欢迎光临第五届中国汽车网络信息安全峰会2020!

根据Cisco的说法, GNU Glibc中的一个内存损坏漏洞使智能车辆容易受到攻击

发布日期:2020-05-28

GRCCIoVSecurity

2020-05-28 11:30:41

手机阅读

点击上方蓝色字体,关注我们



根据Cisco的客户体验评估与渗透团队(CX APT)的说法,GNU Glibc中的一个内存损坏漏洞使智能车辆容易受到攻击。


思科客户体验评估与渗透团队(CX APT)的**研究发现了ARMv7的GNU libc中的一个内存损坏漏洞。


它使Linux ARMv7系统易于开发,此漏洞被标识为TALOS-2020-1019 / CVE-2020-6096。


Talos Intelligence博客称,暴露的已连接车辆上的安全威胁和网络攻击可能包括软件漏洞,基于硬件的攻击,甚至可能会远程控制车辆。


如今,汽车已成为融合了机械和计算机系统的复杂机器,这一点已被广泛接受。


更多的传感器和设备正在帮助汽车测量和了解其外部和内部位置,温度和其他环境变量以及与其他物体的距离。


该报告说:“这些传感器为驾驶员提供实时信息,将车辆连接到全球车队网络,并且在某些情况下,会积极使用和解释该遥测数据来驱动车辆。”


汽车可以将移动和云组件集成在一起,以改善驾驶员体验,包括空中更新,远程起停和监控。


报告补充说,这些系统在通过移动网络,WiFI,蓝牙,DAB,USB连接的车辆中引入了许多“不同的攻击媒介”。


但是Pen Test Partners的Andrew Tierney表示,该漏洞不仅限于车辆,而且将更广泛地涉及IoT。


蒂尔尼说:“虽然这是一个有趣的错误,但我们之前从未发现过它,但我们不知道为什么塔洛斯(Talos)强调这是一个'车辆'问题,”


“虽然确实有90%以上的车辆IVI(卫星导航主机)是基于ARM / Linux的,因此在某些配置中可能会受到攻击,但此问题影响了IoT和包括工业控制在内的其他嵌入式系统。


“这是一个重大的安全漏洞,不仅会影响汽车,还会影响物联网。尽管汽车OEM可能很快就解决了这一问题,但我们担心许多较旧且可能不受支持的嵌入式系统永远不会打补丁。


“这是物联网和ICS黑客在未来几年中无法使用的漏洞。”


报告提供了技术细节,并补充说:“ CX APT IoT安全实践专门致力于识别连接的车辆组件中的漏洞。


“ CX APT与Cisco Talos一起披露了该漏洞,而libc库维护者计划在8月发布修复此漏洞的更新。”


HackerOne技术项目经理Niels Schweisshelm同意,发现并报告了此漏洞是一个很大的肯定。


Schweisshelm表示:“预想与容易受到网络犯罪分子攻击的汽车相关的风险并不需要太多的想象力。”


“这里的好消息是,此漏洞是在不良行为者有机会利用它之前发现的。


“与其他所有人类开发的代码一样,漏洞将存在于汽车软件中,在被利用之前找到它们非常重要。


“凭借复杂的车载软件以及随之而来的安全隐患,汽车品牌开始在其数字资产上利用黑客提供的安全保护,以确保在使用汽车时我们都尽可能安全。随着我们走向无人驾驶的未来,这一趋势需要继续。”



|文章来源:SC UK

|作者:Andrew McCorkell

|2020.5.27



相关文章

如何规避汽车芯片安全漏洞?ISO/SAE 21434给出了新机制
汽车进入被盗高峰期?安全漏洞最坑人
黑客利用MSSQL数据库漏洞,每天攻击近3000个数据库






SELECTED EVENTS




 

长按二维码识别关注


  • 电话咨询
  • 15021948198
  • 021-22306692
None