车联网安全入门 Part1

汽车安全 3年前 (2021) admin
1,343 0 0


车联网安全入门 Part1
THIS WINTERR

车联网安全入门 Part 1

车联网安全入门 Part1


车联网安全入门 Part1

介绍

汽车安全不仅仅是对汽车/车辆进行物理黑客攻击。它只是一个非常小而脆的部分。像攻击者/对手一样针对联网车辆进行思考时,您正在查看车辆的整个生态系统。其中包含它如何与外部实体通信以及它如何在车辆内部工作。

汽车是先前的交通工具,随着时间的推移,对更多功能的需求增加,以获得竞争优势并遵守新法规,在旧汽车中,它们具有基本的电线,因为我们正在从字面上和形象地转向时代无人驾驶联网的自动驾驶汽车,保护汽车景观将变得更加重要和危险。

今天,汽车不仅仅是一辆强大的机动车辆,它还连接到无线网络、应用程序和电子元件、传感器和执行器。恶意黑客/对手正在渗透车辆网络,使汽车行业处于必须端到端安全的境地。

车联网安全入门 Part1

联网车辆需要巨大的处理能力和多个通信通道,以便电子组件进行计算和通信。今天的车辆是由他们的软件定义的。有了如此多的连接(V2V、V2I 和 V2X),车辆在设计上必须是安全的。但是,一般来说,一辆汽车/汽车包含 100 多个由不同 OEM 供应商制造和开发的ECU

车联网安全入门 Part1


车联网安全入门 Part1

车辆使用超过几百万行代码来控制,从安全组件(加速、齿轮、刹车等)到信息娱乐中心以及从 GPS 到播放音乐的不同 ECU,大量的软件可能会导致安全车辆的缝隙。这些差距是攻击者的潜在攻击点。任何在线内容都是网络攻击者的目标。黑客不仅可以将用户的个人信息置于危险之中,还可以将他们的人身安全置于危险之中。如果在与车辆关键部件连接的安全性较差的 ECU 之间存在漏洞,就会使车辆容易受到攻击。

车联网安全入门 Part1

车联网安全入门 Part1

可能的远程攻击场景

如果车辆的计算机系统没有得到适当的保护,黑客就可以窃取数据甚至控制车辆。这些威胁不仅仅是理论上的。2015年,安全研究员Charlie Miller和Chris Valasek登上了国际新闻头条。当时他们远程入侵了由 Wired 杂志记者驾驶的 Jeep Cherokee。他们远程控制了空调、雨刷、油门和刹车。

2015 年之后,许多研究人员在世界各地的会议上分享了他们在黑客汽车公司和 OEM 的后端服务器方面的发现。一旦攻击者获得后端服务器的访问权限,他现在就有可能部署整个车辆的攻击。在这一点上,这是非常危险的,因为后端服务器是将安全 OTA(固件/软件)更新推送到车辆的可信平台。他可以控制油门/刹车/转向,也可以推送恶意更新。

如果研究人员发现一个漏洞,该漏洞有很大的可能使路上行驶的车辆可远程破解,则原始设备制造商和一级供应商可能会受到严重影响。如果它们无法通过 OTA 更新修复。汽车制造商将不得不把所有的车辆都召回来修复这些漏洞。

管理所有 ECU 及其功能是一项繁重的工作。想象一下有些事情失控了。手动查找被破坏的组件是一场噩梦。制造商想出了一个车载诊断端口 ( OBD-II ) 来解决这些诊断问题。

除了一系列标准化的诊断故障代码 ( DTC )之外,现代 OBD 实施还使用标准化的数字通信端口来提供实时数据。总而言之,车辆中的每条网络总线都将连接到 OBD-II 诊断端口。OEM 的测试设备只需发送统一诊断服务 ( UDS ) 命令即可读取 DTC 信息。

车联网安全入门 Part1

UDS 命令甚至能够重置 ECU 并在指定位置下载数据存储。这也打开了物理攻击面,攻击者可以安装恶意软件,轻松远程控制您的车辆。

我们最终担心可能危及生命和财产的攻击:

  • 远程信息处理 ECU/网关身份验证和完整性 (V2X)。

  • 恶意软件/后门获得对关键 ECU (Rootkit) 的控制和通信。

  • 车辆关键网络总线中的通信中断(欺骗/Dos)。

  • 原始组件/软件被受感染的对应组件替换。

  • 传感器数据验证(雷达/激光雷达等)。

车联网安全入门 Part1
汽车安全究竟包括哪些内容

从更大的角度来看,联网车辆可以通过连接到 OEM 后端来查看(传感器和摄像头)、监听(多媒体和语音助手)并进行自我更新。例如,攻击者可以执行一组指令,当您越过特定的 GPS 坐标时,您的车辆可能会刹车,或者当它看到红色交通信号时可能会加速,或者当您遇到障碍物时,安全气囊可能无法弹开。

当我们查看安全的车辆时,它必须具有:

  • 安全的 OTA 和物理更新。

  • 受保护的车载和外部通信。

  • 电子元件的硬件安全。

  • 使用的不同软件和应用程序的安全性。

  • 通过 OBD-II 端口进行安全通信。

车联网安全入门 Part1
 关注我们—-内容持续更新中……
车联网安全入门 Part1
扫码关注我们

微信公众号:IOTsec Zone

官网地址:

www.iotsec-zone.com

文章持续更新中…




内容来自:https://payatu.com/blog/kartheek.lade/automotive-security-part1

原文始发于微信公众号(IOTsec Zone):车联网安全入门 Part1

版权声明:admin 发表于 2021年11月30日 上午8:01。
转载请注明:车联网安全入门 Part1 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...