發掘安全漏洞與攻擊路徑 聯網車輛資安風險有解
2024年2月東京Automotive World全球汽車技術展覽會上舉辦了第一屆Pwn2Own Automotive汽車資安漏洞競賽,也是首個專門發掘及解決聯網汽車技術漏洞的比賽。本文探討聯網車輛目前使用技術中存在的安全漏洞,如何被轉化為現實世界的攻擊。透過演示攻擊過程了解如何發現漏洞和網路威脅研究的必要性,將有助於避免類似情況在真實世界上演。
API受攻擊面
在這個新的行動時代,車輛變得更加依賴數據資料、聯網能力和其他技術,使它們能夠與其他車輛和系統互動。就像是車輛攜帶實體或虛擬SIM卡已變得幾乎司空見慣一般。
以一個情境為例:車主向車子發送按喇叭的命令。這個命令會從車主的手機傳輸到最近的行動通訊基地台,然後傳輸到車廠的後端伺服器,再轉發到車輛的遠端資訊處理控制單元,該單元接著將命令發送到控制汽車喇叭的元件。命令的發送幾乎在一瞬間就經過了這麼多個接觸點。
於是從安全角度來看,必須全面檢視跨越這麼多的接觸點會可能會在哪裡出錯,以及攻擊者如何透過某些漏洞或網路攻擊來破壞訊息流通。
API的攻擊情境
在這個情境下,目的是示範攻擊者可以利用受損的帳戶憑證來執行哪些操作。預設已經從某處取得了跨越半個地球之遙、已綁定車輛的一個帳戶憑證。模擬來自受感染帳戶的遠端攻擊,以感知在這種情況下,距離已經不是問題,如圖1所示。
圖1...
2024 年 08 月 05 日
