正在权衡如何投资预算的原始设备供应商 ( OEM ) 及其供应商可能倾向于放慢应对网络威胁的投资。迄今为止,他们遇到的攻击仍然相对简单,危害性也不是特别大。
然而,对地下犯罪信息交换中的聊天记录的分析表明,这些碎片的存在是为了未来几年的多层次、广泛的攻击。鉴于汽车行业通常的开发周期很长,等待针对联网汽车的更复杂的网络攻击出现并不是一个实际的选择。
全球汽车原始设备制造商和供应商现在应该做什么准备,以应对从今天的手动汽车改装黑客到明天的用户冒充、帐户盗窃和其他可能的攻击的不可避免的转变?
互联性如何改变汽车犯罪
随着我们的车辆与外界的联系越来越紧密,网络犯罪分子的攻击面正在迅速增加,全球当前一代车辆上的新“智能”功能为新威胁打开了大门。
我们的新型“车轮上的智能手机”——始终连接到互联网,利用许多应用程序和服务,从多个传感器收集大量数据,接收无线软件更新等——可能会受到与以下类似的攻击:今天我们的计算机和手持设备已经是这样了。
汽车公司现在需要考虑这些潜在的未来威胁。原始设备制造商今天规划的汽车可能会在三到五年内上市。届时,它需要针对可能存在的网络威胁环境做好防护。如果汽车上市时不具备所需的网络安全功能,那么确保其安全的工作将变得更加困难。
我们看到行业研究人员设计的针对联网汽车的复杂攻击预示着可能会出现更加频繁、不正当和有害的攻击。幸运的是,到目前为止的攻击很大程度上仅限于汽车行业的这些理论练习。汽车改装——例如解锁车辆的功能或操纵里程——是目前为止在现实世界中实现的。
连接性限制了专门从事汽车犯罪的犯罪分子可以使用的一些典型选项。现代车辆的可追踪性使得转售被盗汽车变得更加困难,即使犯罪分子能够设法使车辆离线,相关的功能损失也会使汽车对潜在买家的价值降低。
尽管如此,随着车辆内外的连接变得更加普遍和复杂,威胁也将变得更加普遍和复杂。针对未来联网汽车的攻击可能会如何演变?
下一代攻击的新兴前沿
由于联网汽车的在线功能是通过用户帐户管理的,因此攻击者可能会寻求访问这些帐户以实现对车辆的控制。对这些汽车用户账户的接管成为潜在汽车网络犯罪分子甚至犯罪组织攻击的新兴前沿,为用户假冒和账户买卖创造了成熟的可能性。
窃取在线帐户并将其出售给可以利用这些知识采取行动的流氓合作者,为未来的汽车网络犯罪分子准备了一系列未来可能的攻击:
• 出售汽车用户帐户
• 通过网络钓鱼、键盘记录程序或其他恶意软件冒充用户
• 远程解锁、启动和控制联网汽车
• 打开汽车并抢劫贵重物品或实施其他一次性犯罪
• 偷车并出售零件
• 定位汽车以查明车主的居住地址并确定车主何时不在家
犯罪三角格局初具规模
联网汽车网络犯罪仍处于起步阶段,但一些国家的犯罪组织已开始认识到利用车辆连接的机会。调查当今的地下消息论坛很快就会发现,这些碎片可能会在未来几年内迅速就位,以应对更复杂的汽车网络攻击。地下犯罪论坛上围绕可能泄露的数据以及发起攻击所需/可用的软件工具的讨论已经在加剧。
来自可公开搜索的汽车改装者论坛上的一篇关于用于调整发动机性能的车辆多排量系统 (MDS) 的帖子象征着当前的活动和可能性。
另一种情况是,犯罪地下论坛上的用户提供了来自汽车制造商的数据转储,指出了该行业可能面临的威胁。
尽管他们似乎仍然仅限于访问常规被盗数据,但妥协和网络访问权限正在地下出售。复杂的汽车网络攻击的犯罪三角(由犯罪分析师定义)正在巩固:
• 目标——未来几年,严重犯罪分子将寻求利用的联网汽车在全球市场上变得越来越普遍。
• 欲望——犯罪组织将找到充足的市场动力来将被盗的汽车账户货币化。
• 机会——黑客热衷于通过网络钓鱼、信息窃取、键盘记录等方式劫持人们的帐户。
渗透和利用联网汽车
获取联网汽车用户数据访问权限的方法有很多种:引入恶意车载信息娱乐 (IVI) 应用程序、利用不安全的 IVI 应用程序和网络连接、利用不安全的浏览器窃取私人数据等等。
此外,还存在利用存储在智能驾驶舱中的个人身份信息 (PII) 和车辆遥测数据(例如汽车状况)的风险,以通知极其个性化和令人信服的网络钓鱼电子邮件。
这是可能发生这种情况的一种方法:
• 攻击者识别可在浏览器中利用的漏洞。
• 攻击者创建一个专业、有吸引力的网页,向毫无戒心的用户提供难以抗拒的促销活动(快餐券、针对用户特定型号和年份的车辆维护折扣、内幕股票信息等)
• 用户被引诱访问恶意网页,从而绕过浏览器的安全机制
• 攻击者在用户不知情或未经许可的情况下,在车辆IVI系统中安装后门,以获取各种形式的敏感数据(驾驶历史记录、制造商安装的麦克风录制的对话、内置摄像头录制的视频、联系人列表、短信、 ETC。)
这一过程可能引发的犯罪行为范围广泛。例如,通过创建欺诈方案来窃取用户的身份,攻击者将能够代表用户开设帐户,甚至欺骗 OEM 服务团队批准验证请求,此时攻击者可以远程打开车门并获取信息。允许合作者偷车。
此外,攻击者还可以利用他们安装的后门,通过 IVI 系统向电子控制单元 (ECU) 发送恶意消息,从而渗透车辆的中央网关。驾驶员不仅会失去对汽车 IVI 系统及其地理位置、音频和视频数据的控制,还会失去控制车辆速度、转向和其他安全关键功能以及存储在其中的重要数据范围的能力。它的数字集群。
今天为明天的威胁形势做好准备
到目前为止,原始设备制造商可能不愿意投资于避免网络攻击,而网络攻击尚未在现实世界中实现。但 2023 年 Gartner 研究报告《汽车洞察:车辆网络安全生态系统创造合作机会》是记录优先事项转变的行业研究之一。
受诸如通过软件控制的可更新车辆功能进行网络攻击而造成品牌和财务损失的重大风险以及联合国 (UN) 法规 155 (R155) 和 ISO/SAE 21434 等新兴国际监管压力等因素的推动,原始设备制造商( OEM )已经开始强调网络安全。
如今,他们正在积极评估,在某些情况下甚至实施一些强大的功能:
• IVI 隐私和身份安全
• IVI应用程序漏洞检测
• 监控 IVI 应用程序性能
• 保护汽车伴侣应用程序
• 检测恶意 URL
• 24/7 监控个人数据
事实证明,在设计阶段对网络安全进行投资,与在数据泄露之后进行投资相比,最终将证明在避免或减轻世界上最精明、最雄心勃勃的商业犯罪分子利用受损个人数据盗窃金钱、车辆和身份等严重犯罪方面,成本更低、更有效。