一半的车辆网络漏洞可以给黑客控制,研究表演

2021-07-26 15:46:01来源:

一项研究已经揭示了一部分,在领先的车辆制造商中发现的一半网络漏洞可能会使攻击者全部或部分控制目标车辆。

根据网络安全公司Ioactive的研究,几乎可以毫不困难地剥削差不多的漏洞,或者几乎肯定会被剥削。

该研究基于现实世界的安全评估和三年的数据和积极漏洞,详细说明了题为车辆漏洞的共性的白皮书。

WhitePaper包括对面临连接车辆面临的网络安全问题的一般问题和潜在解决方案的分析,这构成了物联网(物联网)的子集。

本文还提供了自2013年以来,由Ioactive的车辆网络安全部门进行的现实世界私人车辆安全评估的元数据分析。

根据Ioactive的说法,白皮书结合了从16,000名男子合并的研究和服务,以及其他公开的研究中收集的洞察力。

报告的主要结果之一是,未发现的50%的漏洞将被视为“至关重要”,因为他们会吸引媒体关注并对车辆产生严重影响;或“高影响”,因为对车辆的影响,它们可能是一种监管违规行为。

“高影响力”发现还将导致妥协,这些组件,通信或数据导致对车辆进行完全或部分丧失。

未发现的71%的漏洞被分类为“中等”或上述与他们发生的可能性有关。

尽可能地意味着攻击者可以毫无困难地利用漏洞。在最糟糕的情况下,几乎肯定会被利用和对漏洞的知识以及其开发的漏洞在公共领域。

通过结合影响和可能性,该论文表示,22%的脆弱性坐在“批判”营地中,这意味着它们很容易发现和利用,并且可以对车辆产生重大影响。

该研究表明,27%的脆弱性可用于获得控制区域网络访问(Canbus),如果黑客可以实现这一点,它们可以控制车辆。

另外8%可以提供对发动机控制单元(ECU)的控制或禁用ECU(1%),这将允许黑客控制所有内容,包括所有正常功能,以及可能允许它们添加功能。

约55%的漏洞与网络相关,包括所有网络流量,例如以太网,Web和移动/蜂窝。

攻击者最有可能将其努力集中在数据进入车辆的点上,例如:蜂窝电台,蓝牙,车辆到车辆(V2V)无线电,车载诊断设备,Wi-Fi,信息娱乐媒体,ZigBee收音机和伴侣应用程序,研究显示。

报告称,工程问题,是三个八个漏洞的根本原因,它们也是最难修复的。

在某些情况下,报告称,由于系统是“通过设计不安全”,因此无法修复设计级别问题的漏洞是不可能修复的。

该报告还发现部署机制,过程和测试的问题导致许多漏洞,例如后门,信息披露,硬编码凭证和漏洞依赖性。

幸运的是,其中一些可以更容易修复,并且大多数关键影响漏洞可以通过简单的修复来修复,报告说,例如修补代码删除缓冲区溢出。

“挥舞着衣架的流氓街核心的日子是对车辆安全的主要威胁已经不复存在,”Ioactive和WhitePaper作者的高级安全顾问Corey Thuen说。

“随着报告显示,我们发现了许多”火发发击“漏洞,可以随时轻易被剥削。制造商真的需要唤醒他们在关联世界中面临的风险,“他说。

Thuen表示,大多数网络安全漏洞不可能使用螺栓系统,而是依靠合理的工程,软件开发实践和网络安全性最佳实践。

他说:“在产品的规划,设计和早期实施阶段发生,在产品的规划,设计和早期实施阶段发生,难度和成本与产品时代和复杂性相关的难度和成本。”

Thuen警告说,未能在早期发展阶段解决安全性可能是非常昂贵的长期昂贵,导致消费者信心甚至产品召回,其中一些车辆制造商会发现难以恢复。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章