威胁行为者开始公布他们如何利用无钥匙进入漏洞——这是保险公司非常头疼的问题。

联网汽车是黑客有利可图的目标。这类汽车拥有大量的互联网连接、Wi-Fi和蓝牙接口,并且配备了传感器和摄像头,使汽车能够提供越来越高的自主性,从自动停车到车道修正,再到自动驾驶功能。根据Statista的研究截至2021年底,共售出2.37亿辆联网汽车并投入运营。

黑客可以使用这些接口中的每一个渗入车辆并进行恶意活动,从打开和关闭车灯到远程打开发动机,甚至完全停止车辆。更糟糕的是,由于这些车型使用相同的硬件架构和软件版本,当黑客发现一个漏洞使他们能够攻击一辆车时,他们可以通过重复相同的攻击来利用同一车型的所有车辆。

例如,当一辆吉普切诺基在2015年7月被黑客入侵时,克莱斯勒被要求召回使用被黑客入侵的相同信息娱乐的140000辆汽车。

电动汽车增加了汽车黑客攻击的可能性。电动汽车提供了一种现代用户体验,这是基于更丰富的软件(即,更多的代码行,意味着更多的漏洞)和动态更新软件的方式。

无线更新代表进入车辆中心的后门,即网关和高级驾驶员辅助系统(ADAS)。这两种设备都可以访问车辆的安全系统,并提供一条在驾驶时远程停车的直接路径。

多年前,汽车黑客是由资金雄厚的团队完成的。上面提到的吉普切诺基黑客是由美国国家安全局资助的一辆熟练的电车执行的。2017年和2018年,腾讯旗下名为Keen Labs的黑客展示了他们如何远程拦截特斯拉汽车。

随着电动汽车的普及,我们看到汽车黑客越来越普遍。利用无钥匙进入漏洞盗窃汽车正成为保险公司头疼的问题。但更重要的是,小型团队和个人正在公布他们如何成功地对电动汽车和联网汽车进行黑客攻击。

单击以查看全尺寸图像

电动汽车攻击面(来源:Karamba Security)

2021 4月,一个小型德国团队的成员展示了他们如何使用汽车的Wi-Fi渗透汽车。今年1月,一名19岁的青少年分享了他如何远程入侵15个国家的21辆特斯拉汽车,打开和关闭车灯,打开发动机。5月,一位美国黑客在博客中描述了他如何入侵他的现代IONIQ汽车。

风险越来越大。监管机构发布了严格的规定,要求车辆原始设备制造商(OEM)在整个车辆生命周期内采用严格的网络安全标准,并将此类标准强加给其供应商。

原始设备制造商和供应商必须证明威胁分析在产品设计阶段进行风险评估,在发布前对产品进行渗透测试,并监控生产中的汽车以检测攻击。

尽管这些活动减少了攻击面,但汽车仍然容易受到广泛攻击。

幸运的是,汽车更多物联网设备而不是手机。终端用户可以动态更改手机内的软件和应用程序。但汽车是按照制造商定义运行的封闭系统。

因此,车辆的关键系统(即可能受到攻击的系统)可以被加固并锁定,以防OEM无法交付的更改。

这种方法使消费者有权获得更高级别的黑客保护。攻击者试图操纵被黑客入侵的设备以远程控制它。锁定设备或提供设备未经授权更改的警报(如安装外国代码,即恶意软件)已被证明是保护物联网设备和车辆系统的有效方法。

例如,惠普在7月宣布,它通过提供锁定机制的软件保护其商业打印机免受网络攻击。

在此之前,Alpine(一家高端汽车信息娱乐供应商)宣布了一个类似的机制来保护其最终客户。添加这样的锁定软件使电动汽车原始设备制造商和供应商能够以有效的方式阻止黑客的渗透,并且对最终用户来说是完全无缝的。

消费者几乎无法阻止他们的汽车遭到网络黑客攻击。因此,汽车原始设备制造商和供应商必须遵守网络安全法规,并采用最先进的软件锁定机制来加固车辆的攻击表面。

>>这篇文章最初发表在我们的姐妹网站上,EE时间.

大卫·巴兹莱Karamba Security联合创始人兼董事长。