近日,研究机构Upstream发布了《2023年全球汽车行业网络安全报告》,报告数据显示:在过去5年中,全球汽车行业因为网络化攻击造成的损失超过5000亿美元,而近70%的汽车安全威胁由远距离的网络攻击引发。攻击者不需要在车辆附近,只要能够连接到车辆的网络系统,就可以发起攻击。
报告显示,2022年网络攻击者最常使用的载体分别是远程信息处理和应用服务(35%)、远程无钥匙进入系统(18%)、电子控制单元(14%)、车载智能应用API(12%)、车载信息娱乐系统(8%)、车载移动应用程序(6%)和电动汽车充电系统及设施(4%)。
远程信息处理和应用服务。是指通过车辆联网技术(V2X),实现车辆与互联网之间的交互和数据共享,从而为车主提供远程控制、故障诊断维护、导航、保险以及安全服务,主要由车载终端、通信网络和数据处理和存储系统组成。
车载终端包含GPS、摄像头、雷达、车速传感器等,采集车速、位置、行驶路线、环境条件等多种数据,对车辆内部的各种数据进行采集、存储和传输。
通信网络是连接车载终端和远程服务器之间的网络,可以实现车载数据的远程传输和交换。主要包括以4G/5G、WIFI等为代表的移动通信网络和以Ethernet、CAN等为代表的车内网络,也可以使用云服务器进行数据传输和处理。
数据处理和存储系统包括数据存储设备、数据处理软件、报警系统等,负责对车载的数据进行处理和存储,在此基础上实现车辆的诊断、控制和管理等功能。
远程无钥匙进入系统。汽车的远程无钥匙进入系统是指通过车辆联网技术,是一项重要的汽车电子技术。该技术无需使用传统的钥匙或者钥匙卡,通过手机App就可以实现远程开启车门、启动汽车的功能。其主要由车载传感器、控制单元和车辆通讯模块组成。
其中,车载传感器可以在车辆周围环境中检测手机号码、蓝牙设备到存在的远程信号,以便在远程信号触发后进行相应的操作。
控制单元可以接收车载传感器发出的信号,对指令做出相应的判断,并进行车辆引擎启动、车门解锁等动处理。而车辆通讯模块可以与移动通讯网络或互联网进行连接,以便实现与远程无钥匙进入系统通讯和数据交换。
电子控制单元。汽车的电子控制单元是指汽车中用于控制和管理其各项电子系统和部件的计算机芯片,是现代汽车中非常重要的组成部分,主要由发动机控制单元、制动防抱死系统控制单元、前照灯自适应控制单元、空调系统控制单元、动力转向系统控制单元等系统控制模块组成。通过对发动机、制动系统、照明系统、音响系统、车内环境、座舱等电子系统的精确控制,保证车辆行驶的安全性,提高了车辆使用的便捷性和舒适程度。
发动机控制单元通过对发动机燃油喷射、点火时序、氧气传感器数据等进行计算和控制,实现优化发动机性能和燃油效率的目的;制动防抱死系统控制单元通过对车轮转速和刹车操作进行计算和控制,实现最大限度地避免制动时车轮抱死或者打滑,提高制动系统的效率和安全性;前照灯自适应控制单元通过感知并识别车辆行驶的路况及其它车辆的情况,并对前照灯的亮度、方向进行计算和控制,以提高夜间驾驶安全性。
车载移动应用程序和智能应用API。汽车的车载移动应用程序是指可以在汽车系统中运行的应用程序,其目的是为了增强车辆的功能和娱乐性,并提供更加便捷、智能的驾驶体验,包含音频媒体、导航、位置、天气、资讯、邮件、车辆诊断、车辆控制等应用服务。而车载智能应用API是指为汽车中的各种智能应用提供标准化接口和开发平台,使第三方开发者能够开发出更加智能、便捷和适合用户需求的汽车应用API。
充电系统及设施。电动汽车充电系统及设施是指提供给电动汽车进行充电的各种设施和设备,包括充电设施、充电桩、充电接口、充电线缆等组成部分。
远程入侵风险。通过网络攻击、恶意软件等手段入侵汽车联网系统,从而实现对汽车的远程控制和操纵。例如,控制车辆行驶方向、控制刹车等接管车载控制单元、破坏传感器和嵌入式设备、拦截通信、劫持信号等,导致车辆失去控制或造成重大事故等。
数据安全风险。汽车网络和系统收集了大量车辆数据,包括车内环境、驾驶行为、隐私信息等,如果这些数据被非法获取、泄露或被用于其他不当用途,会造成很大的影响,甚至带来个人财产损失、名誉损失等问题。
恶意软件攻击风险。恶意软件攻击是指黑客通过植入恶意代码等方式,在汽车联网系统中执行恶意操作以达到破坏、抢劫等目的。例如利用漏洞进行木马攻击、勒索病毒等攻击方式。
DDoS攻击风险。DDoS攻击是指分布式拒绝服务攻击,攻击者利用大量的计算机或其他网络设备向目标服务器或网站发动大量请求,占用目标资源使其无法正常服务。当车辆与互联网连接时,也会面临DDoS攻击的风险,从而导致车联网系统失效,给驾驶员和乘客带来巨大安全风险。
业务安全风险。仿冒山寨汽车App,窃取盗用汽车消费者账号,遭哄抢窃取官方商城积分福利,恶意爬取汽车信息图片交易点评,伪造资料骗取汽车贷款等,给车企、经销商和消费者带来不同的风险。
业务安全大讲堂:立即报名
业务安全产品:免费试用
业务安全交流群:加入畅聊
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。