進入 2023 年,随着我們踏上邊緣計算的旅程,大多數 ( 如果不是全部 ) 行業都在數字化層面上發展。但汽車行業正在經曆另一個層面的技術創新。聯網汽車産量的增加、新的自動駕駛功能以及使汽車能夠自動停車和自動駕駛的軟件的興起,都是席卷汽車行業的數字化發展的典範。
根據 AT&T 2022 網絡安全洞察 ( CSI ) 報告, 75% 的組織計劃實施邊緣安全變革,以幫助減輕影響汽車、卡車、車隊和其他聯網車輛及其制造商的風險。并且有充分的理由。
在網絡攻擊方面,這些汽車功能和進步爲網絡犯罪分子提供了一系列新機會。威脅行爲者以多種方式瞄準汽車行業,包括久經考驗的真實方法和新的攻擊媒介。
在本文中,您将了解進入 2023 年汽車行業面臨的 8 大網絡安全威脅,以及該行業可以采取哪些措施來防止威脅。
汽車網絡安全威脅
近年來,針對汽車行業的網絡攻擊數量出現了驚人的激增。這種針對車輛的網絡攻擊的新流行,是因爲與幾年前相比,如今道路上聯網車輛的數量急劇增加,以及車輛網絡黑客知識和工具的激增。通過廣泛連接的無線網絡,數據收集的增加産生了攻擊向量,從 OEM 後端服務器到車輛電子控制單元 ( ECU ) ,甚至是信息娛樂單元的藍牙功能
随着汽車越來越多地配備連接功能,遠程威脅更有可能發生。最近的一份報告顯示,82% 的針對汽車行業(包括消費車輛、制造商和經銷商)的攻擊是遠程進行的。此外,一半的車輛盜竊涉及無鑰匙進入。
汽車制造商、經銷商和消費者在汽車網絡安全方面發揮着重要作用。但随着行業繼續采用互聯技術,組織采取積極主動的網絡安全方法将變得越來越重要。
說到汽車威脅,黑客使用無數方法來竊取車輛和駕駛員信息并導緻車輛功能出現問題。 接下來,讓我們探讨一下今年汽車行業面臨的 8 大網絡安全威脅。
無鑰匙偷車
遠程無鑰匙偷車賊越來越普遍,因爲有了新的技術方法來解鎖和啓動車輛。此外還有用于操縱車輛的工具和技術,這些工具和技術随後在互聯網上出售。因此,汽車盜竊和汽車闖入已成爲過去 10 年網絡事件的主要影響因素。汽車被盜時,車主除了要承受痛苦之外,汽車保險公司還負責處理損失,并爲許多汽車被偷的司機支付費用。這一現象在許多國家已經成爲一個嚴重的問題,因爲它也表明,它的影響是當今汽車世界最深刻的問題之一。從數量上看,汽車盜竊和入室盜竊占該行業事故總數的四分之一以上。除了上述盜竊汽車的頻率外,2019 冠狀病毒病還導緻了車輛盜竊的增加。2021 年前 9 個月,僅在美國洛杉矶就有 17195 輛汽車被盜,創下十多年來年度被盜車輛最高紀錄
作爲最突出的威脅之一,無鑰匙汽車盜竊是汽車行業的主要關注點。今天的鑰匙扣使車主能夠通過站在車輛附近鎖定和解鎖車門,甚至無需實體鑰匙即可啓動汽車。
啓用無鑰匙啓動和無鑰匙進入的汽車容易受到中間人攻擊,這種攻擊可以攔截汽車與遙控鑰匙本身之間的數據連接。黑客利用這些系統通過欺騙組件認爲它們就在附近來繞過身份驗證協議。然後攻擊者可以在不觸發任何警報的情況下打開車門并啓動車輛。
電動汽車充電站攻擊
随着全球向環保技術轉型,電動汽車正變得越來越流行。充電站允許電動車車主在公共停車場、公園甚至他們自己的車庫等便利地點爲車輛充電。
當您在充電站爲電動汽車充電時,數據會在汽車、充電站和擁有該設備的公司之間傳輸。該數據鏈展示了威脅行爲者可以利用電動車充電站的多種方式。惡意軟件、欺詐、遠程操縱,甚至禁用充電站都是黑客利用電動車充電站基礎設施的方式的例子。
