【公益译文】2023年全球汽车网络安全报告（二）

2023年全球汽车网络安全报告

新的攻击向量不断出现，日益复杂，给整个汽车和智能出行生态系统带来了新的挑战。

2022年，新的攻击向量不断出现，日益复杂，给整个汽车和智能出行生态系统带来了新的挑战。

在这一年中，Upstream的AutoThreat®研究员们分析了268起汽车和智能出行网络安全事件。

2022年重大网络事件：

随着技术和网络安全措施的进步，黑客也在进化，利益相关者必须深入了解攻击者。通常，黑客分为两类：

• 白帽黑客

白帽黑客，通常是无恶意的研究人员，通过渗透和操控系统来验证安全性或评估漏洞。

白帽黑客不断发现恼人的新漏洞。他们独立行动，为公司提供服务，或者参与漏洞奖励计划，通过负责任地披露漏洞而获得奖励。

• 黑帽黑客

相比之下，黑帽黑客攻击系统是为了个人利益、经济收益或恶意目的。现今的黑帽黑客不再是独立的恶意软件开发者，而是组织严密、资源充足的攻击组织的一分子，这些组织在全球范围内雇佣了数千名网络犯罪分子，能够协调行动，同时攻击多家公司。

汽车黑帽攻击和IT黑帽攻击的主要区别在于攻击的后果和影响。恶意的汽车黑帽攻击与关键OT基础设施（如卫生、能源和政府设施）网络攻击密切相关，不仅会导致服务中断和经济损失，还可能造成安全事故和伤亡。

2022年1月，一名白帽黑客利用车主使用的一种主流开源日志工具中的安全漏洞，远程入侵了全球25辆美国OEM电动汽车。该白帽黑客能够禁用安全系统，打开车门，摇下车窗，在无钥匙情况下启动发动机，同时还能辨别车内是否有驾驶员，打开车辆的音响系统以及闪大灯。

白帽类别还包括“灰帽”黑客，他们进行攻击是为了获取个人利益，通常是金钱。

OEM厂商越来越倾向于提供付费连接服务和软件功能，而灰帽黑客不断寻找办法绕过安全措施以免费访问这些服务。

2022年7月，在一家德国OEM厂商宣布向车主收取加热座椅开通费后，黑客表示他们将免费解锁这一有争议的功能。此举遭到了车主的抵制，许多车主意欲破解该功能以避免付费。

表面上看，这些行动似乎无害，但灰帽攻击者入侵了付费服务并操控系统会影响OEM厂商的信誉和收入。此外，他们公布的漏洞（一般在深网和暗网论坛上）可能被恶意黑客利用。

汽车网络攻击基本上分为两大类：远程攻击（包括近距离（例如中间人攻击）和远距离（例如基于API的攻击）攻击），以及需要与车辆进行物理连接（例如OBD端口）的物理攻击。

自2010年以来，远程攻击的数量一直多于物理攻击。在2010年至2021年间，远程攻击的数量占所有攻击的85%，而2022年这一比例达到97%。远程攻击依赖于网络连接（例如Wi-Fi、蓝牙、3/4/5G网络），可能同时影响多辆车。

2022年7月，洛杉矶一家公司的安全研究员使用免费软件和用20美元购买的现成设备打开了一辆美国OEM汽车，这是短距离蓝牙攻击的一个例子。

攻击中，该研究员利用了“手机即钥匙”的无钥匙进入系统中的漏洞。许多OEM厂商使用“手机即钥匙”技术，这是一种基于蓝牙的无钥匙进入技术，很容易受到这类攻击。

由于越来越多的汽车依赖网络连接和API接口，远距离攻击在2022年有所增加。2022年6月，一家日本汽车供应商遭到勒索软件攻击，被迫关闭用于控制生产的计算机设施。

2022年11月，针对第三方IT提供商的网络攻击致丹麦最大的铁路公司停运。攻击目标是为铁路、交通基础设施和公共客运部门提供企业资产管理解决方案的公司，威胁主体的真正目的可能是中断铁路运营。攻击造成铁路服务瘫痪了数个小时。分析人士推测，相关IT提供商可能遭遇了勒索软件攻击。

通用漏洞评分系统（CVSS）旨在为CVE评级提供一种开放的标准化方法。CVSS为每个漏洞赋予基础、时间和环境属性，帮助组织确定联合响应的优先级并据此协调响应活动。漏洞根据CVSS得分划分为五级：“严重”、“高风险”、“中风险”、“低风险”、“无”。

