8 月我們看到了網路上幾項測試不同電動汽車元件安全性的研究。 攻擊目標包含了幾項旨在保護車輛並提高使用者便利性的系統,像是遠端無鑰匙進入系統 (RKE)、遠端利用汽車應用程式,以及研究如何破解電動汽車使用的生物識別系統。
Rollback (回滾機制):對 RKE 的新攻擊
網路安全研究人員 Levente Csikor、Hoon Wei Lim、Jun Wen Wong、Soundarya Ramesh、Rohini Poolat Parameswarath 和 Chan Mun Choon 展示了汽車遠端無鑰匙進入系統如何容易受到另一種形式的重複攻擊,稱為RollBack。 與 RollJam 這種涉及干擾、擷取和重播信號的方法相比,RollBack不需要做到訊號干擾,只需要擷取一次信號;這意味著它可以隨時被潛在攻擊者隨心所欲的執行。
研究人員對汽車製造商、車型和 RKE 製造商(僅限於亞洲汽車製造商)的持續研究顯示,大約 70% 的系統容易受到 RollBack 的影響。由於他們研究的四家製造商的三款 RKE 收發器都容易受到攻擊,因此他們認為該漏洞的真實影響力可能在全球範圍內更大。
入侵車輛中的生物辨別系統
同樣地,研究人員 Huajiang "Kevin2600" Chen 和 Li Siwei 詳細介紹了另一個目的在提高電動車輛安全性和便利性的系統中存在的幾個缺陷。就像手機和筆電一樣,一些電動汽車使用臉部辨識和聲音辨識等生物辨別系統來快速地驗證使用者的身份;他們進行的一項測試涉及欺騙受測車輛的聲音辨識的系統,以欺騙智慧音響喇叭對錄製的語音訊息進行身份驗證。通過成功使用這種策略,他們可以命令汽車打開窗戶,如果發生在現實世界中,這可能會讓潛在的攻擊者產生可怕的意圖。他們的研究還展示了其他類似的攻擊,像是用於打開電動汽車上的應用程式和智慧手機的臉部識別生物識別技術。
使用電動汽車應用程式進行遠端開發
最後,研究員 Mohammed Shine 測試了一家知名汽車製造商的汽車存取控制 API 的安全機制。 他發現安全機制的弱點可能允許潛在的攻擊者啟動車輛或解鎖車門,更能夠通過與車輛的遠端訊息處理控制單元 (TCU) 相互影響來遠端執行此類操作。
電動汽車的安全性
這些研究實實在在的強調了便利性和安全性之間的權衡考量。 更重要的是,他們再次強調了規劃或設計車輛及其元件階段的重要性,同時還需要擁有一個持續的機制來監控在整個車輛生命週期中可能會出現的威脅和差距。
VicOne 解決方案
VicOne 的汽車網路安全解決方案為汽車製造商和零件供應商提供完整的網路安全保護,涵蓋汽車的生命週期、生態系統和供應鏈。它保護了五個面向從威脅識別、檢測、分析、反應和恢復,具有以下解決方案:
- xNexus 是用於車輛安全運營中心 (VSOC) 的偵測及回應 (DR) 平台,可以幫助建立感知機制和對傳入攻擊的早期預警。
- xCarbon用於電子控制單元或 ECU 的入侵檢測和防禦系統 (IDPS) 在車輛中提供卓越的檢測保護,使安全運營中心 (SOC) 能夠快速了解潛在攻擊的性質。
- xZETA 允許汽車製造商在多個不同級別上掃描汽車供應商提供的韌體,並從一開始就有效地減少攻擊面。
- xScope 是一項滲透測試服務,可對整個車輛進行深入評估,以辨識漏洞並提供建議。
VicOne 將自己定位為構建電動車輛安全戰略和制定解決方案的理想合作夥伴。 造訪 VicOne 的首頁以獲取我們汽車網路安全解決方案的更多訊息。