信息娛樂系統攻擊
近年來,針對汽車行業的網絡攻擊數量出現了驚人的激增。這種針對車輛的網絡攻擊的新流行,是因爲與幾年前相比,如今道路上聯網車輛的數量急劇增加,以及車輛網絡黑客知識和工具的激增。通過廣泛連接的無線網絡,數據收集的增加産生了攻擊向量,從 OEM 後端服務器到車輛電子控制單元 ( ecu ) ,甚至是信息娛樂單元的藍牙功能。
現代汽車需要超過 1 億行代碼才能運行。大部分代碼都進入了車輛的固件和軟件,支持導航、USB、CarPlay、SOS 功能等。這些信息娛樂系統還爲犯罪分子打開了通往汽車 ECU 的大門,危及生命并危及對車輛的控制。
制造商需要注意許多代碼漏洞,并且随着信息娛樂系統繼續變得更加複雜和精密,将會發現更多漏洞。
暴力網絡攻擊
另一種影響汽車行業的常見攻擊類型是老式的暴力網絡攻擊。汽車行業中連接和自動化的車輛和企業面臨的許多威脅,與常見的雲安全威脅相似 ,但這并沒有降低它們的破壞性。
暴力攻擊是針對網絡的久經考驗的真實網絡攻擊,目的是破解憑據。在汽車行業中,暴力攻擊可能會産生深遠的影響。制造商、經銷商和所有者都可能成爲此類攻擊的受害者。當憑據遭到破壞時,整個系統很容易成爲複雜攻擊的目标,最終可能導緻固件故障、大規模數據洩露和車輛盜竊。
網絡釣魚攻擊
黑客獲取進入目标網絡的憑據的另一種方法是通過網絡釣魚等社會工程學攻擊。攻擊者将向汽車公司員工發送一封電子郵件,他們在其中冒充受信任的發件人,并附有官方外觀的 HTML 和簽名。有時攻擊者會直接要求提供憑據,但通常情況下,攻擊者會在電子郵件中放置一個帶有惡意代碼的鏈接。
當接收者點擊鏈接時,惡意代碼被執行,網絡犯罪分子可以在目标系統中自由漫遊,訪問敏感數據,并從内部進行進一步的攻擊。
受損的售後市場設備
保險加密狗、智能手機和其他第三方連接設備也對汽車行業構成網絡安全威脅。這些售後市場設備直接連接到車輛系統,爲黑客提供了另一種發起攻擊的方式。
對于那些想購買二手車的人來說,這種威脅也需要考慮很多。許多人選擇通過汽車經銷商出售或交易二手車,消費者可以在經銷商那裏找到二手車的交易。聯網設備可能會在汽車系統中留下惡意軟件和後門程序,讓下一位車主也面臨風險。
勒索軟件
勒索軟件是當今科技領域最普遍的威脅之一。不幸的是,汽車行業也不例外。勒索軟件對汽車行業 是一個重大威脅,包括原始設備制造商、消費者和經銷商。曆史上汽車行業遭受了多次勒索軟件攻擊,原始設備制造商、一級公司和汽車服務提供商繼續成爲威脅行爲者的目标。例如 2021 年 2 月針對亞洲原始設備制造商的攻擊,DoppelPaymer 團夥要求用 2000 萬美元換取解密器。此外,在 OEM 能夠解決該問題之前,客戶有好幾天無法購買車輛。另一起事件發生在 2021 年 2 月,當時東歐的一家汽車共享服務公司遭到勒索軟件攻擊,包括該公司客戶在内的 11 萬人的個人數據被洩露到一個在線黑客網站,并在一個在線暗網論壇上發布出售。被盜數據包括用戶名、個人識别号碼、電話号碼、電子郵件和家庭地址、駕照号碼和加密密碼。
勒索軟件攻擊幾乎占了過去一年所有黑帽黑客攻擊的三分之一。這些攻擊通常以公司的 IT 服務器爲目标,試圖敲詐企業。盡管如此,有必要承認,如果他們可以訪問後端 it 服務器,他們也可以控制系統并促進對車輛的攻擊。上述攻擊破壞了美國所有 OEM 經銷商的服務,以及 OEM 的鏈接應用程序、電話服務、支付系統和經銷商使用的内部網站
