您好,欢迎访问尊龙凯时·(中国)人生就是搏!

【汽车信息安全】(二)攻击车载软件的案例接连不断

发布日期:2024-08-30 07:00浏览次数:

  在上篇文章中,笔者为大家介绍了车载软件逐渐成为恶意攻击目标的情况。现在,信息安全研究人员已经开始探讨“汽车黑客”可能的攻击手法。在信息安全的世界里,在思考如何防御的同时,研究可能遭遇怎样的攻击也非常重要。下面,笔者将在已经公开的研究中,挑选4个具有代表性的事例加以介绍。

  2010年,一篇基于实证试验的论文“Experimental Security Analysis of a Modern Automobile”发表(图1)。该论文指出,通过在汽车的维护用端口设置特殊仪器,从并排行驶的车辆攻击车载系统的漏洞,能够对刹车、雨刷的控制造成影响。

  这篇论文中提到,在窃听对象车辆的通信并解析时,由于没有认证以及发信者地址,很容易伪装。而且,原本必须在行驶中忽略的命令也有可能在行驶中执行。

  图1:解析ECU单体(左),在静止的底盘上进行ECU之间的解析和试验(中),行驶中的运行测试(右)。

  目前,恶意利用这些漏洞成功实施攻击的难度很大。攻击者需要具备信息安全的专业知识、开发攻击软件的能力以及搭建用来连接车载网络、载入任意控制命令的电子平台的能力。而且,攻击需要的器材和软件的功能单靠市面上的产品无法实现,需要重新开发。

  但是,随着时间的推移,今后,当汽车拥有的信息资产价值提升,成为恶意攻击者的攻击对象之后,就像现在消费类产品信息安全的情况一样,网络上到处都有使攻击变得简单的工具。到那时,攻击的难度将直线】攻击轮胎压力监测系统

  轮胎压力监测系统(TPMS)是利用无线通信不间断地监测轮胎压力的系统(图2)。美国要求汽车必须配备该系统,目的是防止低压轮胎高速行驶导致轮胎破裂的事故发生。为实现该系统,需要通过无线通信把轮胎压力信息收集到车辆中。

  论文探讨了攻击的多种影响,其中,有可能造成重大危害的,是远程打开门锁、恶意攻击者监视汽车等(图3)。这一研究揭示了无论身处何方都能攻击汽车的可能性,因此可以说其意义非常深刻。

  论文列举出的防范对策包括“切断不必要的外部通信”、“取消多余的通信服务”、“监测通信状况”、“从车载系统的开发阶段编程时就要有安全意识”、“安装软件升级功能”以及“考虑多种功能联动时的安全”。

  HITAG2是1990年代开发的防盗方案,其原理是使用RFID标签控制发动机的起动。采用专用加密方式,认证和加密均使用48位密钥。在这篇论文中,研究人员把目光放在了HITAG2的漏洞上,表示只需利用1分钟的时间收集认证步骤的数据,然后经过5分钟的测试,便可破解密钥,并且在尊龙凯时公司官网现场进行了演示。

  在验证漏洞时,测试RFID系统使用的是“Proxmark III”板卡。通过窃听智能钥匙与车载防盗器之间的电波并解析,伪造出了正确的密钥。Proxmark III配备了处理HF/LF频带电波编解码的FPGA(现场可编程门阵列)、实施帧处理的MCU等,破解条件完备。但从一般用户的角度来看,攻击难度可以说略高。

  如上所述,汽车信息安全领域的研究人员正在逐渐增加。今后估计还会发现其他各式各样的威胁。汽车相关企业应当集全行业之力,全面梳理各类威胁,而不是单独采取对策。日本信息处理推进机构(IPA)也在全力研究汽车信息安全,请大家积极灵活地加以利用。下一篇中,笔者将结合各种研究事例,对威胁的形式进行归纳整理。(日经技术在线! 供稿)

产品推荐

Copyright © 2002-2024 尊龙凯时·(中国)人生就是搏! 版权所有 备案号:

020-88888888