汽车网络安全攻击实例解析

最新推荐文章于 2024-12-25 14:22:58 发布
原创 最新推荐文章于 2024-12-25 14:22:58 发布 · 1.5k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#汽车 #web安全 #网络

文章介绍了近年来汽车网络安全面临的挑战,包括远程控制、隐私盗窃等攻击行为,特别分析了2015年JeepCherokee的远程入侵案例,揭示了通过车载信息娱乐系统和CAN总线的攻击路径。同时,提到了汽车制造商和机构如特斯拉、通用汽车、NHTSA等采取的漏洞报告和安全防护措施。

作者 | 王博文 上海控安可信软件创新研究院研究员

来源 | 鉴源实验室

引言:近年来,汽车网络安全攻击事件频发,而汽车智能化和网联化所带来的安全隐患也与日俱增,研究人员除了考虑如何加入防御措施之外,还应该站在攻击者的角度来分析历史的攻击事件以及攻击手段。

01 汽车信息安全漏洞与攻击

针对汽车的攻击行为在近年来引起了较大的关注,但是对汽车的攻击行为却不是近年才有的。早期的攻击汽车行为主要是破解汽车的防盗系统,对汽车或车内财产进行盗窃。随着智能网联汽车的发展,汽车具有了更多潜在的入侵途径。对汽车的攻击行为包括了汽车非法功能激活、汽车控制以及隐私盗窃等多种行为。智能网联汽车的环境增加了攻击者入侵的途径和可能性。恶意的攻击者可能会通过夺取汽车的控制权对车主进行勒索,也可能在行车过程中引发安全事故,甚至有可能发动大规模的恐怖袭击。

2011年,德国马格德堡大学的研究员针对CAN总线网络系统,展示了在车窗升降、汽车警示灯、安全气囊控制以及中央网关控制系统四种攻击场景下的安全隐患[1]。德国ESCRYPT公司的研究员提出了在新的网联汽车环境下,需要对汽车内部的数据安全做更好的保护[2]。除此之外,国际上还有很多针对车载网络安全性分析的研究[3, 4]。

科恩实验室在2016年和2017年对特斯拉汽车实现了无物理接触攻击。该安全漏洞可以实现汽车的车身控制和行车功能控制[5]。在该攻击案例中,攻击者的入口是中央信息显示模块CID。利用这个ECU中的Linux操作系统和浏览器的0 day漏洞。攻击者成功地实现了通过蜂窝网络从远程接入了信息娱乐系统。当中央网关被攻破以后,整个车内网络的控制信号则都暴露在攻击者面前。之后黑客可以通过中央网关发送各类CAN总线报文、UDS控制信号等,进而实现对车辆的远程控制和攻击。

2017年,荷兰网络安全公司Computest的研究员Daan Keuper和Thijs Alkemade通过对大众和奥迪的多款车型进行挖掘,发现其车载信息娱乐系统中存在远程利用漏洞[6]。攻击者通过车载Wi-Fi设备接入了汽车的信息娱乐系统,再利用车载信息娱乐系统的漏洞,向CAN总线中发送CAN报文,最终实现了对中央屏幕、扬声器和麦克风等装置的控制。

为了解决汽车网络安全问题,汽车厂商在近年来也投入了大量的精力。美国通用汽车公司在2016年1月与HackerOne合作启动了了公共安全漏洞报告项目。特斯拉汽车公司、菲亚特克莱斯勒公司等也在BugCrowd的平台上进行了漏洞悬赏,试图在攻击者利用漏洞进行攻击之前发现并解决问题。

