压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

McAfee 高級(jí)威脅研究團(tuán)隊(duì)最近在法國(guó)網(wǎng)站JournalAuto.com上發(fā)布了一篇關(guān)于汽車威脅的文章。聯(lián)網(wǎng)汽車的數(shù)量增長(zhǎng)迅速，代表了個(gè)人交通的下一個(gè)重大進(jìn)步。根據(jù)普華永道法國(guó)公司的數(shù)據(jù)，預(yù)計(jì)2017至2022年間汽車銷售額將從525億美元增至1559億美元。這種增長(zhǎng)對(duì)汽車公司和IT安全公司來說都是一個(gè)巨大的挑戰(zhàn)。

與傳統(tǒng)汽車相比，智能網(wǎng)聯(lián)汽車增加了許多的新功能，包括WIFI，駕駛輔助系統(tǒng)和自動(dòng)駕駛操作等。聯(lián)網(wǎng)汽車將很快需要強(qiáng)大的安全功能，以避免任何可能危及駕駛員、乘客和其他人的入侵。

安全風(fēng)險(xiǎn)

與其他聯(lián)網(wǎng)設(shè)備一樣，現(xiàn)代汽車也面臨安全風(fēng)險(xiǎn)。讓我們來看看在汽車安全領(lǐng)域當(dāng)前和未來的威脅。

下圖顯示了主要風(fēng)險(xiǎn)：

個(gè)人數(shù)據(jù)和記錄

聯(lián)網(wǎng)汽車記錄了很多關(guān)于駕駛員的信息。這些信息可以來自連接到汽車的外部設(shè)備（例如電話），包含聯(lián)系詳情、短信和通話記錄，甚至音樂品味。汽車還可以記錄變換模式和其他駕駛員習(xí)慣以用于創(chuàng)建駕駛員能力畫像。這種監(jiān)督可以用在例如為保險(xiǎn)公司提供保險(xiǎn)服務(wù)時(shí)提供幫助。

隨著個(gè)人數(shù)據(jù)越來越被重視，所有這些信息都是網(wǎng)絡(luò)犯罪分子以及公司和政府的有價(jià)值目標(biāo)。

網(wǎng)絡(luò)犯罪分子可以利用這些被盜信息進(jìn)行經(jīng)濟(jì)賠償和身份盜竊

公司可以將此信息用于營(yíng)銷或保險(xiǎn)合同

政府可以利用這些信息來監(jiān)視和追蹤人員

偽造的汽車數(shù)據(jù)

數(shù)字信息可以修改和偽造。通過改變諸如擾亂測(cè)試或績(jī)效等數(shù)據(jù)，企業(yè)可以利用這些結(jié)果來增加銷售額。同樣，司機(jī)可以修改汽車統(tǒng)計(jì)數(shù)據(jù)，例如修改行車距離來欺騙保險(xiǎn)公司和未來的買家。

汽車盜竊和鑰匙鏈黑客攻擊

鑰匙鏈黑客攻擊是一種可以讓入侵者無需破壞汽車即可進(jìn)入汽車的技術(shù)。這項(xiàng)技術(shù)被攻擊者熟知，并且可以以低成本輕松地完成攻擊。該攻擊包括攔截來自無線鑰匙的信號(hào)，以阻止信號(hào)鎖定汽車與重放信號(hào)打開汽車。

一種攻擊方式利用干擾器來阻止信號(hào)。干擾器會(huì)干擾用于與車輛通信的電磁波，阻止信號(hào)并防止汽車鎖定，從而使攻擊者可以進(jìn)入。一些干擾機(jī)的射程超過500米。

鑰匙鏈干擾器。

另一種攻擊方式截取了鑰匙發(fā)出的信號(hào)，并通過重放來打開車門。汽車制造商通過實(shí)施安全算法來避免這種使用相同信號(hào)進(jìn)行簡(jiǎn)單的重放的攻擊。從鑰匙發(fā)送到汽車的每個(gè)信號(hào)都是獨(dú)一無二的，因此避免了重放攻擊。然而，這種攻擊的一個(gè)概念證明（PoC）阻止了信號(hào)發(fā)送到汽車并將其存儲(chǔ)起來。司機(jī)首次按下鑰匙按鍵不起作用，但信號(hào)會(huì)被攻擊者記錄下來。駕駛員第二次按下鑰匙，攻擊者也記錄了該信號(hào)。第一個(gè)攔截的信號(hào)是用來解鎖車門的，第二個(gè)是用于之后攻擊者使用。

由（CAN）后門進(jìn)入

汽車使用的很多組件與其部分進(jìn)行交互。自20世紀(jì)末以來，汽車已經(jīng)使用了專用控制器局域網(wǎng)（CAN）標(biāo)準(zhǔn)，以允許微控制器和設(shè)備相互通信。CAN總線與車輛的電子控制單元（ECU）通信，該控制單元操作許多子系統(tǒng)，例如防抱死制動(dòng)系統(tǒng)，安全氣囊，變速箱，音響系統(tǒng)，車門以及許多其他部件，包括發(fā)動(dòng)機(jī)。現(xiàn)代汽車還有一個(gè)車載診斷版本2（OBD-II）端口。機(jī)械師使用此端口來診斷問題。CAN流量可以從OBD端口進(jìn)行攔截。

車載診斷端口。

外部OBD設(shè)備可以插入汽車作為執(zhí)行外部命令及控制諸如Wi-Fi連接、進(jìn)行性能統(tǒng)計(jì)和開門等控制服務(wù)的后門。如果安全性無法得到保證，OBD端口則為惡意活動(dòng)提供了一種途徑。

