来自国外知名安全厂商迈克菲(McAfee)的高级威胁研究团队在上周五发表了一篇关于联网汽车安全威胁的分析文章,意图想要让全球汽车车主了解到自己在日常生活中使用的交通工具在哪些方面面临安全风险,CISSP培训以及想要让全球汽车制造商都能够了解到在汽车制造过程中与网络安全公司合作的必要性。
美国知名商业杂志《福布斯(Forbes)》曾在去年发文称,在2015年,联网汽车的全球销售量为700万辆,预计到2020年,这种汽车的总销量将增长到近6100万台,为汽车行业创造1410亿美元的收入,并会众多方面改变传统汽车车主的日常驾驶体验和驾驶方式。
依靠“联网汽车(connected-car)”技术,车辆不仅可以实现自动驾驶,CISSP培训还可向其他车辆发出警告、避免车祸的发生。
除此之外,联网汽车也能催生另一种以新的形态出现的媒体,如通过车载WIFI从互联网上直接获取音乐和视,以及汽车车主行驶过某个商店时,汽车会自动接收到来自商店的打折信息。
迈克菲表示,联网汽车与传统相比拥有更多的附加功能,它给车主带来了不一样的娱乐方式和驾驶体验。而这些功能的实现都离不开某些智能硬件和网络技术,当然最重要的还是离不开互联网。
与其他联网设备一样,联网的汽车同样也面临来自网络黑客的攻击以及其他一些因互联网带来的潜在威胁。因此,CISSP培训联网汽车相对与其他联网设备而言需要更加强大的安全功能,以避免任何可能危及到驾驶员和乘客的安全威胁。
迈克菲在文章中列出的安全威胁涉及多个方面,这包括:个人数据泄露、汽车盗窃和“钥匙扣”攻击、利用CAN总线作为攻击后门、垃圾邮件和恶意广告、恶意软件和漏洞、第三方应用程序风险以及车对车通讯(V2V)技术带来的威胁。
存在泄露风险的个人数据
联网汽车会记录了很多关于车主的个人信息,这些信息可能来自连接到汽车的外部设备,例如车主使用的手机。这些信息可能包括详细的联系方式、短信和通话记录,甚至音乐品味。
另外,汽车还可以记录车主的换挡操作以及其他驾驶习惯,用于创建分析车主驾驶能力的图片。这对于保险公司来说十分有用,因为这可以在他们提供保险时提供帮助。
随着个人数据被视为拥有超过黄金的价值,所有这些信息都会是网络犯罪分子以及公司和政府的有价值目标。
网络犯罪分子可以利用这些被窃取信息进行勒索或者身份盗用;
公司可以将此信息用于营销或保险合同;
政府可以利用这些信息来监视和追踪某些特定人员。
克隆“钥匙扣”以盗走汽车
“钥匙扣”攻击是一种黑客技术,允许网络犯罪分子通过劫持车主汽车钥匙扣发出的无线电信号来“克隆”钥匙扣,CISSP培训以便在车主离开时将汽车开走。
这种技术在去年已经被公开报道,尽管我们无法知道具体有多少数量或者型号的汽车会受到此类攻击的影响,但可以肯定的是,这种黑客技术对于偷盗汽车来说是真实可用的。
另根据报道我们知道,要发起这种攻击相对来说既简单而且廉价。购买用于发起攻击的装置可能仅需要几十美元,且并不需要攻击者掌握太高级的编码技术。
CAN总线可能会成为攻击后门
自20世纪末以来,汽车已经开始使用专用控制器局域网(CAN)标准,以允许微控制器和设备相互通话。CAN总线与车辆的电子控制单元(ECU)通信,该控制单元操作许多子系统,如防抱死制动系统、安全气囊、变速箱、音响系统、车门以及许多其他部件,包括发动机。
对于现代联网汽车而言,CAN总线在大多数情况下还存在一个OBD-II端口,CISSP培训维修人员可以通过这个端口来诊断故障。而迈克菲表示,对于攻击者而言,他们可以通过这个端口来拦截CAN流量。
