2022智能汽车网络安全威胁报告

研究机构与组织4智能用车场景威胁2022智2022智能汽车网络安全威胁报告科技引言2全球汽车安全研究机构与组织4关键零部件的威胁5CaseStudy–TBOX威胁6日益增长的智能化服务威胁8CaseStudy–数字钥匙威胁9总结10趋势与挑战11关于我们12参考引用2022智2022智能汽车网络安全威胁报告行保驾护航1+事件49%事件280+车漏洞着汽车“电动化、智能化、网联化”的发展，汽车已然变成能力，同时也给车辆带来了更多的安全威胁。自2010年以来公开报发生在2020年[1]。相较之下，2022年发生的事件有近300起，数量增加了49%。2020年全年有30个与汽车直接相关的CVE(Commonvulnerability&Exposures，公共漏洞和暴露)公2022年初至今，木卫四汽车威胁情报中心分析了来自媒体、学术研究机构、攻防比赛、社交网络、深网和暗网等多方信息源，研究了E示智能汽车目前主要面临三方面的风险：漏洞技术上以中继攻击、重放攻击和仿冒身份攻击等为主；，技术上以身术上以研究关零部件的固件漏洞、系统漏洞和第三方组件等为主。2022智2022智能汽车网络安全威胁报告科技2全球汽车安全研究机构与组织四跟踪的机构与组织40%30%机构30%司2022年出现了众多智能汽车破解事件与严重漏洞，木卫四汽车威胁情报中心追踪研究这些破解事件和漏洞发现，随着汽车智能化功能的不断丰安全团队、学术机构、安全爱好者等转战汽车领域三方应用程序TeslaMate的一个API调用权限升级的漏洞(CVE-2022-些漏洞可实现对车辆的远程控制[2]。份在网上披露称本田和讴歌汽车的遥控钥匙存在“重放攻击”漏洞 E解锁、控制车窗、打开后备箱和启动目标车辆发动机的访问权限[3]。NCC披露了特斯拉Model3和ModelY车型无钥匙进入系统存在的漏锁和启动汽车[4]。dman件升级功能，升级过程中需要用到现代汽车公司用来管理软件的密钥。DanielFeldman通过谷歌搜索发现网上公开实例的AESkey即为现代汽BimmerTech是一家专业的汽车改装公司，也是一个专门破解汽车程序BMW出了针对车辆性能的订阅服务加一些新的功能，比如自动大灯、手机镜像、自适应巡航控制等，甚至还能帮助车主删除部分不想要的应用程序[6]。维修手册等[7]。2022智2022智能汽车网络安全威胁报告行保驾护航3汽车网络安全研究已经持续多年，每年都有新型攻击手段被公布，新的漏洞被挖掘。受专注于汽车网络安全越来越被重视，但同时不断发生的攻击事件也在提醒我们，汽机构种类机构名称hllerive司司司司机构司司司注：机构名称依据字母顺序排列，排名不分先后2022智2022智能汽车网络安全威胁报告科技4关键零部件的威胁木卫四汽车威胁情报中心对包括CVE、NVD、CNVD和CNNVD等漏洞库在内的70余万漏洞进行研究，并对与汽车相关的284个漏洞做了深入分析，发现这些漏洞主要与TBOX、IVI、CGW、ADAS、GPS、安全气囊、OBD、TSP服务器及充电桩设施等的组件及功能相关。其中与车联网云服务相关的漏I洞可完成对大量汽车的远程控制，甚至在个别情况下能够控制不同品牌的车辆终端。与车辆控制器相关的影响往往超过当事人的预估。2022智2022智能汽车网络安全威胁报告行保驾护航5CaseStudy–TBOX威胁IVITBOX、CGW、ADAS等关键零部件进行分析，发现了大ib出响应。2022智2022智能汽车网络安全威胁报告科技日益增长的智能化服务威胁TA。2022智2022智能汽车网络安全威胁报告行保驾护航7字钥匙威胁技车两匙用户终端发起请求、云端服务校验指令和车辆解析应答这三个主要环节者用实施非授权访问。威胁能网联汽车远程控车服务提供了一种便捷的方式来控制车辆，可实现远理和道路救援等多种操作。车主使用交互设备(例如手机)发送远程控制程启动和远程指令注入等)，这种攻击可能会导致汽车功能的破坏或操作汽车的信息(如位置、速度等)被未经授权的黑客获取，不法分子可能会汽车OTA威胁汽车OTA(Over-The-Air)服务指的是通过无线网络远程更新汽车软件，这种方式允许OEMs或经销商通过互联网将软件发送到汽车的车载终端 (TBOX)进行安装。汽车OTA存在以下三种威胁，一是升级包泄露，在OTATBOXTBOX级包做安全校验或者校验逻辑存在漏洞，黑客可能会篡改升级包并获取关安全。2022智2022智能汽车网络安全威胁报告科技8CaseStudy–数字钥匙威胁匙如何安全的分享给目标用户？数字钥匙的使用者如何鉴别身份并取得授权？汽车数字钥匙替代了传统的无钥匙进入和启动系统(PEPS)，不仅能够实现车门解闭锁和车辆启动等功。木卫四汽车威胁情报中心近期对新型的数字钥匙进行威胁分析与风险评估(TARA)，并对数字钥匙管理功能果表明这些功据嗅探析破解析破解洞利用开启车门。控车2022智2022智能汽车网络安全威胁报告行保驾护航9总结安全事件攻击门槛领域专家到技术人员新型攻击车载漏洞到智能化服务了投练车企应加大TSP平台的安全方求用户期望。2022智2022智能汽车网络安全威胁报告科技趋势与挑战风险往往会伴随攻击面的暴露和利益的驱动而来，在可预见的未来，并不——临前所未有的网络安全挑战除科幻电影以外，现实中较少看到针对车队的攻击，但因为攻击收益极大，未来这类攻击将会变得明显并有针对性，特别是大型车队已经在使用“数字化车队”技术来提升商业收入并降低成本。黑客可能会通过攻击需要承担越来越重要的安全角色供应商正在利用专有和开源技术联合为车企提供服务，功能越丰富，代码量越多，随之而来的风险也就越多，没有一个通用的方法可以保证车企免受供应链威胁，但供应链厂商的网络安全措施会大大减轻OEMs的网络安的广泛使用带来新的威胁解参考引用pstreamautoreport2.HowIgotaccessto25+Tesla’saroundtheworld.Byaccident.Andcuriosity.httpsmediumcomdavidcolombohowigotaccesstoteslasaroundthe-world-by-accidentandcuriositybefa28黑客可远程启动车辆psmfreebufcomnewshtmlTeslaBLEPhone-as-a-KeyPassiveEntryVulnerabletoRelayAttackshttpsresearchnccgroupcomtechnicaladvisory-tesla-ble-phone-as-a-key-ryvulnerabletorelayattacksyCarammingwithstylecompostshowihackedmycarHYPERLINK"/p/555