垃圾郵件和廣告

為聯(lián)網(wǎng)汽車增加更多的服務(wù)也會(huì)增加更多的安全風(fēng)險(xiǎn)。隨著Teslas等可以通過瀏覽器訪問互聯(lián)網(wǎng)的全程聯(lián)網(wǎng)的汽車的問世，根據(jù)行程和地理位置進(jìn)行投遞的新型垃圾郵件將會(huì)變得可行。想象一下，當(dāng)你走近一家快餐店時(shí)，會(huì)彈出折扣信息。這種行為不僅是不必要的，還會(huì)讓司機(jī)分心。我們已經(jīng)知道垃圾郵件和廣告是惡意軟件的感染媒介。

惡意軟件和漏洞利用

汽車中的所有ECU都含有可被黑客入侵的固件。汽車采用車載信息娛樂（IVI）系統(tǒng)來控制音頻或視頻以及其他功能。這些系統(tǒng)的復(fù)雜性正在增加。

一個(gè)車載信息娛樂系統(tǒng)。

改善駕駛體驗(yàn)的技術(shù)還包括 MirrorLink，藍(lán)牙和內(nèi)部Wi-Fi等。通過將智能手機(jī)連接到汽車，我們添加了諸如電話，短信，音樂和有聲讀物等功能。

惡意軟件可以定位這些設(shè)備。嵌入在我們汽車中的電話，瀏覽器或電信網(wǎng)絡(luò)是可能是惡意軟件的感染媒介。2016年，McAfee 的安全研究人員展示了勒索軟件的poc，除非支付贖金負(fù)責(zé)汽車無法使用。

對(duì)IVI勒索軟件攻擊車輛的概念驗(yàn)證。

勒索軟件是通過無線系統(tǒng)安裝的，可以連接外部設(shè)備。

第三方應(yīng)用程序

許多現(xiàn)代汽車允許第三方創(chuàng)建應(yīng)用程序來進(jìn)一步連接服務(wù)。例如，可以使用智能手機(jī)上的應(yīng)用程序解鎖或鎖定你的家門。雖然這些應(yīng)用程序可以非常方便，但它們也同時(shí)為每一個(gè)可能會(huì)利用此方便進(jìn)行攻擊的黑客提供了服務(wù)。破解智能手機(jī)應(yīng)用程序比汽車的ECU更容易，因?yàn)榍罢唛_銷更小，并有更多的資源可以利用。汽車應(yīng)用有時(shí)也很脆弱，因?yàn)橐恍┑谌讲捎玫陌踩胧┍容^薄弱，比如一些認(rèn)證有時(shí)以明文形式存儲(chǔ)。這些應(yīng)用程序還可能存儲(chǔ)個(gè)人信息，如GPS數(shù)據(jù)、汽車模型和其他信息。OnStar應(yīng)用程序已經(jīng)證明了這種情況下，黑客甚至可以遠(yuǎn)程打開汽車。

車對(duì)車通信

車輛對(duì)車輛（V2V）技術(shù)允許使用無線網(wǎng)絡(luò)在道路上的車輛之間進(jìn)行通信。例如，當(dāng)另一輛車靠得太近時(shí)，該技術(shù)可以通過降低汽車的速度保障道路安全。它還可以與道路標(biāo)志設(shè)備（針對(duì)車輛的基礎(chǔ)設(shè)施）進(jìn)行通信。傳輸?shù)男畔⒏纳屏笋{駛體驗(yàn)，提高了安全性。現(xiàn)在，假設(shè)這個(gè)系統(tǒng)被破壞性惡意軟件侵入，如果V2V系統(tǒng)成為媒介，那么惡意軟件可能會(huì)感染許多與媒介車可以通信的汽車。這聽起來像是一個(gè)科幻場(chǎng)景，對(duì)吧？然而事實(shí)就是這樣，如果我們將這種可能性與WannaCry或NotPetya等最近的針對(duì)被具有破壞性惡意軟件感染的計(jì)算機(jī)進(jìn)行比較， 那么這樣的場(chǎng)景并非科幻，反而非常可能發(fā)生。

結(jié)論

智能網(wǎng)聯(lián)汽車會(huì)改變我們的生活，作為汽車業(yè)和其他技術(shù)產(chǎn)業(yè)的結(jié)合，智能網(wǎng)聯(lián)汽車會(huì)給我們帶來一些新的服務(wù)。通過提升客戶體驗(yàn)，汽車和科技行業(yè)將提供令人興奮的新服務(wù)。盡管如此，我們需要考慮潛在的風(fēng)險(xiǎn)，而且盡早采取安全措施。這篇文章中的一些場(chǎng)景在現(xiàn)實(shí)生活已經(jīng)發(fā)生了，其他目前未知的惡意攻擊也許也會(huì)令我們始料未及。

參考

https://securingtomorrow.mcafee.com/mcafee-labs/defcon-connected-car-security/

https://www.wired.com/2015/08/hackers-tiny-device-unlocks-cars-opens-garages/

http://www.journalauto.com/lja/article.view/28181/securite-des-voitures-connectees-un-nouveau-defi-pour-le-secteur-automobile-en-2018/15/connectivite

https://www.pwc.fr/fr/espace-presse/communiques-de-presse/2016/septembre/vehicules-connectes-un-marche-estime-a-156-milliards.html

https://www.sans.org/reading-room/whitepapers/threats/hacking-bus-basic-manipulation-modern-automobile-through-bus-reverse-engineering-37825

本文翻譯自 securingtomorrow.mcafee.com， 原文鏈接 。