如何保护您的智能汽车免受网络攻击

当我得到我现在的车辆时，我很兴奋，主要是因为它配备了一些很酷的功能，比如无线手机充电器、手机到汽车的数据传输、路牌的实时扫描和传感器。

我还可以使用应用程序来启动车辆、锁门以及设置和监控速度。还有一个选项可以将车辆连接到我的家庭网络或将其变成热点。

然而，我突然意识到将手机连接到汽车会使我面临潜在的网络安全风险，这让我从幻想中惊醒。毕竟，在 2010 年至 2021 年期间，影响联网车辆的事件中有 7.3% 涉及配套的移动应用程序。

远程劫车不仅仅是好莱坞的幻想

我对潜在网络事件的担忧并不是因为好莱坞在《速度与激情 8 》中对被黑车辆的描绘。有证据表明车辆可能被黑客入侵和劫持。

阿格斯研究人员利用易受攻击的博世 Drivelog 连接器加密狗成功杀死了行驶中的汽车的发动机。安全研究员， 大卫科伦坡，由于 TeslaMate 日志软件中的漏洞，远程访问了分散在世界各地的数十辆特斯拉。

网络安全研究人员并不是唯一对利用联网汽车漏洞感兴趣的人。根据一份报告，与 2018 年相比，2021 年对车辆的网络攻击增加了 225%，而威胁行为者对 54.1% 的事件负责。

大约 85% 的攻击是远程执行的，40% 以后端服务器为目标，38% 涉及数据/隐私泄露，20% 影响控制系统。无钥匙进入和密钥卡攻击占所有车辆盗窃的 50%。

增加组合式充电站在 2022 年上半年观察到攻击，为充电能力的大规模中断、管理权限的妥协以及针对电动汽车用户的勒索软件攻击铺平了道路。

用于破坏智能汽车的一些方法包括操纵内部代码和数据、通过信息娱乐系统发送有害信息、利用软件和连接设备中的漏洞、破坏特权访问、在通信媒体中嵌入病毒、劫持服务器以将恶意代码传送到联网车辆，并部署拒绝服务攻击以导致车辆发生故障。

新兴的威胁媒介被证明是非常具有破坏性的。已经观察到利用 API 中的漏洞远程访问和控制车辆、窃取车辆并破坏关键功能的攻击有所增加。

威胁行为者还使用充电站攻击电动汽车、进行假冒欺诈并破坏大规模电动汽车充电的能力。

联网车辆风险是一个新兴的迫在眉睫的威胁

与任何其他物联网 (IoT) 设备一样，联网车辆也容易受到网络安全风险的影响。臭名昭著的 2016 Mirai 僵尸网络攻击将许多物联网设备武器化，导致全球广泛的分布式拒绝服务 (DDoS) 攻击。

在美国，近半数使用物联网网络的组织遭遇安全漏洞，造成重大经济损失。如果没有适当的网络安全控制措施，则可以实现将智能车辆武器化的可能性。

与 2020 年相比，2021 年智能汽车中发现的常见漏洞和枚举 (CVE) 增加了 321%。

有 26 个关键和 70 个高漏洞其中包括未经授权的蓝牙配对 (CVE-2021-0583) 和可用于执行 DoS 攻击的车载信息娱乐操作系统漏洞 (CVE-2021-22156)。

运行 Apache Log4j 库的联网车辆和充电站容易受到 Log4Shell 漏洞（CVE-2021-44228、CVE-2021-45046 和 CVE-2021-45105）的影响。

这些漏洞已被利用妥协车辆到电网 (V2G) 基础设施、无线固件更新 (FOTA) 更新、车载信息娱乐 (IVI) 系统以及控制关键车辆功能的数字钥匙。

针对联网车辆的新兴网络威胁包括对通信渠道的威胁 (89.3%)、对车辆数据/代码的威胁 (87.7%)、未修补的漏洞 (50.8%)、对车辆连接和连接的威胁 (47.1%) 以及对后端服务器的威胁' 连通性 (24.1%)。

随着车联网 (V2X) 和蜂窝车联网 (CV2X) 技术网络的发展，威胁参与者探索的机会无穷无尽。

该网络包括车对行人 (V2P)、车对网络 (V2N)、车对车 (V2V)、车对云 (V2C)、车对电网 (V2G) 和车辆到基础设施 (V2I)。

生态系统中的任何漏洞都可能被武器化以造成大规模破坏，包括安全隐患。

随着更多智能汽车的增长带来更大的风险

到 2025 年，互联汽车市场预计将增长到 1210 亿美元。到 2023 年，全球汽车行业预计将交付超过 7600 万辆互联汽车。

5G 连接将通过增强的远程信息处理、自动化工厂停车、先进的驾驶员辅助系统、自动驾驶、无缝数据和蜂窝连接来改变汽车体验。

据估计，到 2025 年，智能汽车每小时将产生 25GB 的数据，超过网页浏览或视频流媒体活动。

汽车行业的增长和转型扩大了攻击面，并扩大了重大业务风险的暴露。根据世界经济论坛的预测，到 2027 年，互联汽车市场将达到 2150 亿美元。

然而，到 2024 年，估计该行业将损失超过 5000 亿美元网络攻击.可以肯定的是，智能汽车市场的大部分收益将被网络攻击抹去。

除了联合国欧洲经济委员会 (UNECE) 的 WP.29 R1552 和 R1563 法规以及 ISO/SAE 21434 标准等网络安全监管标准之外，智能汽车制造商必须优先考虑适当的安全控制，以减少攻击面并最大限度地减少成功利用漏洞.

您可以做些什么来保护您的智能车辆

保护联网车辆不仅是汽车制造商的责任。车主可以在最大限度地减少数据访问和泄露方面发挥作用。遵循这些简单的建议将使犯罪分子难以窃取您的数据或车辆。

• 限制与您的智能车辆共享的个人信息，包括您如何保存您的家庭住址（有趣的是，在我的汽车更新后，它要求我使用智能钥匙设置用户配置文件 - 你猜对了，我拒绝了设置）。

• 更新您的手机并确保应用程序可以安全安装。受感染的应用程序可用于破坏手机和联网车辆。

• 不要将您的手机与租赁车辆同步。您可能留下的信息过多。

• 更新可用的固件，但不更新。您无法预测新更新会影响什么，因此您希望安全地进行。

• 确保连接的设备（例如 USB 加密狗）没有恶意软件。

• 尽量避免将您的车辆连接到您的家庭网络。如果必须，请将连接保持在专用通道上。

• 使用密钥卡时请注意周围环境。如果您的车辆在车门上配备了无钥匙进入装置，请使用它来锁定/解锁车辆，而不是使用遥控钥匙。

• 仅在具有足够威慑控制（例如，监控摄像头）的专用充电站为您的电动汽车充电。

• 通过车辆连接到社交媒体时，请注意不要点击可疑链接。

• 请注意，如果您的车辆可以连接到互联网，它可能会下载恶意软件。请注意您访问的网站。

• 如果您发现仪表板显示异常，最好不要开车，直到您确定信息娱乐系统没有被弄乱。

自信上路

网络攻击的可能性不应阻止您享受您的智能汽车。按照上面的建议做出明智的安全选择，让您能够探索互联车辆提供的酷炫功能，而不会影响您的安全和保障。

此外，汽车制造商应确保将安全的工程原理集成到汽车开发生命周期的每个阶段。

第三方供应商通过实施适当的控制以最大限度地减少对数字供应链中漏洞的利用，在维护联网车辆的完整性方面发挥着重要作用。