Upstream Security 發布的《2022 年全球汽車網路安全報告》顯示,預計到 2024 年,汽車行業因網路攻擊造成的損失將達到 5050 億美元,僅次於高科技和生命科學行業。 數據/隱私洩露、汽車盜竊/闖入和汽車系統控制是 2020 年和 2021 年的三大網路事件。通過對車輛系統、通信通道和後端伺服器進行本地和遠端攻擊,網路安全攻擊呈上升趨勢。汽車製造商和服務提供商。 該報告稱,2021 年 84.5% 的攻擊是在沒有物理接觸汽車的情況下遠端進行的,40.1% 的事件集中在後端伺服器攻擊。
目前,後端安全和數據安全是汽車廠商關注的重點。 隨著車輛的互連程度越來越高,焦點將轉移到通訊管道,因為風險將急劇增加。²
增加攻擊面和類型
攻擊媒介範圍從 OEM 後端服務器到車輛電子控制單元 (ECU)、無鑰匙進入和資訊娛樂系統。 對於物理/本地攻擊,駭客只需將USB設備插入資訊娛樂系統即可輕鬆獲得系統的root shell訪問權限,或者使用中繼攻擊來欺騙數位鑰匙的無線信號來竊取您的汽車,甚至通過雷達傳感器進行攻擊。
聯網汽車需要通過無線網路和雲傳輸大量數據,這為駭客創造了更多的攻擊面。 您能想像當駭客侵入您的 ECU 或周邊單元時,他們可以更改汽車的溫度指示或交通燈,從而誤導您的自動駕駛汽車做出錯誤的決定嗎?
攻擊者可以發起偽裝攻擊,假裝自己是聯網汽車,並使用虛假身份獲取網絡對車輛 ECU 或 OEM 後端伺服器的訪問權限,竊取數據以獲取贖金。 駭客可以通過殭屍網絡發起 DDoS 攻擊來攻擊周邊單元 (RSU),從而破壞道路基礎設施通信和服務,或造成交通擁堵。
駭客不僅可以破壞道路基礎設施,還可以通過圖像處理攻擊誤解道路標誌來欺騙車輛攝像頭。 根據ENISA 的研究,對自動駕駛汽車的攝像頭和光探測與測距(LiDAR) 系統進行了一些實驗性遠端攻擊,這些攻擊顯示出有效的攝像頭致盲效果,使真實物體看起來比實際位置更遠,甚至創建虛假物體。 除了惡意傳感器操縱之外,其他攻擊媒介也已得到實際證明,例如全球導航衛星系統 (GNSS) 欺騙和欺騙基於人工智能的功能,只需在車輛周圍畫一個粉筆圓圈即可誘騙自動駕駛汽車。
電動汽車充電站、汽車 IVI 系統或用作數字鑰匙的智能手機如果使用 Java Log4j 庫,也容易受到攻擊。 2021年12月的Log4shell攻擊給包括汽車在內的各行業造成了巨大損失。 Apache Log4j 是一個基於 Java 的日誌庫。 Log4j 中的這個漏洞被稱為“Log4Shell”,是一個零日漏洞,可實現未經身份驗證的遠程代碼執行,從而導致系統完全被接管。 例如,駭客可以滲透 V2G 網絡並更好地訪問充電器和汽車,以收集網路密鑰、進入每個網路並執行中間人 (MitM) 攻擊,在充電器和汽車之間注入虛假數據。 駭客可以遠端打開和關閉充電器、禁用充電器或存取通過 Wi-Fi 連接充電器的家庭網路。4
Upstream Security 表示,駭客利用 Log4Shell 漏洞直接與遠端資訊處理數據伺服器、後端基礎設施和內部伺服器通信,以存取公司資產並繞過許多現有的安全控制措施。 可通過信息娛樂系統等應用程序在用戶輸入字段中插入任意代碼來利用此漏洞。5
Attack vectors are changing over time. (Source: A Roadmap to Secure Connected Cars, Trend Micro)
如何有效應對網絡威脅
隨著越來越多的車輛連接到道路基礎設施和雲端,它們變得更容易受到網路攻擊,因為大多數軟件依賴於第三方開發和開源。 漏洞不僅會影響用戶的隱私,還會影響汽車的整體安全。 例如,後端妥協可能允許攻擊者遠端控制汽車或進行惡意韌體無線 (FOTA) 更新。 WP.29 R156 定義了 2022 年 7 月針對新車型檢測和響應整個車隊安全事件的無線更新安全性,並將於 2024 年應用於現有車輛。
