数据资源中心发布首个汽车行业信息安全风险TOP10

2019-05-24 23:39:34·  来源:中汽数据中心  
 
随着汽车电动化、智能化、网联化和共享化的发展,汽车信息安全问题日益凸显,汽车产业面临着严峻的安全挑战。汽车信息安全风险相比于传统安全风险危害更大,不仅
随着汽车电动化、智能化、网联化和共享化的发展,汽车信息安全问题日益凸显,汽车产业面临着严峻的安全挑战。汽车信息安全风险相比于传统安全风险危害更大,不仅影响到数据安全、财产安全,更会危及人身安全、社会安全、国家安全。明确汽车信息安全的关键风险,对于汽车企业提升安全能力具有重要指导意义。

中国汽车技术研究中心有限公司(简称:中汽中心)数据资源中心长期从事汽车信息安全攻防技术研究与标准政策研究工作,通过自主测试、众筹测试等多种方式收集汽车行业漏洞数据,同时参照CVE(美国通用漏洞与披露平台)、CNVD(国家信息安全漏洞共享平台)运行模式,构建汽车行业首个汽车信息安全漏洞数据库(CAVD),目前共收集漏洞数据2000余条。依据CAVD漏洞等级评定体系,结合团队成员的实践经验,梳理总结得出汽车信息安全领域关注度较高的前十大安全风险,即汽车安全风险TOP10。
 
汽车信息安全风险TOP10
 
微信图片_20190524233652

风险影响

1.不安全的云端接口

使服务器受到攻击,造成数据库存放的隐私信息泄露、数据表被篡改;造成硬盘数据破坏,导致服务器崩溃宕机。

2.未经授权的访问

造成服务器被黑客植入挖矿病毒或木马程序;造成攻击者可提升为最高权限;造成汽车在未经授权的情况下,控制车门开启、上下电、点火等操作。

3.系统存在的后门

造成车载娱乐系统、T-Box容易被攻击提权;绕过车载系统已有的安全设置,泄漏敏感信息和系统程序;导致服务器被远程控制,作为攻击其他主机的跳板。

4.不安全的车载通讯

造成车辆OTA升级被中间人拦截嗅探升级包,导致升级异常;车辆位置被篡改,干扰驾驶安全;钥匙信号被中继攻击,风险车主财产安全。

5.车载网络未做安全隔离

造成应用报文被篡改,可控制车辆行为;CAN总线负载率高,造成车辆拒绝服务。

6.系统固件可被提取及逆向

造成文件系统和敏感配置信息泄漏;造成固件被逆向分析,挖掘出的漏洞危害同款车型安全;造成固件被篡改,危害汽车行驶安全。

7.不安全的第三方组件

第三方组件的漏洞造成程序可被利用提权,危害系统安全;第三方组件潜在的后门,使应用程序被远程控制。

8.敏感信息泄露

无线密码泄露,攻击者可连接汽车无线,对车载流量进行劫持、中间人攻击或植入木马;调试口暴露,导致硬件内存被提取,攻击者可逆向分析后进一步扩大攻击;车主敏感信息泄露,影响用户日常生活,严重可造成经济损失

9.不安全的加密

造成通信过程中敏感信息被第三方窃取;Web应用程序没有对敏感资料加密或使用弱加密算法,使得机密资料容易被攻击者破解,造成资料外泄;APP加密私钥泄漏,造成用户密码被暴力破解危害。

10.不安全的配置

造成服务器配置被恶意篡改,企业敏感信息泄露;不当的配置使服务器容易被攻击提权,被远程控制;使服务器挂木马或成为傀儡主机,传播恶意软件,危害更多用户。

安全风险数据统计

依据CAVD漏洞数据统计,TOP10中各风险对应的漏洞发生概率统计如下,车载网络未做安全隔离占比28.90%位居首位;紧跟其后的是不安全的云端接口占比21.38%位居第二;第三是不安全的配置占比12.71%;不安全的加密占比6.93%、敏感信息泄露占比6.93%、未经授权的访问占比4.62%、系统固件可被提取和逆向占比3.46%、不安全的第三方组件占比2.31%、系统存在的后门占比2.31%、不安全的车载通讯占比2.31%、其他漏洞占比8.09%(如图1)。

汽车安全风险TOP10的排名受风险发生概率、利用难度以及危害程度等多因素决定,其中占比最大的是车载网络未做安全隔离,此攻击为本地攻击,其利用难度相对较大。

图1 TOP10 风险发生概率占比
 
未来,中汽中心数据资源中心将基于汽车信息安全实验数据及漏洞特点,以汽车信息安全漏洞数据库为依托,共同探讨汽车信息安全漏洞共享新机制,构建完善的汽车信息安全生态圈,持续加强汽车信息安全体系建设,推动我国智能网联汽车的健康可持续发展。
 
  声明:本平台只提供分享和交流不作商业用途,如侵权请及时联系我们删除!
分享到:
 
反对 0 举报 0 收藏 0 评论 0
沪ICP备11026917号-25