安全漏洞和攻击使汽车及其车主处于危险之中
当我们将汽车称为大型脂肪数据生成计算机中心时,我们并不是在开玩笑。
如果你继续去特斯拉面试,甚至还有一个面试问题,“特斯拉有多少行代码?”
我不完全确定,但即使在十年前,高档汽车也包含 100 个基于微处理器的电子控制单元 (ECU),它们共同执行超过 1 亿行代码。然后是远程信息处理、驾驶员辅助软件和信息娱乐系统,仅举几例需要代码的其他组件。
比亚迪汉
随着汽车的数字化和自动驾驶能力的提高,代码的完整性将变得更加重要——尤其是它的安全性。
每辆车都有许多组件,每个组件都可能有不同的代码库,如果测试或保护不当,很容易受到错误、错误或恶意代码的攻击。所以必须能够在汽车离开工厂车间之前保护好它们。
国外友人最近与Finite State的创始人兼首席执行官 Matt Wyckhouse 进行了交谈,以了解这些汽车制造商如何保护所有这些代码。他还拥有一辆特斯拉,因此他想亲自投资了汽车安全,觉得这是个大商机。
有限状态将安全“尽可能向右推”,这确保了最终构建的代码是安全的,以确保在测试和汽车交付客户之间没有任何变化,在整个开发生命周期中构建安全性是很常见的。
最常见的安全漏洞有哪些?
编写不佳的代码容易受到安全风险或恶意活动的影响。汽车微处理器中的那几百万行代码都有自己的起源。例如,嵌入式系统固件,包括用于联网车辆的固件,由 80-95% 的第三方和开源组件组成。
而且,一旦您开始使用可能无法分享您的安全警惕性的其他方的软件,风险就会增加。一些常见的例子:
Log4J 漏洞
最近出现的Log4j 漏洞示例— Apache Log4j 基于 Java 的日志库中的零日漏洞。
主要开发人员可能已将 Log4j 软件作为其开发实践的一部分。或者,它可能被封装在以 Java 构建的第三方、第四方或第五方组件中,这些组件最终会出现在最终软件中。
这会危及使用该库的任何自动服务器的安全性。随着时间的推移,这些数据被收集并存储在不同的地方。这增加了影响车辆软件的风险。
当你可以破解 25 辆特斯拉时,为什么还要破解一辆特斯拉?图片:特斯拉
1 月,由于特斯拉司机使用的第三方软件中发现了一个安全漏洞,网络安全研究员 David Columbo远程访问了超过 25 辆特斯拉。
这并没有使他能够“驾驶”汽车。但他可以锁定和解锁门窗,禁用汽车的安全系统,按喇叭,打开和关闭汽车的收音机。
所以,我现在可以完全远程控制 10 个国家的 20 多辆特斯拉,而且似乎没有办法找到车主并向他们报告……
——大卫科伦坡 (@david_colombo_) 2022 年 1 月 10 日
硬编码凭证的安全问题
另一个例子是硬编码凭证,这是在源代码中放置纯文本密码和秘密数据的地方,它为产品测试和调试提供了后门。
在最终代码中,攻击者可以读取和修改配置文件并更改用户访问权限,如果在多个设备上使用相同的密码作为默认密码,那么您将遇到更大的问题。
2019 年,MyCar 移动应用程序中留下的硬编码凭证使攻击者有可能访问消费者数据并获得对目标车辆的未经授权的物理访问。
那么,该如何保护软件免受漏洞和攻击?
Finite State 与客户的安全团队分享了一些信息,工作从测试阶段开始,专注于最终的二进制副本和构建,他们逆向工作,自动执行代码逆向工程、反汇编、反编译和测试弱点和漏洞。
Wyckhouse 解释说,最终测试使他们能够看到软件工件随着时间的推移是如何变化的:
如果有一个无法追溯到开发团队的行动的意外更改,那就是进一步调查的理由。
当我们真正想到网络安全和移动性时,我们才刚刚开始。
但根据 Wyckhouse 的说法,汽车制造商不断投资于安全性,不仅是为了遵守行业标准 ,而且是为了获得声誉和竞争优势,以战胜屡次遭受安全漏洞之苦的竞争对手。
尽管如此,一周内都没有一个白帽研究人员发现攻击或漏洞的一份报告。
随着汽车自动化程度的提高,风险只会越来越大。
5G时代,机遇越来越多,风险也随着绊来,希望新能源汽车行业及AI人工智能的安全能越做越好;