前无法恢复,威胁协同程度高。(即使是小白黑客也能在很多方面利用它)
根据以上因素,科研人员得到了最终结果:他们将22%的漏洞标记为“风险漏洞”;18%的漏洞被标记为较好的“高危漏洞”。
根据IOActive公司安全科学研究人员的数据调查报告,网络黑客对智能汽车发起攻击时,一般会选择以下攻击方向:
1.远程 *** 作互联网(39%)
2.本地连接手机软件(17%)
3.汽车蜂窝网络(16%)
4.CAN互联网系统总线(10%)
5.USB(通用串行总线)机器和设备(13%)
6.汽车应用系统串行通信拷贝软件系列(5%)
根据车载应用系统,攻击包括:以太网接口攻击和网页全流量阻断。两种攻击方式都有很高的威慑力。此外,对车载系统手机软件的攻击也不容忽视。专家强调,网络黑客会利用车载应用软件和第三方软件中存在的一些漏洞,对本地车载系统发起攻击。
科研人员强调,最常见的漏洞类型有:信息内容泄露、编号逻辑错误、跨站脚本攻击、选择硬编码系统资质证书、设置木马侧门、安全措施不佳(无法立即升级相关电脑杀毒软件)等。
专家还强调,在他们定义的漏洞类型中,目前有17%的漏洞对智能汽车的车载系统没有危害。众所周知,另外83%的漏洞对车载系统有严重威胁。黑客可以利用其中的一些漏洞攻击CAN互联网系统总线,获得CAN互联网的访问限制,从而危及车载智能通信系统的运行和升级,或者启动更具杀伤力的攻击,危及或禁止客户的ECU(电子设备控制模块,也称为车载计算机或车载计算机上)系统软件的使用。
安全研究人员还向大家透露了一个好消息,那就是通过选择一些恢复技术,可以恢复大部分的风险漏洞。然而,一些商品中的漏洞是由于设计产品时的疏忽造成的。这种商品一旦交付使用,可以说很难甚至不可能保证收回。
所以我们可以看到,汽车企业在汽车加工过程中,要尽量减少因自身失职造成的车载系统安全漏洞。此外,IOActive公司还表明,如果实际 *** 作者在汽车处理过程中能够遵循标准的 *** 作步骤,50%的漏洞可以被预防,这进一步提高了智能汽车的安全系数,尤其是涉及到客户的系统软件身份认证时,必须更加谨慎。厂商还可以采取其他保护措施来保护智能汽车,比如检查测试车载系统的代码,按时更新下载车载保护软件的补丁,进行管理方法,严格部署车载系统的处理流程等。
文本由保安客翻译成中文。请注明“从保安客人处转来”并附上另一个链接。
全文连接:http://www.securityweek.com/cars-planned-many-serious-vulnerability-report
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)