最低0.47元/天 解锁文章
上海控安
关注
新能源汽车的充电网络安全威胁和防护措施
博大汽车信息安全
07-24 1522
该标准细化了系统安全防护目标及架构,在安全分区、网络专用、横向隔离、纵向认证、运营平台、充电设施等方面提出了具体技术建议,确定了电动汽车充电设施及运营平台的网络信息安全防护要求,适用于与电动汽车充电设施及运营平台、充电设备、移动智能终端充电软件的信息安全防护设计、信息安全评估等。用户隐私风险:用户在使用充电设施时通常需要提供个人信息、车辆信息、财务(支付)信息等,这些信息若受到黑客攻击或发生泄露,可能会给用户带来损失。:将充电桩安装在安全可靠的位置,使用坚固的外壳材料,具备防水、防尘、防雷击等功能。
智能网联汽车网络安全攻击与防御技术概述
TICPSH的博客
11-18 1957
该系列文章主要对智能网联汽车网络安全攻击及其防御技术进行全面的概述。一方面总结以往研究的发现和结论,并从学术研究和产业发展的角度,指出当前研究所面临的挑战和发展趋势。
智能网联汽车网络攻击与代码保护
ICV_E的博客
03-19 1018
@汽车软件开发工程师是否需要学习逆向技术 汽车网络安全形势 长期以来,汽车一直注重系统功能安全的可靠性,不断增强车辆主被动安全能力,并且有ISO26262标准为整车厂和零部件厂商提供功能安 全开发的指导。 而网络安全问题是随着汽车智能化网联化的发展才逐渐被人们关注。因为联网行为的增多,增加了智能网联汽车网络安全风险。车载信息娱乐系统、导航系统、OBD等物理接口、车载蓝牙和无线接入、电子控制单元固...
一种实用的联网汽车无线攻击方法及车载安全协议
TICPSH的博客
02-25 817
​车辆IT融合技术是现代车辆的一种快速崛起的范例,其中电子控制单元(ECU)用于控制车辆电气系统,而控制器局域网(CAN)作为车载网络通常被使用构建高效的ECU网络。不幸的是,尽管CAN控制消息可能对生命至关重要,但在CAN中并未适当地解决安全问题。随着互联汽车环境的出现,车载网络(例如CAN)现在已连接到外部网络(例如3G / 4G移动网络),从而使对手可以使用CAN漏洞进行远程无线攻击。在本文中,我们证明了在连接的汽车环境中,使用真实的车辆和恶意的智能手机应用程序,在物理上可能进行远程无线攻...
充电站网络安全风险危及电动汽车普及
博观约取,厚积薄发
06-11 832
汽车制造商和消费者正在经历电动汽车(EV)可接受性的突破。广泛分布的易于接入的充电站网络正在平息对里程的焦虑,取而代之的是对里程的乐观。 在这一关键的应用时期,电动汽车车主将第一次充分信任电动汽车生态系统,在他们的旅程中计划在全国范围内进行充电,就像他们几十来对加油站所做的那样。仅仅是看到充电站,对汽车和车队买家来说就是一个信号,表明这项长期承诺的技术已经实现,他们也可以体验电动汽车这样的奢侈品。 整车厂、一级和二级制造商都知道,充电站高度互联的特性,以及它们赋予车辆的能力,远
特斯拉自动驾驶汽车事故分析与汽车信息安全生命周期管理
博大汽车信息安全
03-12 3747
                      201801月22号,特斯拉Model S在公路上撞上了前方的消防车,幸运的是无人伤亡。根据司机描述,当时他在事故中启动了自动驾驶模式。大多数人知道特斯拉可以说是目前世界上最先进的已经具备L2、特定条件下L3的自动驾驶能力的汽车。在这里面,小编想和大家分享的和现在的新闻、网络媒体报道不太一样,小编目前从车车联网信息安全行业,所以站的角度更多的是分析一件...
Python网络安全项目开发实战_看清Web攻击_编程案例解析实例详解课程教程.pdf
04-27
本章来看一下 Web 攻击到底是怎样的,进而更好地防止自己遭到 Web 攻击。本章仅讲解攻击的过程,不针对任何具体的主机或服务器。不管是国内巨头 BAT,还是国外的 Google、MicroSoft、FaceBook……都不能保证自己...
基于py网络安全应用实例.py
04-07
Python 是一种流行的高级编程语言,具有简单易读的语法和丰富的标准库,适合用于快速开发各种类型的应用程序,包括网络安全应用。在示例中,我们利用 Python 提供的 hashlib 模块来进行密码的哈希加密,并使用基本的...
Python网络安全项目开发实战_利用Python监测漏洞_编程案例解析实例详解课程教程.pdf
04-27
任何软件和系统都没法保证百分之百的安全。但当某个软件发现了漏洞,它就会影响众多的使用者。对于这种情况,我们只能常看相关的论坛,积极地打补丁修补,没有什么更好的办法应对。网络上公布的漏洞很多,只要发布新...
网络安全领域中常用的资产测绘与漏洞挖掘工具及语法实例解析
最新发布
03-22
内容概要:本文档详细介绍了多种工具和技术,以辅助网络空间安全从业者深入了解不同平台提供的搜索方法和技巧,进而用于发现网络中存在的潜在安全隐患以及进行有效的攻击面发掘。主要包括以下几个方面:1. GitHub...
智能汽车十大网络安全攻击场景-《智能汽车网络安全权威指南》
qq_18209847的博客
11-25 2213
