最新消息:20210917 已从crifan.com换到crifan.org

【整理】汽车网络安全

安全 crifan 398浏览 0评论
汽车网络安全
网络隐患堵在智能汽车起跑线上-新华网 (xinhuanet.com)
汽车网络安全白皮书 – 毕马威中国 (home.kpmg)
汽车网络安全白皮书 (assets.kpmg)
中国信通院:白皮书 (caict.ac.cn)
汽车网络安全 | 汽车安全系统 | 互联汽车安全 | Autotalks (auto-talks.com)
Upstream:2021年全球汽车网络安全报告_新浪科技_新浪网 (sina.com.cn)
DSRC Technology | 802.11p standard | ITS-G5 and ETSI ITS-G5, IEEE802.11p | Autotalks (auto-talks.com)
Connected Vehicles Technology | V2X, V2V, V2I communication | Autotalks (auto-talks.com)
【总结】
汽车安全相关背景
    • 汽车向智能手机方向进化
      • 新四化
        • 智能化
        • 网联化
        • 共享化
        • 电动化
  • 汽车安全事件
    • 特斯拉
      • 2015年,黑客就曾入侵了特斯拉Model S的车载系统,导致其在行驶过程中突然熄火
      • 2017年,来自360公司和腾讯公司的安全技术人员分别展示了如何“无钥匙”远程进入特斯拉的车载系统和电网系统
      • 2020年,全球更是发生了多起特斯拉App宕机事件,致使手机无法与车辆进行链接,车主处于“盲开”状态,甚至有些车主被锁在车中
    • Jeep
      • 自由光
        • 2015年7月,两位著名白帽黑客查理·米勒以及克里斯·瓦拉塞克曾入侵了一辆Jeep自由光的Uconnect车载系统,通过软件远程向该系统发送指令,启动了车上的各种功能
    • 日产
      • 2016年,日产汽车不得不关闭其专为Leaf系列开发的应用程序Nissan Connected EV,因为他们发现,黑客可以侵入汽车系统,控制电池操作等功能,以耗尽电池
    • 其他
      • 奥迪、保时捷、宾利和兰博基尼等大众旗下品牌的Megamos Crypto防护系统也都被黑客攻破过
    • 2020年汽车安全事件
  • 汽车安全概况
    • 汽车网络安全防护还很薄弱
      • 相对传统汽车厂商而言,特斯拉无疑在网络安全防护方面表现得更好一些,但依然无法有效防范各种漏洞利用、数据泄露和服务中断等问题
    • 汽车行业在信息安全方面的防护基础整体还较为薄弱
      • 汽车端
        • 三类问题较为突出
          • 首先,受限于成本、技术成熟度等因素,目前车内防护仍以软件措施为主,身份认证、加密隔离等应用不足
          • 其次,对关键零部件、整车系统级软硬件的风险评估能力不足
          • 第三,网络安全测试评价基础薄弱,在车内部件、整车等方面测试验证能力不足,整车渗透还主要依赖于人工实施,渗透深度和水平缺乏可量化评估标准
  • 汽车安全攻击
    • 攻击手法
      • 传统的攻击手法
      • 新的
        • 利用超声波的“海豚音”攻击
        • 利用照片以及马路标识线的AI攻击
    • 攻击进入车辆方式
  • 汽车安全类型
    • 华为智能汽车解决方案BU、标准总监高永强
      • 根据风险类型分
        • 智能汽车的网络安全威胁:7类
          • 手机App漏洞
          • 云端服务器漏洞
          • 不安全的外部连接
          • 远程通信接口漏洞
          • 不法分子反向攻击服务器以获取数据
          • 车载网络指令被篡改
          • 车载部件系统因固件刷写、提取、植入病毒等被破坏
  • 汽车安全 相关标准和规范
    • WP.29
      • UNECE WP.29 TF-CS/OTA = UNECE WP.29
        • UNECE=联合国世界车辆法规协调论坛
        • 新法规要求
          • 车辆制造商只有获得网络安全管理体系(CSMS)认证的情况下,才可以进行车辆型式认证和市场准入
    • ISO/SAE 21434
  • 汽车安全相关技术
  • 汽车安全方案
国内 远程 安全方向
汽车 安全
汽车网络安全事件4年增长605%,国内首个智能汽车网络靶场落地深圳_36氪 (36kr.com)
  • Upstream Security
    • 2020年《汽车网络安全报告》
      • 自2016年至2020年1月,汽车网络安全事件的数量增长了605%,仅2019一年就增长了一倍以上
        • 82%涉及短程和远程攻击
        • 在过去十年中,前三大攻击媒介
          • 无钥匙进入系统(30%)
          • 后端服务器(27%)
          • 移动应用程序(13%)
        • 安全事件造成的后果
          • 汽车盗窃/入侵(31%)
          • 对汽车系统的控制(27%)
          • 数据/隐私泄露(23%)
  • 360
    • 《2019 智能网联汽车信息安全年度报告》
      • 2019年已经出现了两种新型网络攻击方式
        • 黑客获取智能汽车的T-Box通讯模块后,即可通过通讯模块接入车厂私有网络,进而攻击车厂内网导致TSP沦陷
        • 通过使用一种名为Worley的噪音(Worley噪声能够模拟石头,水或其他噪音的纹理)生成函数,通过加补丁的方式生成所需的对抗样本图片,可以启动特斯拉的自动雨刮器
        • 在道路上贴上对抗样本贴纸,则能误导自动驾驶系统,使车辆行驶到对面的车道造成逆行
      • 数字车钥匙漏洞也让汽车安全存在更多隐患

转载请注明:在路上 » 【整理】汽车网络安全

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
92 queries in 0.181 seconds, using 23.42MB memory