自2019年以来，汽车行业共暴露347个CVE漏洞，其中2022年151个，而2021年为139。

安全团队、开发人员和研究人员使用多种方法评估风险，包括CVSS。CVSS评分可用于整个产品供应链，辨别漏洞是否已经被利用，确定漏洞修补的优先级，更有效地分配时间和人力资源。

ISO/SAE 21434标准在其风险评估过程中同样使用CVSS判断攻击的可行性。车队经理和运营商也应密切跟踪CVE。CVE不仅可能影响整个车队的风险评估，在进行战略性车队组建设计时也应加以考虑。

CVE是业界公认的分类网络安全风险，可方便快速地用于汽车生态系统。这些威胁常见于OEM产品中，但也可能出现在OEM供应链公司的产品中。

OEM厂商制造汽车时需要使用一级供应商提供的数百个软硬件模块进行组装。一级供应商构造这些模块时又需要从不同的二级供应商那里获取各种部件。各部件的质量和安全取决于其生产公司。因此，供应链中的每一家公司都有责任监督和确保各汽车相关产品的质量和安全。由于漏洞并不总能及时修复，甚至根本就不修复，因此常用软件模块或部件中的一个缺陷就可能影响数百万辆汽车。

黑客也可能在类似系统中寻找、利用CVE中披露的严重漏洞。

2022年，Upstream分析师分析的CVSS评分漏洞包括：

除了代价高昂的召回、品牌受损和数据丢失外，针对OEM厂商及零部件供应商的网络攻击还会导致生产停工。2022年3月，一家日本OEM厂商的供应链遭到网络攻击，导致日本14家工厂停工24小时。

OEM厂商严重依赖供应商，这加剧了网络攻击风险。专业黑客会利用一级或二级部件供应商的漏洞直接访问OEM厂商的网络，甚至车辆本身，就像2022年3月的事件一样。该事件中，两大日本OEM厂商被发现中继攻击漏洞，黑客可利用该漏洞远程解锁和启动相关车辆。研究人员在这些日本OEM厂商的一级供应商提供的远程无钥匙系统中发现了一个漏洞，可招致中间人攻击。

根据发布的视频证据，黑客可使用无线电发射器利用车辆的远程无钥匙系统。远程无钥匙系统对于所有请求均发送相同的射频（RF）代码，而不是在每次请求后更改代码，这样，附近的攻击者就能截获远程无钥匙系统发送的RF代码，然后使用这些代码解锁并远程启动汽车。

2022年8月，黑客组织对一家一级跨国供应商进行了勒索软件网络攻击，威胁公布该公司的数据。2022年11月，因该公司拒绝支付赎金，该组织在暗网泄密网站上标价5000万美元出售所有信息。

2022年9月，安全研究人员发现一家美国电动汽车OEM厂商存在CVE-2022-37709漏洞。该厂商的移动应用程序允许攻击者通过欺骗绕过身份认证，从而利用低功耗蓝牙功能对电动汽车的手机钥匙认证发起中间人攻击。利用该漏洞，攻击者可解锁车辆、启动发动机，最后将汽车开走。

随着电动汽车的普及，人们对充电设施和电网网络安全的担忧与日俱增。由于电动汽车的快速增长，充电设施也在相对快速地开发和部署，往往忽略了缺陷和漏洞。

充电桩容易受到物理和远程操控，一旦功能被控制，电动汽车用户就会面临欺诈、数据泄露甚至勒索软件攻击。此外，各种充电攻击向量 也带来了许多新威胁，这些攻击向量包括车辆到充电网络、电网到车辆和电网到车队。

2022年2月，在俄乌网络战中，俄罗斯M11高速公路上的电动汽车充电桩被一家乌克兰零部件供应商入侵。充电桩被禁用，并在屏幕上显示政治信息。在显示政治信息和视频之前，屏幕先是显示了一条英文错误提示“CALL SERVICE NO PLUGS AVAILABLE”（呼叫服务，无可用插头）。

