基于API的攻击在2022年显示出戏剧性的增长,占总事件的12%,增长却达到了惊人的380%。展望未来,我们预计基于API的攻击趋势将逐渐扩大,各种攻击者将利用API漏洞进行大规模攻击。
在2023年,针对汽车和智能移动生态系统后端服务器(车联网、应用程序等)以及信息娱乐系统的事件急剧增加。与服务器相关的事件从2022年的35%增长到2023年的43%;与信息娱乐系统相关的事件几乎翻了一番,从2022年的8%增长到2023年的15%。
这也是汽车网络安全领域成熟度的体现,以及攻击者试图获取敏感数据,并可能在大规模移动资产上获得车辆控制的结果。
在车辆的整个使用寿命中,车联网和应用程序服务器连接车辆从原始设备制造商(OEM)后端服务器,以及车主那里收集、传输和接收信息。这是通过使用两种类型的服务器来实现的:与车辆通信的车联网服务器,以及与车辆配套的应用程序服务器。
此外,一些车辆拥有与第三方通信的后端服务器,比如保险公司、汽车租赁公司、电动车充电网络等。通过利用后端服务器中的漏洞,黑客可以在车辆行驶途中对其进行攻击。
在2023年6月,汽车安全研究小组(ASRG)的一名安全研究员发现了MQTT中的多个漏洞,MQTT是一种在汽车中广泛采用的网络通信协议,这些漏洞允许攻击者访问甚至操纵普遍使用该协议的汽车遥测数据。
称之为CVE-2023-3028的系列漏洞被识别出来:
MQTT后端不要求认证,允许攻击者进行未授权连接。
车辆将其遥测数据(例如,GPS定位、速度、里程表、燃油等)作为消息发布在公共主题中。后端也在公共主题中以MQTT帖子的形式向车辆发送指令。因此,攻击者可以访问整个车队的机密数据。
由车辆或后端发送的MQTT消息没有进行加密或认证。攻击者可以创建并发布消息,以冒充车辆或后端。例如,攻击者可以向后端发送关于车辆位置的错误信息。
后端服务器可以通过在公共主题上发送特定的MQTT消息,将数据注入车辆的CAN总线。因为这些消息没有经过认证或加密,攻击者可以冒充后端,创建假消息,并将CAN数据注入后端管理的任何车辆。
钥匙遥控器机制与车辆之间的通信可以通过几种不同的方式遭到攻击:
使用“实时”信号进行中继攻击:在中继攻击中,黑客即使在钥匙遥控器的信号超出范围时,也能截获钥匙遥控器与车辆之间的正常通信。黑客可以使用放置在车辆附近的发射器或中继器来放大无线电信号,这样就能放大并中继一条消息来解锁并启动车辆的引擎。小偷越来越多地使用这种攻击方式来截取放在车主家中的钥匙遥控器的信号。
使用存储的信号进行重播攻击:在另一种类型的中继攻击中,黑客截取钥匙遥控器和车辆之间发送的信息,并将其存储以供后用。获取了相关信息后,黑客可以随时解锁车门或启动车辆的引擎。
重新编排密钥:一种更复杂且更昂贵的设备可以用来重新编程钥匙遥控系统,使原来的钥匙变得无用。这种重新编程设备连接到OBD端口,使得车辆小偷相对容易地完全控制车辆——它可以在网上合法购得,并且被授权的机械师和服务中心使用。
干扰密钥卡和车辆之间的通信:车贼也可能使用信号干扰器进入车辆,该设备阻断钥匙遥控器和车辆之间的通讯。这种设备阻止车主锁车,从而允许小偷自由进入。
使用CAN注入模拟无线密钥卡EDU:黑客青睐的一种新型攻击方法是CAN注入,犯罪分子广泛使用它来盗窃车辆。攻击者可以使用连接到CAN线路并模仿无线钥匙遥控器ECU的CAN注入器设备,绕过整个无钥匙进入系统。
2023年1月,一位安全研究人员发现了一个漏洞,该漏洞在CVE-2022-38766中有所描述,影响了一款法国原始设备制造商(OEM)车型的远程无钥匙系统。这个漏洞基于滚动码,这是一系列用来防止重放攻击的变化码。在这个案例中,研究人员发现,系统并没有生成新的滚动码,而是对每一个开门请求使用相同的滚动码。这个漏洞允许攻击者拦截并重放信号,使用专门的设备,操纵无钥匙系统。
2023年2月,在有28辆车被盗后,苏格兰格拉斯哥的警方向该市发出警告,提到无钥匙车辆盗窃案件有所增加。同一天,英国萨福克的警方警告市民,无钥匙汽车盗窃案件激增,一个月内有五辆来自英国原始设备制造商的豪华SUV被盗。2023年3月至5月期间,比利时滑铁卢地区警察、英国伍斯特郡警察以及德国法兰克尼亚警察也做出了类似的公告。2023年8月,英国政府宣布计划禁止无钥匙车辆黑客设备,以试图打击不断上升的车辆盗窃案件,这些案件的年增长率已经飙升了25%。
2023年4月,一位网络安全研究人员披露了一种新的攻击方法,称为CAN注入,它通过使用CAN注入器设备绕过了整个智能钥匙系统。该设备可以从大灯连接器、尾灯连接器连接到控制CAN总线,甚至可以在CAN线旁边打一个孔来冒充智能钥匙ECU。研究人员在对2022年7月他的日本原始设备制造商车辆被盗进行了长时间的数字取证调查后,发现了这种方法,此前他已经遭遇过两次失败的尝试。
