2021年全球汽車網絡安全報告：網絡攻擊新目標車聯網基礎設施 - 網安

汽車網絡安全專家近期在采訪中表示，隨著汽車聯網程度越來越高，各式各樣的網絡攻擊也逐漸興起：偷車賊濫用無鑰匙進入系統、黑客挖掘新的汽車部件漏洞利用方式、詐騙團伙盯上汽車金融服務等等。

比如說，今年9月，紐約市警察局端掉了一個汽車盜竊團伙，稱該團伙從網上購得安全密碼后通過當地鎖匠將密碼編碼進電子車鑰匙中，用這種克隆的電子車鑰匙盜取汽車。盜車賊們還使用了機械師常用的一種售后掃描工具重新編程目標汽車的啟動系統，讓系統以為所有車鑰匙都遺失了。

汽車行業網絡安全服務提供商Upstream產品副總裁Guy Molho表示，電子盜竊的增加只是汽車領域快速采用聯網軟件的意外后果之一。、

“汽車原始設備制造商（OEM）正爭先恐后地為其客戶提供諸多新功能，而這些新功能正是可為黑客所用的全新攻擊面和攻擊途徑。這個攻擊面只會越來越大，因為汽車不再僅僅是一輛車，而是安裝在輪子上的軟件平臺。”

歡迎進入聯網汽車新世界！潛在的危險不單單是傳聞中的紐約數字盜車賊。另一報道中，英國的另一伙黑客利用類似掌上游戲機的設備欺騙無鑰匙進入系統，在不到三個月的時間里盜取了三十多輛三菱歐藍德汽車。

從勒索軟件導致汽車制造商生產業務中斷（如雷諾和本田公司所遭遇的），到白帽子網絡安全研究員成功獲取特斯拉有限遠程控制權，一系列各式各樣的攻擊無不表明：聯網可為高科技車輛不斷增添各種新功能，但同時也大幅增加了汽車承受的攻擊面。根據Upstream的調查數據，2020年里，54.6%的此類事件涉及黑帽子黑客，而白帽子研究人員則參與了剩下的其中大多數事件。研究自家汽車的車主雖然占比很小，這一比例卻在不斷擴大。

而且，聯網車輛的數量持續增長。目前約有四分之一的車輛都以某種方式接入網絡。據估計，到2025年，每八輛汽車中就有七輛是聯網汽車。

Upstream《2021年全球汽車網絡安全報告》

Upstream在其年度《全球汽車網絡安全報告》中指出：“汽車生態中的網絡威脅尤為令人擔憂，因為此類威脅可能直接影響道路使用者的安全。車輛本身就很危險；再加上聯網，現代汽車就尤其危險了。”

涉車安全事件中最著名的無疑是2015年的吉普切諾基黑客攻擊演示，在演示中Charlie Miller和Chris Valasek成功奪取了汽車控制權；但最常見的汽車攻擊方式是破壞托管汽車服務的服務器（40%），利用電子車鑰匙或無鑰匙進入系統（25%），以及入侵移動設備汽車應用（9%）。針對信息娛樂系統、利用車載診斷（OBD）端口和針對制造商IT網絡的攻擊各占案例總數的6%。

Upstream首席分析師Tomer Porat表示，未來大規模入侵嘗試將變得更加普遍，因而聯網基礎設施的組件將成為攻擊目標。

他認為：“攻擊渠道將延伸到服務器，以及通過OEM的IT基礎設施利用漏洞。Porat表示，盡管其中一些問題出自設計缺陷，另一些卻是由人為失誤引起的。開發人員經常犯錯，他們會將敏感信息發布到GitHub和其他公開的地方，暴露出基礎設施。

Point Predictive公司提供打擊金融欺詐的工具，其首席欺詐策略師兼聯合創始人Frank McKenna指出，汽車生態中也充斥著金融欺詐。詐騙犯、購車人，甚至經銷商經常在申請汽車貸款時耍花招，確保能夠完成汽車銷售交易。McKenna稱，大約80%的貸款欺詐是為了讓購車人有資格獲得汽車貸款；大約20%涉及罪犯試圖獲利。

McKenna表示：“當購車人告訴你他們的收入是實際收入的兩倍時，當他們開始在重要事實上對你撒謊時，那就是欺詐。如果貸方沒有良好的控制措施，欺詐可能會給貸方造成50個基點到3%的損失。”、

最后，聯網汽車產生和消費的數據量均顯著增長。Upstream的Molho表示，現代聯網車輛每天產生GB級數據，這給安全控制造成了問題。

“汽車產生的數據如此之多，因而大多數聯網車輛都設置5G連接來支持如此龐大的數據量。通過無線更新，汽車可以隨時獲得新功能，于是數據不斷增長。”