外部OBD设备可以插入汽车作为外部命令的后门,控制诸如Wi-Fi连接、性能统计和解锁门等服务。这意味着如果OBD端口没有得到很好的保护,它将成为恶意活动的一个突破口。
警惕垃圾邮件和恶意广告
迈克菲表示,为联网汽车增加更多服务的同时,也必然会增加更多的安全风险。当你能够通过联网汽车来访问互联网时,意味着其他人也可以通过互联网来发现你的汽车。
正如文章开头提到的那样,当你驾车行驶经过某个商店时,你的汽车可能会收到来自商店发出的弹出式打折信息。老实说,对于在外旅行来说十分方便。
但想像一下,如果这个信息是由攻击者发出的,那么它便可能成为感染恶意软件的媒介。我们知道,由很多恶意软件都是垃圾邮件或者恶意广告进行传播的。
恶意软件和安全漏洞利用
迈克菲认为汽车中的所有电子控制单元(ECU)都含有可被黑客入侵的固件,如被用来控制音频或视频以及提供其他一些功能的车载信息娱乐(IVI)系统,并且这些系统的功能仍在不断增加。
再比如,MirrorLink(一种“车联网”标准)、蓝牙和Wi-Fi等技术已经被发广泛用于改善驾驶体验,CISSP培训允许我们将智能手机连接到我们的汽车,使得通话、短信、音乐和有声读物能够通过汽车进行播放。
迈克菲表示,这些都可以被用来作为传播恶意软件的媒介。在2016年,迈克菲的安全研究人员就已经发布了能够针对联网汽车发起勒索软件攻击的概念证明,而勒索软件完全可以通过连接的外部设备或者直接通过无线系统进行安装。
安全薄弱的第三方应用程序
许多现代联网汽车都允许车主通过第三方应用程序来管理自己的汽车,如利用安装在手机上的应用程序来锁定或者解锁车门。
迈克菲表示,破解智能手机应用程序远比破解汽车电子控制单元(ECU)要容易的多,这会使得第三方应用程序成为一种新的攻击媒介。
通常来讲,第三方应用程序往往都十分脆弱,当然这完全取决于开放商所采取的安全措施。不过,无论这些应用程序本身如何,但它们都会存储有关车主或车辆的重要信息,如GPS数据、汽车型号以及其他信息。
安全研究员Samy Kamkar就曾在2015年发布一段视频,用于展示他如何利用车载系统OnStar存在的一个漏洞实现了定位、解锁和远程启动汽车。
V2V和V2I技术带来的隐患
车对车通讯(V2V)技术允许车主之间通过无线网络分享彼此的行车速度、相对位置等数据信息。通过数据的分享和分析,可以帮助车主进行预先判断,以减少交通事故的发生。例如,当另一辆车靠得太近时,该技术可以通过降低汽车的速度来避免事故发生,以维持道路安全。
另外,运用车对基础设施(V2I)技术还可以允许车辆与道路标志设备进行通信,CISSP培训传输的信息用于改善驾驶体验以及安全性。
无论是V2V还是V2I,如果通讯信号遭到了恶意软件的连接及篡改,我们很难想像在这种情况下的交通会是怎样一个场面。另外,这种两种通信技术很可能成为传播恶意软件的媒介,恶意软件能够以此在车辆与车辆之间、车辆与交通基础设施之间进行传播感染。
总结
迈克菲的文章并不是向我们指出联网汽车或者正在兴起的无人驾驶汽车会成为人类的噩梦,他们只是将潜在的安全威胁逐一为我们展现了出来。尽管并非所有的担忧都会最终演变成现实,但的确已经有一些实际案例已经向我们证实迈克菲的观点并非危言耸听。
联网汽车或者无人驾驶汽车最终都将是交通行驶的未来,这种趋势正在越来越明显。迈克菲想要告诉我们,网络安全公司参与汽车制造同样会是一种趋势,而汽车制造商在努力改进汽车功能的同时,有必要在安全方面做出对等的重视。