欢迎光临第五届中国汽车网络信息安全峰会2020!

互联汽车的前十大安全挑战

发布日期:2020-05-07

GRCCIoVSecurity

2020-05-07 16:14:59

手机阅读

点击上方蓝色字体,关注我们



随着互联技术的创新改变汽车行业,预计未来几年全球互联汽车市场将显着增长。给消费者带来的好处是很多的:连接性为驾驶员提供了从高清流媒体,Wi-Fi访问,改进的娱乐系统到使用移动电话应用程序远程控制车辆各个方面的能力,例如锁定/解锁和点火机制。。


但是,与连接到Internet的任何其他设备一样,网络犯罪分子也可能对汽车安全性造成威胁。安全漏洞可能导致个人数据泄漏,对车辆的基本安全机制造成威胁,在极端情况下,还可能完全控制汽车。而且,随着行业向更多的自动驾驶汽车发展,这些风险只会由于对应用程序,连接性以及更复杂和集成的电子组件的依赖而增加。


无法解决这些风险可能对消费者的信心,隐私,品牌声誉以及最重要的是客户安全造成灾难性影响。


联网汽车的十大安全风险是什么?


1.盗窃个人数据。随着车辆中传感器的数量迅速增加,黑客有可能从车辆系统中窃取个人身份信息(PII),例如个人旅行和位置数据,娱乐偏好甚至财务信息。


2.车辆失窃。随着数字钥匙,无线钥匙扣和移动应用取代了传统的物理汽车钥匙,盗车者可以未经授权进入车辆。这可以通过以下方法来实现:使用扩展无线信号范围的设备,并通过拥有者自己的无线钥匙扣(如果车主仍在使用)来模拟无线钥匙以访问车辆,从而拦截智能手机或无线钥匙扣与车辆之间的通信。靠近他们的车辆。如果管理不当,则管理虚拟汽车钥匙可能与管理物理钥匙一样困难。密钥的注册,“解锁”尝试的验证以及最重要的是吊销,都必须安全处理。


3.连接风险。网络罪犯可以利用供应商实施中的缺陷。鉴于安全性有时是互联汽车及其组件的事后考虑,这为黑客利用蜂窝网络,Wi-Fi和物理连接利用漏洞创造了一个容易的目标。此外,互联的车辆需要能够信任它们所连接的组件和服务,并被它们所信任。


4.操纵安全关键系统。黑客有可能控制车辆运行中至关重要的方面-例如,通过破坏巡航控制系统来操纵转向和制动。


5.移动应用程序安全漏洞。随着制造商发布更多用于与车辆通信的移动应用,这些越成为不良行为者的目标。例如,在日产聆风(Nissan Leaf)的情况下,安全测试人员演示了如何获得未经授权的访问权,以远程控制加热的方向盘,座椅,风扇和空调。在电动汽车中,这会耗尽电池并使其无法移动。根据Gartner的调查,有75%的移动应用程序未通过基本安全测试。Android和iOS移动操作系统中的安全漏洞数量也令人担忧。


6.缺乏“内置”安全性。汽车行业几乎没有处理网络安全风险的历史经验,这一点从第一代联网汽车中许多软件和硬件组件缺乏安全性这一点就变得显而易见。此外,似乎缺乏关于安全编码实践和严格的安全测试的足够的教育,而其中的许多工作在产品开发生命周期中为时已晚。并且,为了削减组件成本,某些安全关键和非安全关键功能可以共享资源(处理器核心,物理连接或Internet访问)。从敌对环境的角度出发,从头开始进行设计是构建“设计安全”系统的唯一方法,该系统可以长期稳定运行。


7.复杂供应链中的安全漏洞。汽车制造商严重依赖第三方供应商为其车辆提供系统,软件和硬件组件。但是,除非汽车制造商对其1级和2级供应商施加严格的网络安全要求,否则他们冒着通过这些组件引入安全漏洞的风险。假冒零件也可能进入供应链,通过降低磨损等级,超越安全极限等威胁安全。任何负责主要活动(例如制动)的零件显然都需要达到**的安全标准。


8.无法跟上**的安全补丁和更新。当发现新的威胁和攻击时,唯一有效的解决方案是确保将平台部署到现场后可以轻松,安全地更新平台。这些更新中的许多更新是通过提供的软件,组件和系统交付的,这些软件,组件和系统依赖于连接到个人计算设备的无线通信网络,并具有自身固有的安全挑战。


9.密钥管理流程不足。尽管大多数汽车制造商使用密钥管理系统来管理加密密钥,但有些汽车制造商仍使用手动过程,从而限制了其实用性并妨碍了安全性。


10.车辆信息娱乐(IVI)中的漏洞。车载娱乐系统的创新-从卫星导航到高清流媒体-都为驾驶员带来了好处,但是这些平台越来越多地提供利用敏感数据的服务,并且对车辆和最终用户的安全性至关重要。Android和Apple都提供信息娱乐系统和以车辆为中心的应用程序商店,并且有机会将诸如付款和社交网络之类的应用程序与以车辆为中心的更多需求(例如通行费,停车和行程计划)结合起来。链接这些世界带来了新的可能性,但同时也带来了以应用程序为中心的恶意软件可能攻击汽车平台的威胁。


业界正朝着自主,互联,电动和共享(ACES)移动性的快速转变,以及高带宽5G连接性的兴起,使汽车制造商能够提供新的车载服务和丰富的内容。这些日益复杂的数字座舱系统将为驾驶员和乘客带来新的个性化数字体验,但同时也带来了安全和内容保护方面的挑战,这些挑战必须以公认的信任来解决。


与其他智能设备相比,汽车具有如此长的生命周期,创新的OEM和一级供应商必须构建以长期安全为核心的互联汽车架构。


作者:Ben Cade, CEO, Trustonic



相关文章

汽车行业的下一个大趋势
数据驱动的车辆:下一个安全挑战
对于联网汽车,零信任是**的安全建议






SELECTED EVENTS




 

长按二维码识别关注


  • 电话咨询
  • 15021948198
  • 021-22306692
None