2022年是WP.29 R155、R156和ISO/SAE 21434實施的重要一年,通過整個供應鏈的嚴格管理來保障車輛的全生命週期。 R155 定義了網路安全管理系統 (CSMS),R156 定義了軟件更新管理系統 (SUMS),以確保整個車輛生命週期中的安全軟體更新。 該法規包括考慮終身網路安全威脅和漏洞的要求。 除了遵守法規之外,安全設計、VSOC 實施和多層安全也是構建整體安全方法的其他方法。
安全設計正在成為一個重要的設計理念。 例如,華邦記憶體等記憶體公司的特點是通信通道加密、每個設備具有唯一密鑰的個別化、加密讀寫鎖、數據完整性保護、安全無線 (OTA) 韌體更新、根信任功能、安全讀取、寫入和擦除操作– 節省成本並縮短上市時間。6 其W75F 安全閃存解決方案可實現安全就地執行(XiP),並為代碼和數據提供安全的外部存儲防止重放、回滾、中間人、嗅探、旁道和故障注入攻擊等威脅。7
MIH 在 EVKit 上推廣“設計安全”概念,通過實施網絡安全方法來實現更嚴格的安全性,例如“設計安全”、“零信任”和帶有用戶身份驗證機制的內置身份驗證。 EVKit 在每個 ECU 上運行,包括權限服務、身份驗證服務和 OTA 代理,以執行出色的安全和無線保護。 在組件設計階段還建議進行威脅分析和風險評估(通常稱為 TARA)8。
零信任是一種流行的端點安全方法,尤其是在消失的邊界內。 該架構對內部和外部訪問都採用“從不信任,始終驗證”的方式,為惡意行為預警和防止網絡攻擊橫向移動提供解決方案。 該機制允許每個設備只有在經過授權並且獲得授權後才能進行通信或存取數據。 當溝通停止時,該授權就會過期,並且在下次交互時需要新的審核流程。
歐盟網絡安全局(ENISA)建議汽車行業考慮建立安全運營中心(SOC),以確保潛在的安全事件得到正確識別、調查和報告。
VSOC 可以預測、預防、檢測和響應不斷演變的網絡威脅,例如在發現網路入侵和可疑CAN 消息時監控車輛通信並檢測網路安全事件,或者將一段時間內的事件關聯起來,將過去的事件與威脅情報分析和報告結合起來。 VSOC可以為汽車製造商和供應鏈合作夥伴提供事件響應流程和可操作的資訊,幫助他們自發決定下一步行動,避免因網路攻擊而造成的潛在損失。
Threat Taxonomy (Source: ENISA Good Practice for Security of Smart Cars)
Reference:
- Global Automotive Cybersecurity Report, Upstream Security, 2022
- A Roadmap to Secure Connected Cars, Trend Micro, 2021
- ENISA Good Practice for Security of Smart Cars, ENISA, 2019
- https://www.trendmicro.com/en_us/research/21/l/examining-log4j-vulnerabilities-in-connected-cars.html
- https://upstream.auto/blog/protecting-vehicles-and-automotive-servers-from-log4j/
- https://www.winbond.com/hq/product/trustme/w77q-trustme-secure-flash-memory/?__locale=en
- https://www.winbond.com/hq/product/trustme/w75f-trustme-secure-memory-element/?__locale=en
- https://developer.mih-ev.org/concept/security/#security-coverage-in-vehicle
