日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機(jī)站
  • 小程序

    汽車測試網(wǎng)

  • 公眾號(hào)

    • 汽車測試網(wǎng)

    • 在線課堂

    • 電車測試

數(shù)據(jù)資源中心發(fā)布首個(gè)汽車行業(yè)信息安全風(fēng)險(xiǎn)TOP10

2019-05-24 23:39:34·  來源:中汽數(shù)據(jù)中心  
 
隨著汽車電動(dòng)化、智能化、網(wǎng)聯(lián)化和共享化的發(fā)展,汽車信息安全問題日益凸顯,汽車產(chǎn)業(yè)面臨著嚴(yán)峻的安全挑戰(zhàn)。汽車信息安全風(fēng)險(xiǎn)相比于傳統(tǒng)安全風(fēng)險(xiǎn)危害更大,不僅
隨著汽車電動(dòng)化、智能化、網(wǎng)聯(lián)化和共享化的發(fā)展,汽車信息安全問題日益凸顯,汽車產(chǎn)業(yè)面臨著嚴(yán)峻的安全挑戰(zhàn)。汽車信息安全風(fēng)險(xiǎn)相比于傳統(tǒng)安全風(fēng)險(xiǎn)危害更大,不僅影響到數(shù)據(jù)安全、財(cái)產(chǎn)安全,更會(huì)危及人身安全、社會(huì)安全、國家安全。明確汽車信息安全的關(guān)鍵風(fēng)險(xiǎn),對(duì)于汽車企業(yè)提升安全能力具有重要指導(dǎo)意義。

中國汽車技術(shù)研究中心有限公司(簡稱:中汽中心)數(shù)據(jù)資源中心長期從事汽車信息安全攻防技術(shù)研究與標(biāo)準(zhǔn)政策研究工作,通過自主測試、眾籌測試等多種方式收集汽車行業(yè)漏洞數(shù)據(jù),同時(shí)參照CVE(美國通用漏洞與披露平臺(tái))、CNVD(國家信息安全漏洞共享平臺(tái))運(yùn)行模式,構(gòu)建汽車行業(yè)首個(gè)汽車信息安全漏洞數(shù)據(jù)庫(CAVD),目前共收集漏洞數(shù)據(jù)2000余條。依據(jù)CAVD漏洞等級(jí)評(píng)定體系,結(jié)合團(tuán)隊(duì)成員的實(shí)踐經(jīng)驗(yàn),梳理總結(jié)得出汽車信息安全領(lǐng)域關(guān)注度較高的前十大安全風(fēng)險(xiǎn),即汽車安全風(fēng)險(xiǎn)TOP10。
 
汽車信息安全風(fēng)險(xiǎn)TOP10
 
微信圖片_20190524233652

風(fēng)險(xiǎn)影響

1.不安全的云端接口

使服務(wù)器受到攻擊,造成數(shù)據(jù)庫存放的隱私信息泄露、數(shù)據(jù)表被篡改;造成硬盤數(shù)據(jù)破壞,導(dǎo)致服務(wù)器崩潰宕機(jī)。

2.未經(jīng)授權(quán)的訪問

造成服務(wù)器被黑客植入挖礦病毒或木馬程序;造成攻擊者可提升為最高權(quán)限;造成汽車在未經(jīng)授權(quán)的情況下,控制車門開啟、上下電、點(diǎn)火等操作。

3.系統(tǒng)存在的后門

造成車載娛樂系統(tǒng)、T-Box容易被攻擊提權(quán);繞過車載系統(tǒng)已有的安全設(shè)置,泄漏敏感信息和系統(tǒng)程序;導(dǎo)致服務(wù)器被遠(yuǎn)程控制,作為攻擊其他主機(jī)的跳板。

4.不安全的車載通訊

造成車輛OTA升級(jí)被中間人攔截嗅探升級(jí)包,導(dǎo)致升級(jí)異常;車輛位置被篡改,干擾駕駛安全;鑰匙信號(hào)被中繼攻擊,風(fēng)險(xiǎn)車主財(cái)產(chǎn)安全。

