数据资源中心发布首个汽车行业信息安全风险TOP10
中国汽车技术研究中心有限公司(简称:中汽中心)数据资源中心长期从事汽车信息安全攻防技术研究与标准政策研究工作,通过自主测试、众筹测试等多种方式收集汽车行业漏洞数据,同时参照CVE(美国通用漏洞与披露平台)、CNVD(国家信息安全漏洞共享平台)运行模式,构建汽车行业首个汽车信息安全漏洞数据库(CAVD),目前共收集漏洞数据2000余条。依据CAVD漏洞等级评定体系,结合团队成员的实践经验,梳理总结得出汽车信息安全领域关注度较高的前十大安全风险,即汽车安全风险TOP10。
风险影响
1.不安全的云端接口
使服务器受到攻击,造成数据库存放的隐私信息泄露、数据表被篡改;造成硬盘数据破坏,导致服务器崩溃宕机。
2.未经授权的访问
造成服务器被黑客植入挖矿病毒或木马程序;造成攻击者可提升为最高权限;造成汽车在未经授权的情况下,控制车门开启、上下电、点火等操作。
3.系统存在的后门
造成车载娱乐系统、T-Box容易被攻击提权;绕过车载系统已有的安全设置,泄漏敏感信息和系统程序;导致服务器被远程控制,作为攻击其他主机的跳板。
4.不安全的车载通讯
造成车辆OTA升级被中间人拦截嗅探升级包,导致升级异常;车辆位置被篡改,干扰驾驶安全;钥匙信号被中继攻击,风险车主财产安全。
5.车载网络未做安全隔离
造成应用报文被篡改,可控制车辆行为;CAN总线负载率高,造成车辆拒绝服务。
6.系统固件可被提取及逆向
造成文件系统和敏感配置信息泄漏;造成固件被逆向分析,挖掘出的漏洞危害同款车型安全;造成固件被篡改,危害汽车行驶安全。
7.不安全的第三方组件
第三方组件的漏洞造成程序可被利用提权,危害系统安全;第三方组件潜在的后门,使应用程序被远程控制。
8.敏感信息泄露
无线密码泄露,攻击者可连接汽车无线,对车载流量进行劫持、中间人攻击或植入木马;调试口暴露,导致硬件内存被提取,攻击者可逆向分析后进一步扩大攻击;车主敏感信息泄露,影响用户日常生活,严重可造成经济损失
9.不安全的加密
造成通信过程中敏感信息被第三方窃取;Web应用程序没有对敏感资料加密或使用弱加密算法,使得机密资料容易被攻击者破解,造成资料外泄;APP加密私钥泄漏,造成用户密码被暴力破解危害。
10.不安全的配置
造成服务器配置被恶意篡改,企业敏感信息泄露;不当的配置使服务器容易被攻击提权,被远程控制;使服务器挂木马或成为傀儡主机,传播恶意软件,危害更多用户。
安全风险数据统计
依据CAVD漏洞数据统计,TOP10中各风险对应的漏洞发生概率统计如下,车载网络未做安全隔离占比28.90%位居首位;紧跟其后的是不安全的云端接口占比21.38%位居第二;第三是不安全的配置占比12.71%;不安全的加密占比6.93%、敏感信息泄露占比6.93%、未经授权的访问占比4.62%、系统固件可被提取和逆向占比3.46%、不安全的第三方组件占比2.31%、系统存在的后门占比2.31%、不安全的车载通讯占比2.31%、其他漏洞占比8.09%(如图1)。
汽车安全风险TOP10的排名受风险发生概率、利用难度以及危害程度等多因素决定,其中占比最大的是车载网络未做安全隔离,此攻击为本地攻击,其利用难度相对较大。
-
汽车测试网V课堂
-
微信公众号
-
汽车测试网手机站
编辑推荐
最新资讯
-
厂商要多努力,才能让用户听起来毫不费力?
2024-11-22 17:10
-
TOP30!海克斯康入选2024福布斯中国数字科
2024-11-22 15:25
-
揭秘国产装备制造厂商的成功秘籍:好耐电子
2024-11-22 15:24
-
一文详解安全分析方法STPA:以自动紧急制动
2024-11-22 15:20
-
选对涉氢压力表:守护涉氢场所安全的关键一
2024-11-22 15:19