这些模块包括信息娱乐系统(IVI)、车载网联通讯终端(T-BOX)、车载网关(Gateway)、统一诊断服务(Unified Diagnostic Services,UDS)、车载诊断(On-board diagnostics,OBD)、高级辅助驾驶系统(ADAS)、车载信息服务(TSP)、充电网络系统(Charging System)、汽车远程升级(Over-The-Air,OTA)以及手机端车联网应用程序(App),如图1所示。朝着该目标的每一次新进展,都可能会引入一个新的攻击面,需要持续的安全投入。
如何保护电动汽车充电站免受网络攻击
网络研究观
11-14 5013
从电动汽车、传感器、充电站和支持基础设施的设计阶段开始就强调安全性作为首要任务。
电动汽车的“专属危险”:网络威胁问题不容小觑
读芯术的博客
03-31 1518
全文共1718字,预计学习时长5分钟 图源:unsplash 无可否认,未来属于电动汽车。当下,电动汽车和无人驾驶汽车正在飞速奔向现实。它们已经不再是什么豪车,而是普通人也可以负担得起的车辆。 美国能源部的数据表明,一辆电动车的燃料成本大约是汽油车的一半:一加仑电燃料的平均成本为1.24美元,而一加仑汽油的平均成本为2.64美元。 同样,凯莉蓝皮书的数据表明,2018美国新车的平均成本为35742美元;2019,Quartz的一项调查显示,美国一辆新车的平均成本为...
智能网联汽车行业信息安全现状与威胁
weixin_45576679的博客
09-30 1140
随着汽车迈向智能化、网联化、电动化和服务化之后,尤其是众多的网联接口,给智能网联汽车带来的巨大的安全挑战。虽然汽车行业的安全研究已经开展了很多,但从整个行业来看,最佳实践的缺失,安全标准的缺失,以及安全技术、方法论及其配套工具链等都未完全跟进,导致整个行业的安全现状并没有得到显著的改变,尤其是OEM的变革相对滞后。 1.智能网联汽车行业安全挑战 车联网生态系统是车内网、车际网和车载移动互联网三大部分组成,只有全面理解智能网联汽车的生态系统,才能真正理解汽车行业面临的安全挑战和风险。...
最具影响力的汽车黑客攻击事件
2401_88751289的博客
12-25 1566
他们的研究涉及将恶意信息注入汽车的控制器局域网(Controller Area Network, 简称CAN),以操控汽车功能,包括制动、加速和引擎控制。资料来源:Flavio D. Garcia et al. Lock it and still lose it – on the (in)security of automotive remote keyless entry systems (2016).通过利用信息娱乐系统中的浏览器漏洞,他们获得了访问汽车CAN总线的权限,从而可以操控制动等关键功能。
智能网联汽车网络安全威胁具体
weixin_45092582的博客
03-11 1053
为了应对这些安全威胁,智能网联汽车制造商和相关利益相关者需要采取一系列安全措施,包括但不限于加密通信、安全更新机制、漏洞管理、身份验证和访问控制等。黑客可以通过攻击车辆的网络连接,例如通过车载无线网络或蓝牙连接,远程控制车辆的功能,如刹车、加速等,甚至盗取车辆的数据。2.恶意软件和病毒:像传统的计算机系统一样,智能网联汽车也面临恶意软件和病毒的威胁。这些漏洞可能是由于设计不当、实施不完善或者使用过时的技术导致的。3.数据隐私问题:智能网联汽车会收集大量的数据,包括车辆的位置、行驶习惯、驾驶员偏好等。
一种自动化挖掘联网车辆协议中的拒绝服务漏洞的方案
qq_40229814的博客
12-08 1341
原论文:USENIX2021 :Automated Discovery of Denial-of-Service Vulnerabilities in Connected VehicleProtocols 标题:自动地挖掘联网车辆协议中的拒绝服务漏洞 摘要:智能网联汽车(CV)的兴起带来了更多的网络攻击面,这可能导致道路安全隐患,这就非常需要系统地了解CV网络协议栈以及CV应用程序的设计缺陷。本文设计了CVAnalyzer,这是一个用于发现 CV 网络堆栈可用性违规的设计级缺陷,并量化相应的安全风险程度的系
车联网安全
weixin_43977912的博客
03-11 2323
1、智能汽车安全如何分类? 智能汽车终极发展阶段是无人驾驶,车联网则是无人驾驶实现的基础,然而车联网技术应用过程中却会带来信息安全问题,具体可分为以下三种: 一、用户隐私 汽车智能化是建立在车辆动态数据收集及应用上的,如车辆行驶、车体、动力、安全及环境数据等层面, 尤其是车辆行驶数据一直都被视为变现的大数据金矿,无论是车联网前装的车商,还是车联网后装的互联网科技公司,都在用户不知情的情况下收集车主驾驶历史数据,除了自用外,甚至还会商业变卖给第三方使用,由此造成用户隐私泄露危险(本文属于原创,猫视汽车首发,转
深入解析网络安全编程实例及技术要点
网络安全是IT领域中至关重要的一个部分,它涉及一系列保护计算机网络不受攻击、损害或未经授权的访问的策略和技术。本册书籍《网络安全编程技术与实例02》是《信息科学与技术丛书·程序设计系列》的组成部分,旨在为...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值