你的车安全吗-车联网工控系统安全隐患排查
1车联网简介
车联网是指通过在汽车上集成的GPS定位,RFID(射频技术)识别,传感器、摄像头和图像处理等电子元件,按照约定的通信协议和数据交互标准,在V2V、V2R、V2H、V2I之间,进行无线通信和信息交换的大系统网络,是能够实现智能化交通管理、智能动态信息服务和车辆智能化控制的一体化网络。
车联网系统结构示意图如下图所示:
要理解车联网必须要知道T-BOX系统与CANBus总线系统的作用与功能,下面我们就这两个系统进行简单的介绍。
T-BOX系统是通过在汽车上集成的GPS定位,RFID(射频技术)识别,传感器、摄像头和图像处理等电子元件,按照通信协议和数据交互标准,进行无线通信和信息交换的大系统网络,也是实现智能化交通管理、智能动态信息服务和车辆智能化控制的基础网络。T-BOX网络的安全系数决定了汽车行驶和整个智能交通网络的安全,是车联网发展的核心技术之一。
CANBus全称为控制器局域网总线技术(Controller Area Network-BUS),用于车上各传感器、控制模块以及执行单元之间的数据传递。CANBus有高速和低速之分,高速CANBus总线主要连接发动机控制单元、ABS控制单元、安全气囊控制单元、组合仪表等这些与汽车行驶直接相关的系统。低速CANBus主要连接像中控锁、电动门窗、后视镜、车内照明灯等对数据传输速率要求不高的车身舒适系统上。
最新研究数据显示,2016年底中国全年累计汽车销售达到2619万辆。届时,汽车保有量将达到惊人的1.93亿辆,这也是我国汽车保有量的最高数据。随着国内汽车市场的逐渐饱和以及传统造车技术的日趋成熟,整个汽车产业必将迎来一次升级和转型,而如今飞速发展的车联网,就是当下被国人寄予厚望的汽车产业突破口之一。
2安全事件分析
随着车联网应用范围不断扩大,那么安全攻击也就相应增多。有关车联网的安全事故以及被攻击的问题,已经发生过多起,例如:
美国菲亚特克莱斯勒汽车公司的召回事件。黑客利用互联网技术,侵入一辆行驶中切诺基吉普车的“Uconnect”系统,远程操控了该车的加速和制动系统,电台和雨刷器等设备,克莱斯勒公司不得不召回140万辆车。
宝马ConnectedDrive数字服务系统遭入侵事件,黑客能够利用该漏洞以远程无线的方式侵入车辆内部,并打开车门。
特斯拉Model S遭入侵事件,网络安全专家通过Model S存在的漏洞打开车门并开走,同时还能向Model S发送“自杀”命令,在车辆正常行驶中突然关闭系统引擎。
此外,奥迪、保时捷、宾利和兰博基尼等大众旗下品牌的MegamosCrypto防护系统也遭到攻破。
目前,汽车受攻击的主要方式有如下两种:
近场控制:通过蓝牙和WIFI网络入侵
汽车的T-BOX系统集成了Wi-Fi和蓝牙功能,这些功能的目的是为了能够连接移动设备来控制车内的影音娱乐系统,由于汽车的影音娱乐系统能与CANBus总线交换数据,它能够连接诸如发动机控制器、电子刹车控制器等,而这同时也成了黑客们攻击汽车的一条路径。
远程控制:通过破解运营商网络和云服务系统
某汽车厂家的云端控制系统存在漏洞,通过这个漏洞他们能够获知车主的信息(如姓名、车牌号、车架号、身份证号、第二联系人姓名、手机号等),获知了车主的账户名之后,再进一步破解此账户的密码,就能登录到车联网平台,可远程操作汽车的CANBus总线实现对汽车的控制。
因此,车联网安全事件主要是利用T-BOX系统与CANBus总线系统的漏洞实现对车辆的入侵及操控,进而威胁到车辆本身及驾驶时的安全,可能造成车辆损坏及人身伤亡。
3车联网安全隐患排查
威努特车联网安全隐患排查方案采用威努特公司自研的漏洞扫描系统和漏洞挖系统,同时结合定制的车联网行业的漏洞特征库,对车联网T-BOX系统及CANBus总线系统进行已知漏洞扫描及未知漏洞的挖掘,最大限度的发现T-BOX系统及CANBus总线系统的安全隐患。
安全隐患排查项如下:
1、T-BOX系统硬件及通信协议测试;
主板安全性测试;
存储安全性测试;
CAN相关测试;
2、T-BOX系统及软件测试
T-BOX代码逻辑安全性
APP安全
伪装APP测试
日志管理
系统数据安全
通信安全性
业务逻辑安全性
权限绕过安全性测试
3、T-BOX系统渗透测试
T-BOX系统(服务器存在)渗透测试(16项测试)
注:每一项测试下均有多项测试详细项,如有需求,请来电咨询详细方案!
4方案特点及优势
定制化的车联网行业漏洞特征库,针对性检测T-BOX系统及CANBus总线系统的安全漏洞;
强大的未知漏洞探测能力,能够检测T-BOX系统及CANBus总线系统的未知漏洞;
广泛的通信协议支持,除支持常用通信协议外,还可深度解析车联网专用通信协议的安全漏洞;
通过威努特车联网安全隐患排查方案可以在车辆生产前,扫描所使用的T-BOX系统及CANBus总线系统的安全漏洞,有助于增加车辆安全性,减少车辆召回机率,同时增加车辆及人身安全保障。
提交
工业控制系统渗透测试浅析
未雨绸缪,工控安全培训正当时
典型SCADA系统安全防护案例分享
第三届工业控制系统安全研讨会在京胜利召开
从“拒绝服务”到“安全稳定”