威脅行爲者可以劫持組織的數據作爲人質,以換取大筆贖金。如果沒有合适的信用保護服務,汽車企業可能會陷入财務困境。這些攻擊會影響 IT 系統和運營,并可能導緻代價高昂的停機。
汽車供應鏈攻擊
汽車行業利用複雜的供應鏈采購用于制造新車、進行維修和提供服務的組件。這個供應鏈給行業帶來了巨大的風險,因爲每個連接的端點都是一個等待發生的漏洞。
現代汽車每輛車大約有 100 個 ECU。其中許多都是由可信的 Tier-1、Tier-2 和外圍供應商生産的。每一個都很重要,但每一個都有可能讓黑客滲透内部系統,獲取其他車輛的信息,訪問中央服務器,甚至傷害司機或乘客。在汽車行業,汽車原始設備制造商及其供應鏈公司和供應商可能難以遵循和管理産品的材料清單,無論是信息娛樂系統還是特定的 ECU。因此,聯網汽車的硬件組件中可能包含軟件漏洞。這些供應商制造的部件會在 OEM 無法正确識别漏洞來源的情況下進入車輛。即使消費者确實想要車輛部件的詳細信息,追蹤它們也将是一項艱巨的任務。
但供應鏈攻擊也會波及消費者。包含惡意代碼的更新補丁可以推送到互聯汽車,壞人可以破壞固件,惡意軟件可以讓供應商的運營完全停止。 在直接關系到消費者健康和福祉的問題上,消費者别無選擇,隻能信任汽車制造商和監管機構。通常情況下,原始設備制造商和聯邦機構甚至無法獲得深入的部件數據和它們構成的潛在威脅。例如,2021 年 1 月,一名黑客成功入侵了一家歐洲一級巨頭用于亞洲主要 OEM 汽車的信息娛樂單元。他們發現了信息娛樂系統的一個漏洞。通過插入 USB 設備,他們可以獲得系統的 root shell 訪問權限,并獲得管理員訪問權限,以安裝未經授權的軟件。黑客發現,歐洲生産的信息娛樂系統漏洞還可能影響到 2015 年以後生産的另外四款車型和商業車型。
此外,隻在汽車行業使用的二級供應商芯片上發現了 100 多個漏洞。這些芯片最終被放入一級産品中,而一級産品又被放入車輛中。這些漏洞可能會影響多個 OEM,因爲一個一級供應商可能向衆多 OEM 提供産品,而一個二級供應商可能爲多個一級供應商提供服務。此外,在 2021 年 8 月,一份研究報告披露,一家二級供應商已确認存在一個漏洞,允許攻擊者獲得對北美電動汽車 OEM 自動駕駛系統代碼執行的特權控制。這種攻擊包括解鎖一個引導加載程序,通常對消費者禁用,用于實驗室條件。這種攻擊也适用于歐洲 OEM 的信息娛樂系統,因爲它也使用了二級供應商的硬件。
行業該如何确保汽車安全
網絡安全應該是整個汽車生命周期的中心目标。但同樣重要的是,汽車制造商要提高網絡安全專業知識,以監控道路上的聯網和自動駕駛車輛。
美國國家公路交通安全管理局 ( NHTSA ) 最近發布了其推薦的現代車輛網絡安全最佳實踐,以幫助加強車輛的底層數據架構并防止潛在的攻擊。
他們表示,汽車行業應遵循美國國家标準與技術研究院 ( NIST ) 的網絡安全框架,該框架側重于五個關鍵功能:識别、保護、檢測、響應和恢複。NHTSA 針對車輛的建議是基于了 NIST 框架,但卻是專門針對汽車行業編寫。
最後,聯邦貿易委員會 ( FTC ) 還制定了針對聯網和自動駕駛車輛的法規。根據新的保障規則,經銷商應在 2023 年 6 月之前滿足其組織和車輛的網絡安全合規要求。
最後的想法
汽車制造商、銷售商、消費者、供應商、維修商和業内所有其他人在 2023 年及以後提高聯網汽車的安全性方面發揮着關鍵作用。