APIs也呈现出重大的、可导致整个车队范围内的大规模攻击途径,导致了各种网络攻击,例如敏感个人身份信息(PII)的盗窃、后端系统的操纵或恶意的远程车辆控制。
原始设备制造商的伴侣和智能移动应用程序也可以被用来实施身份盗窃,黑客可以利用移动设备和应用服务器中的漏洞,获得凭证并大规模侵害私人用户信息。
2023年5月,安全研究人员报告了一个漏洞(CVE-2023-29857),被发现于某美国电动车原始设备制造商的第三方应用程序中,该漏洞允许攻击者通过直接访问应用程序链接来获取敏感信息。
2023年6月,巴基斯坦一个拥有超过1000万用户的热门叫车服务遭到黑客攻击,导致消费者收到辱骂性信息和通知,据该公司称,一个第三方通信API已经被破坏。
2023年5月,一名倡导在汽车行业实施开源的黑客成功地使用在线销售的工具破解了一家日本原始设备制造商的信息娱乐系统,并在GitHub上发布了利用该漏洞的证据。黑客通过USB驱动器成功安装了多个应用程序,包括文件管理器和一个使用传输控制协议的第三方应用程序。
2023年8月,来自德国的研究人员利用芯片制造商处理器上的电压故障注入攻击,成功执行了一家美国电动车原始设备制造商的IVI系统越狱,这给了他们几乎不可撤销的根权限。该攻击允许研究人员在信息娱乐系统上运行任意软件,并解锁付费功能,如更快加速和加热座椅。此外,该漏洞促进了车辆唯一密钥(加密系统公钥)的提取,该密钥用于在原始设备制造商的内部服务网络上进行认证和授权。通过漏洞获得的根权限,恶意行为者可以访问私人用户数据,解密加密的NVMe(非易失性内存快速)存储,并操纵汽车的身份。
2023年1月,一名黑客利用一款流行的屏幕共享程序,获得了一家美国电动车充电公司新推出的350千瓦充电器的底层操作系统(OS)的访问权限。黑客能够访问OS菜单,打开网页浏览器,并导航到竞争对手的网站,而充电器应用程序仍在后台运行。在此之前,发生了另一起事件,另一名黑客获得了充电器关键设置的访问权限,可以查看过热保护等设置。
2023年6月,安全研究人员发现了一个托管在公共云平台的内部数据库,约有1TB的日志数据没有任何密码保护。该数据库属于一家全球电动车充电服务提供商,在全球拥有数十万个电动车充电站的网络,数据库中包含了用户的敏感信息:客户姓名、电子邮件地址、电话号码、带有在网络上充电的车辆运营商的姓名、车辆识别号(VIN)、公共和住宅电动车充电点的位置。
2023年3月,一组法国安全研究人员在一次黑客比赛中展示了,如何利用漏洞入侵美国电动车原始设备制造商(OEM)的车载信息娱乐系统(IVI)。该漏洞涉及到蓝牙芯片组中的堆溢出漏洞和越界写入错误,使研究人员获得了对其他子系统的根访问权限。更有意思的是,这个漏洞赢得了该比赛首个针对特别影响力大的漏洞和利用技术的二级奖,并获得了25万美元的奖金。
然而远程更新比物理更新更具风险,因为无线通信可能影响大量的车辆,甚至是整个品牌的网络攻击的大门。
此外,更新对车辆的功能性至关重要。OTA更新的失败可能会导致严重的车辆故障,正如2023年11月美国一家电动车原始设备制造商所发生的那样。该OEM发布了一个提供错误修复和对特定功能的改进的OTA更新,然后突然取消了这个更新。由于更新失败,两款车型的信息娱乐系统直接宕机。OEM表示,问题是由人为错误造成的,工作人员发送了错误的版本和安全证书,并表示将提供一个OTA更新来解决问题。
车联网(V2X)是一个集合术语,指的是利用现有蜂窝网络基础设施,使车辆、基础设施和其他活跃的道路使用者能够通过技术不断进行通信。
在未来几年内,车辆将通过应用程序编程接口(API)、传感器、摄像头、雷达、移动物联网模块等不断与周围环境通信和互动,通过处理来自环境的各种输入来增强车辆操作。最强大的新增功能将是车辆与道路上的其他车辆(设备)之间通信的能力,以及从外部来源(电动车充电器或道路基础设施)接收数据的能力。
因此车辆将与周围的整体环境进行互动,包括进入车道的行人、骑自行车的人、前方的交通状况,以及交叉路口交通信号、控制系统等数据。V2X的未来将依赖于新的无线通信技术,如DSRC和蜂窝V2X(C-V2X),这些技术在过去几年已经进行了测试。C-V2X使用3GPP标准化的4G LTE或5G移动蜂窝连接来交换车辆、行人和路边交通控制设备(如交通信号灯)之间的信息。虽然DSRC和C-V2X都支持V2X的未来,但C-V2X使用的长期演进(LTE)被认为是连接车辆生态系统的潜在规则改变者,使用现有的蜂窝基础设施将减少加速采用所需的努力,同时保证在高密度地点的高速通讯。
-END-