汽车租赁、物流和快递公司等商业车队运营商越来越依赖网络连接和软件进行车辆管理，他们的网络安全风险成倍增加。2022年7月，某汽车租赁公司发生了数据泄露事件，对员工和客户造成影响。该事件发生的原因是有人未经授权访问了该公司网络上的敏感消费者数据。被泄露的数据类型包括姓名、直存款信息、医保码、出生日期、社保号、驾照号码、州身份识别码、护照号码和政府颁发的其他身份识别号码。

拼车、打车等智能出行服务逐渐普及，使用人数越来越多，成为了智能出行生态系统中的高风险目标。这些服务拥有数千名不同用户的敏感个人身份信息（PII）和支付数据。

2022年1月，一家美国出行服务公司报告称，针对司机和乘客的诈骗有所增加，并透露一名客户的账户被黑客入侵并锁定。该黑客设法激活了双因素身份认证，然后更改了密码，向客户的信用卡添加了一笔虚假费用。

2022年2月又发生了一起事件。有报道称，骗子伪造前述出行服务公司的应用程序，从客户那里窃取资金，之后该公司建议客户检查近期银行交易。

某些智能出行服务商通过基于API的应用程序直接控制车辆，这些应用程序若存在漏洞，可能会对车辆、驾乘人员以及公共基础设施带来风险。2022年9月，来自“匿名者”（Anonymous）的黑客攻击了一款打车应用程序，让所有可用的出租车去往同一地点，造成了大规模交通堵塞。

保险公司意识到，网络威胁状况直接影响着网联汽车的保费。保险公司利用网联车辆数据来判断哪些位置、哪类车辆和哪些部件通常更容易受到网络攻击，据此计算保费。

基于行为的新保险模式利用售后服务设备与保险公司共享远程通信信息，降低保费和保险成本。然而，恶意主体会利用这些设备中的漏洞操控数据或通信，进而入侵保险公司的IT网络。保险公司和远程通信供应商必须携手合作，确保远程通信基础设施的安全。

未来几年，全球自动驾驶汽车市场预计将呈指数级增长，有研究人员预计，到2030年，年均复合增长率将达到惊人的40%。许多利益相关者（包括OEM厂商、智能出行服务商、拼车服务商以及大型科技企业）正将创新迅速引入自动驾驶汽车领域。其他制造商也紧随其后。2022年发布的多个公告表明，自动驾驶车队的势头正劲，使效率和客户体验空前提升。

此外，新型传感器、新的软硬件功能以及通信类型带来了潜在漏洞，增加了未来攻击的可能性。

自动驾驶汽车配备并依赖导航传感器（如GPS、激光雷达、摄像头、毫米波雷达、惯性测量单元（IMU）等）从包括互联网和卫星在内的多个来源接收数据和方向。这就为攻击提供了可能。攻击者可能会让传感器检索到错误数据，或通过特制数据操控传感器功能。

2022年3月，杜克大学的研究人员演示了第一种攻击策略，对行业标准的自动驾驶汽车传感器做了手脚，使其无法准确判断附近物体的距离，或以为过近，或以为过远，因而检测不到。这种新攻击策略的实现手段是：向汽车的激光雷达传感器发射激光，制造虚假数据点。研究表明，将3D激光雷达数据点精心布置在相机2D视野范围的特定区域内，系统就会被误导，无法正常发挥功能。

2022年6月，一家大型科技企业拥有的电动自动驾驶出租车队完成了自动驾驶出租车（Robotaxi）的关键测试，开始生产。该公司演示了车辆如何在非结构化环境中以超人类安全水平完全自主运行。

同月，另一厂商的无人驾驶出租车在加利福尼亚州造成了长达数小时的交通堵塞。尽管这起事件不是由网络安全攻击引起的，但突显了未来仍存在潜在挑战。

2022年，农用车维修权争议屡见报端。希望自行修理设备的农民只能求助于在线论坛，在那里讨论软件漏洞、如何操作拖拉机系统并交换代码和数据。因此，该领域的黑客攻击出现增长。

2022年8月，在DefCon安全会议上，一个名为Sick Codes的黑客提及了一起新越狱事件。在对一家美国OEM厂商的两款主流拖拉机系统进行越狱后，可获得不受限制的Root访问权限。黑客将控制单元焊接在印刷电路板（PCB）上，绕过了拖拉机系统的所有安全措施，进而可以完全控制并使用触摸屏随意更改内容，包括解锁被屏蔽的制造商功能。农民可以利用这种漏洞完全控制自己的车辆。