上週(5月18日至5月20日), Pwn2Own Vancouver 2022 十五週年的活動剛落下帷幕。 Pwn2Own 是一年兩次的駭客大賽,研究人員在該會議上競相揭露流行產品的弱點和漏洞。這項年度盛會專門鼓勵全球頂尖漏洞研究人員,展示他們的專業技能並贏得獎金,獎項也包括了他們成功入侵的設備。於此同時,參與的品牌也可受益於漏洞披露和修補其產品弱點的機會。
今年,17 名參賽者在為期三天的比賽中嘗試針對21 個目標軟體或裝置進行漏洞挖掘;而亮點之一是兩個參賽隊伍對對特斯拉 Model 3 組件的駭侵嘗試。
Synacktiv 的研究人員 David Berard 和 Vincent Dehors 對特斯拉進行了首次嘗試他們能夠在特斯拉 Model 3 的車用資訊娛樂系統 (In-Vehicle Infotainment,IVI) 的沙盒逃逸漏洞中展示兩個獨特的錯誤,這一成功也為他們贏得了 75,000 美元的獎金。
在第二次嘗試中,@Jedar_LZ 使用root persistence針對特斯拉 Model 3 的診斷網路;可惜的是,參賽隊伍並沒有在規定的時間內完成。雖然沒有成功,但ZDI漏洞懸賞計畫仍舊獲取該漏洞訊息,並將其披露給特斯拉進行修補。
對聯網汽車的威脅
2019 年,由於與特斯拉合作,汽車類別成為 Pwn2Own 的一部分。像 Pwn2Own 這樣的賽事,以及對聯網汽車的網路安全研究,在我們提供有關汽車行業可能面臨的威脅提供了重要的的線索。這使我們能夠預測需要採取何種措施來保護未來的聯網汽車。
對車用資訊娛樂系統(IVI) 的威脅尤其重要,因為該組件可以遠端定位,並為潛在的攻擊者提供了一種使用現有工具進行攻擊的方法。 IVI 上使用的是修改過的作業系統,與手機或電腦的作業系統十分相近。與車內其他電子控制單元 (ECU) 中所使用之高度專用的即時作業系統相比,IVI也更容易讓攻擊者利用現有漏洞進行攻擊。
值得指出的是,IVI 仍然很難破解,這就是為什麼在 Pwn2Own 挑戰中成功破解是技能的證明。此外,灰色市場中已經存在用於解鎖昂貴的 IVI 功能的漏洞,這也進一步證明,雖然汽車製造商 (OEM) 與一階供應商合作正在提高其產品的安全性,但網路犯罪分子同時也在改進他們的工具。
至於後果,對 IVI 的成功攻擊可以讓潛在的威脅進一步控制車輛的關鍵子系統,如剎車或轉向。因此,成功的攻擊可能會導致不可預見的損害、危及安全和隱私,並且如果 IVI 單元被鎖定或擦除,還會導致財務上的損失。
值得慶幸的是,目前現實世界還沒有關於對聯網汽車進行攻擊的報導。我們知道的威脅已被安全研究人員,例如加入 Pwn2Own 的研究員們所披露。但這不應該就此打住,因為持續的研究表明風險仍然存在,並且仍然可以對整個汽車行業產生重大影響,更不用說公司的運營和聲譽了。
保護聯網汽車
現在比以往任何時候都更需要汽車網路安全。 UN法規 No. 155 (UN R155) 和 ISO/SAE 21424 等標準證明了這一點,因為它們支持聯網汽車在其整個生命週期中都存在網路安全。反過來說,這種整體方法應將未解決的漏洞數量降至最低。
基於 IT 領域的研究和經驗,車載保護、全面覆蓋聯網汽車生態系統的多層安全性以及車輛安全運營中心 (VSOC) 對於最適合的頂級解決方案至關重要保護聯網汽車。
VicOne 解決方案
為了預測和充分準備類似的駭客攻擊成為現實世界的攻擊,OEM 和一階供應商可以利用 VicOne 的統一和多層解決方案。
檢測、預防和預警
我們的 VSOC DR 平台持續監控車輛及其 ECU。在 Pwn2Own 駭客攻擊中,研究人員能夠通過引發發double free error來使 IVI 崩潰。我們可以為 OEM 廠商提供他們需要的可視性,以便他們可以採取適當的措施來防止此類 ECU 崩潰。使用異常檢測來觸發警報,像是包括事件的上下文和儀表板上的時間線訊息,可以讓 OEM 廠在發生嚴重後果之前就能識別潛在問題。
即時保護
借助我們的車載 IDPS中的行為監控可以檢測出沙盒逃逸行為,同時系統漏洞利用預防會阻止特權升級。
針對關鍵漏洞,我們的虛擬補丁可以快速緩解這些漏洞,並為 OEM 或 ECU 供應商爭取更多時間來修復或修補根本問題。
面對不斷發展的網路威脅,OEM 廠商必須具有高適應力並隨時掌握。因此可考慮以下類型的解決方案:
- Vulnerability Management Plus。 該工具可通過查找相關漏洞、惡意軟體和後門威脅,幫助 OEM廠商更了解車輛 ECU 的軟體風險。
- Pen Testing。 可以幫助 OEM廠商 監控您的系統是否會被駭客所利用。
VicOne 旨在支持大規模聯網汽車部署,支持車輛在整個生命週期內的網絡安全。 VicOne 的網絡安全解決方案利用趨勢科技 30 多年的網絡安全經驗以及來自漏洞懸賞計畫 (ZDI) 的 10,000 多名獨立研究人員的專業知識,使用機器學習、行為監控、偵測與回應等最新技術來幫助保護聯網汽車。
訪問我們的首頁,了解更多有關我們解決方案的資訊。