5.車載網(wǎng)絡(luò)未做安全隔離

造成應(yīng)用報(bào)文被篡改,可控制車輛行為;CAN總線負(fù)載率高,造成車輛拒絕服務(wù)。

6.系統(tǒng)固件可被提取及逆向

造成文件系統(tǒng)和敏感配置信息泄漏;造成固件被逆向分析,挖掘出的漏洞危害同款車型安全;造成固件被篡改,危害汽車行駛安全。

7.不安全的第三方組件

第三方組件的漏洞造成程序可被利用提權(quán),危害系統(tǒng)安全;第三方組件潛在的后門,使應(yīng)用程序被遠(yuǎn)程控制。

8.敏感信息泄露

無線密碼泄露,攻擊者可連接汽車無線,對(duì)車載流量進(jìn)行劫持、中間人攻擊或植入木馬;調(diào)試口暴露,導(dǎo)致硬件內(nèi)存被提取,攻擊者可逆向分析后進(jìn)一步擴(kuò)大攻擊;車主敏感信息泄露,影響用戶日常生活,嚴(yán)重可造成經(jīng)濟(jì)損失

9.不安全的加密

造成通信過程中敏感信息被第三方竊取;Web應(yīng)用程序沒有對(duì)敏感資料加密或使用弱加密算法,使得機(jī)密資料容易被攻擊者破解,造成資料外泄;APP加密私鑰泄漏,造成用戶密碼被暴力破解危害。

10.不安全的配置

造成服務(wù)器配置被惡意篡改,企業(yè)敏感信息泄露;不當(dāng)?shù)呐渲檬狗?wù)器容易被攻擊提權(quán),被遠(yuǎn)程控制;使服務(wù)器掛木馬或成為傀儡主機(jī),傳播惡意軟件,危害更多用戶。

安全風(fēng)險(xiǎn)數(shù)據(jù)統(tǒng)計(jì)

依據(jù)CAVD漏洞數(shù)據(jù)統(tǒng)計(jì),TOP10中各風(fēng)險(xiǎn)對(duì)應(yīng)的漏洞發(fā)生概率統(tǒng)計(jì)如下,車載網(wǎng)絡(luò)未做安全隔離占比28.90%位居首位;緊跟其后的是不安全的云端接口占比21.38%位居第二;第三是不安全的配置占比12.71%;不安全的加密占比6.93%、敏感信息泄露占比6.93%、未經(jīng)授權(quán)的訪問占比4.62%、系統(tǒng)固件可被提取和逆向占比3.46%、不安全的第三方組件占比2.31%、系統(tǒng)存在的后門占比2.31%、不安全的車載通訊占比2.31%、其他漏洞占比8.09%(如圖1)。

汽車安全風(fēng)險(xiǎn)TOP10的排名受風(fēng)險(xiǎn)發(fā)生概率、利用難度以及危害程度等多因素決定,其中占比最大的是車載網(wǎng)絡(luò)未做安全隔離,此攻擊為本地攻擊,其利用難度相對(duì)較大。

圖1 TOP10 風(fēng)險(xiǎn)發(fā)生概率占比
 
未來,中汽中心數(shù)據(jù)資源中心將基于汽車信息安全實(shí)驗(yàn)數(shù)據(jù)及漏洞特點(diǎn),以汽車信息安全漏洞數(shù)據(jù)庫為依托,共同探討汽車信息安全漏洞共享新機(jī)制,構(gòu)建完善的汽車信息安全生態(tài)圈,持續(xù)加強(qiáng)汽車信息安全體系建設(shè),推動(dòng)我國智能網(wǎng)聯(lián)汽車的健康可持續(xù)發(fā)展。
 
  聲明:本平臺(tái)只提供分享和交流不作商業(yè)用途,如侵權(quán)請(qǐng)及時(shí)聯(lián)系我們刪除!
分享到:
 
反對(duì) 0 舉報(bào) 0 收藏 0 評(píng)論 0
滬ICP備11026917號(hào)-25