近年来,随着汽车智能化、网联化程度的不断提高,信息安全事件频发,车辆在为生活带来更多便利的同时,也面临越来越多的信息安全威胁。梳理明确车联网常见信息安全风险,对整车生产企业、零部件制造商等汽车行业同仁具有重要的指导意义,有助于保障车辆网健康发展。
中汽数据有限公司(简称:中汽数据)长期从事汽车信息安全漏洞的研究工作,通过自主挖掘、合作采集、漏洞。经过近两年的研究与积累,于2019年发布了首个年度车联网信息安全十大风险,一经发布在行业内引起了强烈反响,整车生产企业车企、零部件制造商通过参考所发布的车联网信息安全十大风险,进行针对性的查漏补缺,以评估自身产品的信息安全水平,在一定程度上推动了汽车行业信息安全水平的提高。
随着车联网进程的不断推进,技术研究不断创新,汽车行业也发生了较大变化。中汽数据对车联网信息安全持续研究,在过去的一年里项目团队通过使用自主研发的汽车信息安全渗透工具及合规验证工具对漏洞进行重新检测,同时依托C-Auto-ISAC、CNNVD、CAVD面向社会收集建议,与安全公司合作收集漏洞等多种途径丰富汽车漏洞数据。经过近一年的研究与分析,梳理总结2020车联网信息安全十大风险(见表1)。
相较于2019车联网信息安全十大风险,其中,“不安全的生态接口”仍处于首位,占比约25%;“系统固件可被提取及逆向”由第六名,上升到第五名,占比约10%;“存在已知漏洞的组件”由第七名上升到第六名,占比约9%;“车载网络未做安全隔离”由第五名下降到第七名,占比约7%。
攻击者通过“不安全的生态接口”可以对后台数据库进行非法访问,对车辆信息(车辆行驶轨迹、车辆位置等)、车主信息(身份证号、姓名、手机号、登录密码等)等敏感数据进行窃取。进一步通过远程入侵服务器,登录到车联网服务云平台,实现对车辆的远程控制(例如攻击者在物理接触车辆的情况下,远程实现对车辆的动力、转向等核心功能的操控),严重影响驾驶员的行车安全,甚至生命财产安全。
未来,中汽数据将持续推进车联网信息安全研究,与国家政府机构、汽车行业同仁、权威安全公司加强合作,共同探讨汽车信息安全漏洞共享新机制,构建完善的汽车信息安全生态圈,持续加强汽车信息安全体系建设,推动我国智能网联汽车的健康可持续发展。
请输入验证码