HanDs
NO.2

IOActive公司表示:智能汽车的安全受到诸多严重漏洞困扰 - 安全客 - 有思想的安全新媒体 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看


据来自网络安全评估公司IOActive发布的报告显示:在智能汽车取得飞速发展的同时,它也面临着诸多网络安全漏洞的威胁。黑客可利用这些漏洞,拿到智能汽车车载网络的访问权限,进而对其发动攻击。


在过去的3年时间里,来自IOActive公司智能汽车网络安全研究部的工作人员,花费了大约670天的时间,分析评估了现今智能汽车车载网络系统的安全性。他们从一些公开发表的调查报告中,找到了一部分的研究数据;同时,另一部分数据来自他们自己所做的评估调查。IOActive公司已经起草出了一份针对智能汽车安全性的评估报告。据IOActive公司内部人士透露,在应对今后的智能汽车安全威胁时,这份报告能够给出良好的指导意见,同时,它也可被视为一本如何应对智能汽车安全威胁的战略蓝皮书,具有很高的参考价值。


在过去几年中,很多的网络安全研究员在不同的场合不止一次地提到:智能汽车的车载网络系统,很可能会遭到黑客发动的本地攻击或远程攻击。在最近发表的一份声明中,研究员Charlie Miller和Chris Valasek就表示:他们曾发现,在最新一次针对智能汽车发动的网络攻击中,黑客就是利用系统本身存在的漏洞,拿到了一辆智能汽车车载网络的访问权限,同时绕过了CAN(Controller Area Network:控制器区域网络)网络防火墙的拦截,劫持了很多行车功能模块,例如:转向系统、提速系统以及刹车系统等。


IOActive公司的研究人员在对这些漏洞完成评估之后,给出了各自的安全评级。其中有20%的漏洞的评级为“危险漏洞”;另有25%的漏洞为“高危漏洞”。从是否能被修复的角度出发,他们指出,有7%的漏洞是可以被修复的(评级为:危险漏洞);然而,另有21%的高危漏洞在现阶段还无法修复,威胁程度较高。(即使是一名菜鸟黑客,都能够对其加以利用)


基于以上因素,研究人员得出最终结论:他们将22%的漏洞的安全评级标为“危险漏洞”;18%的漏洞标为了“高危漏洞”

根据IOActive公司安全研究人员的调查显示,在黑客针对智能汽车发动攻击时,他们通常会选择以下几个攻击方向:

1.远程控制网络(39%)

2.本地网络软件(17%)

3.车载蜂窝网络(16%)

4.CAN网络总线(10%)

5.USB(通用串行总线)设备(13%)

6.车载网络系统串口复制软件Serial(5%)


基于针对车载网络系统的攻击包括:以太网攻击和网页流量拦截。这两种攻击方式都具有很高的威胁性。同时,针对车载系统软件的攻击也不容忽视。专家指出:黑客会利用一些存在于车载应用程序以及第三方软件中的漏洞,对本地车载系统发动攻击。


研究人员指出,最常见的漏洞类型为:信息泄漏漏洞、编码逻辑错误、缓冲区溢出、采用硬编码机制证书、设置木马后门、安全保护措施较弱(未能及时更新相关杀毒软件)等。

专家们还指出,在他们所定义的漏洞类型中,目前,有17%的漏洞对智能汽车的车载系统没有影响。然而,其余83%的漏洞都对车载系统存在严重的威胁。黑客可利用其中一些漏洞,攻击CAN网络总线,拿到CAN网络的访问权限,进而能够影响车载智能通讯系统的运行以及升级,或是发动更具破坏力的攻击,影响或禁用用户的ECU(电子控制单元,又称行车电脑或车载电脑)系统。


t0124b5340d244c5fce.png


安全研究人员也向我们透露了一个好消息,即:采用一些修复技术能够修复大部分的危险漏洞,但是,在一些产品中存在的漏洞是由产品设计产生疏漏而导致。一旦这些产品投入使用,那么想要对其进行修复,可以说是非常困难的,甚至是不可能做到的。


因此,我们可以看到,在汽车的生产过程中,汽车制造商应尽量避免因自己的工作失误,而导致车载系统中出现安全漏洞。同时,IOActive公司也表示,如果在汽车生产过程中,相关的操作人员能够遵守规范的操作流程的话,就可以避免其中50%的漏洞,这就大大提高了智能汽车的安全性,特别是当涉及到需要用户进行系统身份验证时,必须更加小心谨慎。制造商也可采取其他的防护措施,对智能汽车实施防护,例如:车载系统代码的审查与安全测试、定期更新车载安全软件的补丁,并对其进行管理,以及严格部署车载系统的生产过程等。





学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
IOActive 公司表示 智能汽车的安全受到诸多严重漏洞困扰 - 安全客 - 有思想的安全新媒体
#1楼
发帖时间:2016-8-12   |   查看数:0   |   回复数:0
游客组