2022 年 8 月汽車安全性的分析報告

2022年9月2日
VicOne
2022 年 8 月汽車安全性的分析報告

8 我們看到了網路上幾項測試不同電動汽車元件安全性的研究攻擊目標包含幾項旨在保護車輛並提高使用者便利性的系統,像是遠端無鑰匙進入系統 (RKE)、遠端利用汽車應用程式,以及研究如何破解電動汽車使用的生物識別系統 

Rollback (回滾機制):對 RKE 的新攻擊 

網路安全研究人員 Levente Csikor、Hoon Wei Lim、Jun Wen Wong、Soundarya Ramesh、Rohini Poolat Parameswarath 和 Chan Mun Choon 展示了汽車遠端無鑰匙進入系統如何容易受到另一種形式的重複攻擊,稱為RollBack RollJam 這種涉及擾、擷取重播信號的方法相比,RollBack不需要做訊號干擾,只需要擷取一次信號這意味著它可以隨時被潛在攻擊者隨心所欲的執行 

研究人員對汽車製造商、車型和 RKE 製造商(僅限於亞洲汽車製造商)的持續研究顯示,大約 70% 的系統容易受到 RollBack 的影響由於他們研究的四家製造商的三款 RKE 收發器都容易受到攻擊,因此他們認為該漏洞的真實影響可能在全球範圍內更大 

入侵車輛中的生物辨別系統 

同樣研究人員 Huajiang "Kevin2600" Chen Li Siwei 詳細介紹了另一個目的在提高電動車輛安全性和便利性的系統存在幾個缺陷。就像手機和筆一樣,一些電動汽車使用臉部辨識聲音辨識等生物辨別系統來快速驗證使用者的身份他們進行的一項測試涉及欺騙受測車輛的聲音辨識的系統,以欺騙智慧音響喇叭對錄製的語音訊息進行身份驗證。通過成功使用這種策略,他們可以命令汽車打開窗戶,如果發生在現實世界中,這可能會潛在的攻擊者產生可怕的意圖。他們的研究還展示了其他類似的攻擊,像是用於打開電動汽車上的應用程式智慧手機臉部識別生物識別技術。 

使用電動汽車應用程式進行遠端開發 

最後,研究員 Mohammed Shine 測試了一家知名汽車製造商的汽車存取控制 API 的安全機制他發現安全機制的弱點可能允許潛在的攻擊者啟動車輛或解鎖車門,更能夠通過與車輛的遠端訊息處理控制單元 (TCU) 相互影響遠端執行此類操作 

電動汽車的安全性 

這些研究實實在在的強調了便利性和安全性之間的權衡考量。 更重要的是,他們再次強調了規劃或設計車輛及其元件階段的重要性,同時還需要擁有一個持續的機制來監控在整個車輛生命週期可能會出現的威脅和差距。 

VicOne 解決方案 

VicOne 的汽車網路安全解決方案為汽車製造商和零件供應商提供完整的網路安全保護,涵蓋汽車的生命週期、生態系統和供應鏈。它保護五個面向威脅識別、檢測、分析、反應和恢復,具有以下解決方案: 

  • xNexus 是用於車輛安全運營中心 (VSOC) 偵測及回應 (DR) 平台,可以幫助建立感知機制和對傳入攻擊的早期預警 
  • xCarbon用於電子控制單元或 ECU 的入侵檢測和防禦系 (IDPS) 在車輛中提供卓越的檢測保護,使安全運營中心 (SOC) 能夠快速了解潛在攻擊的性質 
  • xZETA 允許汽車製造商在多個不同級別上掃描汽車供應商提供的韌體,並從一開始就有效地減少攻擊面 
  • xScope 是一項滲透測試服務,可對整個車輛進行深入評估,以辨識漏洞並提供建議 

VicOne 將自己定位為構建電動車輛安全戰略和制定解決方案的理想合作夥伴造訪 VicOne 的首頁以獲取我們汽車網路安全解決方案的更多訊息 

VicOne新聞與觀點

深入瞭解汽車網路安全

閱讀最新報告

馬上體驗更先進的汽車網路安全防護

預約專人展示