LK分享智能网联汽车行业信息安全现状与威胁

　　随着汽车迈向智能化、网联化、电动化和服务化之后，尤其是众多的网联接口，给智能网联汽车带来的巨大的安全挑战。虽然汽车行业的安全研究已经开展了很多年，但从整个行业来看，最佳实践的缺失，安全标准的缺失，以及安全技术、方法论及其配套工具链等都未完全跟进，导致整个行业的安全现状并没有得到显著的改变，尤其是OEM的变革相对滞后。   1. 智能网联汽车行业安全挑战
　　车联网生态系统是车内网、车际网和车载移动互联网三大部分组成，只有全面理解智能网联汽车的生态系统，才能真正理解汽车行业面临的安全挑战和风险。见图1.
　　图1 车联网示意图
　　到 2025 年，联网汽车将占全球汽车市场的近 86%，从而为黑客带来许多易受攻击的威胁点。网络攻击和数据泄露事件将对汽车行业构成严重风险，因为它们直接影响驾驶员安全、数据隐私和服务连续性。
　　1.1 安全现状1-庞大的产业链带来的巨大安全隐患
　　车联网产业链条长，跨越了汽车、电子、通信、交通、车辆管理等多个行业和领域，在 Synopsys 和 SAE International 的一项新研究中，73% 的受访者对第三方供应商的网络安全表示担忧，但只有 44% 的受访者表示他们的组织对上游供应商的产品提出了网络安全要求。
　　在整个供应链体系任何一个环节被植入后门，都可能影响到整车的安全，而且极难排查。见图2. 在 Synopsys 和 SAE International 的一项新研究中，73% 的受访者对第三方供应商的网络安全表示担忧，但只有 44% 的受访者表示他们的组织对上游供应商的产品提出了网络安全要求。
　　图2 ：车联网供应链示意图
　　【什么是供应链攻击？ 软件供应链攻击是一种面向软件开发人员和供应商的新兴威胁。目标是通过感染合法应用分发  恶意软件 来访问  源代码 、构建过程或更新机制】
　　一个供应链攻击的案例：
　　2020年12月13日，FireEye发布了关于SolarWinds供应链攻击的通告，基础网络管理软件供应商SolarWinds Orion 软件更新包中被黑客植入后门，并将其命名为SUNBURST，与其相关的攻击事件被称为 UNC2452。
　　【1】SolarWinds的客户主要分布在美国本土，不乏世界500强企业。本次供应链攻击事件，波及范围极大，包括政府部门，关键基础设施以及多家全球500强企业，造成的影响目前无法估计。当地时间12月13日，FireEye发布安全通告称其在跟踪一起被命名为UNC2452的攻击活动中，发现了SolarWinds Orion软件在2020年3-6月期间发布的版本均受到供应链攻击的影响。攻击者在这段期间发布的2019.4-2020.2.1版本中植入了恶意的后门应用程序。这些程序利用SolarWinds的数字证书绕过验证，与攻击者的通信会伪装成Orion Improvement Program（OIP）协议并将结果隐藏在众多合法的插件配置文件中，从而达成隐藏自身的目的。与此同时，SolarWinds官方也发布通告，承认其Orion平台部分软件更新中被黑客植入恶意软件，提醒用户尽快更新到不受影响的版本。
　　12月14日，SolarWinds在提交给美国证券交易委员会（SEC）的文件中表示，在其30w+客户中，大约有33,000名是Orion客户，这其中大约又有18,000名客户安装了带有后门的 Orion 软件。同时SolarWinds称入侵也损害了其Microsoft Office 365帐户。
　　Google近日推出了一个软件供应链安全框架：SLSA，目标是改善软件行业安全状况，尤其是开源软件，以抵御最紧迫的完整性威胁。
　　1.2 安全现状2-智能车攻击面广，远程操控成为可能
　　移动互联网上恶意应用程序数量1300万，并以年复合增长率60%的速度增加。Android移动终端上，月均80~90万用户受到攻击，如果这一数字放到智能汽车上，那就产生灾难性的影响，过去5年时间里，汽车被攻击的次数增长了20倍。
　　图3：智能车攻击面示意图
　　攻击向量是黑客获得访问权限的手段。单个事件可以包括多个攻击向量。通过分析自2010年以来发生的事件，Upstream发现三种最常见的攻击向量，分别是服务器（Servers）、无钥匙进入系统（Keyless entry systems）和移动应用程序（mobile apps）。下面的图4数字表示使用每种攻击向量事件的百分比.
　　图4 最常见的攻击面（来源：青骥编译 l Upstream security全球汽车信息安全报告2021）
　　1.3 安全现状3-上亿代码带来的复杂性,被利用的漏洞数也会增加
　　现在车辆的使用寿命>15年，根据漏洞发现规律，随着时间的推移，黑客对智能车系统的理解的深入，发现漏洞的概率和数量就会增加，智能车需要保证在整个使用生命周期的安全性，挑战也很大。
　　当前高级的智能车代码量已上亿行，随着软件定义汽车的趋势的加剧，车载软件比重快速上升，导致可被黑客利用的漏洞也会上升。
　　1.4 安全现状4-汽车工业与传统ICT行业的理念差异
　　1.5 安全现状5-整个行业的安全仍然缺乏成熟的实践
　　1.6 安全现状6-Safety与Security的设计挑战
　　1.7 安全现状7-海量数据上云带来的隐私保护挑战
　　2. 智能网联汽车面临的安全威胁
　　2.1 支撑车关键资产
　　下图给出了车辆上最重要的软硬件资产信息。
　　2.2 智能车ToP攻击场景
　　2.3 智能车攻击案例介绍
　　n 案例1：入侵 OEM 后端服务器后大规模部署流氓固件
　　n 案例2：黑客/更改允许访问汽车的 V2X 移动应用程序
　　n 通过对抗性扰动欺骗传感器
　　3. 总结
　　转载自网络，文中观点仅供分享交流，不代表本号立场，如涉及版权等问题，请您告知，我们将及时处理。