前言2023年智能汽车行业的快速发展引领了技术创新的新浪潮,智能化 为车主带来了丰富的体验,也为网络安全提出了新的挑战。木卫四汽车威胁情报中心对2023年智能汽车发生的安全事件进行了深入分析,研究了405起安全事件和168个针对汽车的CVE漏洞。在新增事件中涵盖了多种针对汽车资产和远程服务的威胁,例如利用电压故障注入攻击来绕过MCU-Z的AMD安全处理器,攻击特斯拉汽车信息娱乐系统;利用WebSocket通信机制的开放充电站协议(OCPP)漏洞,导致电动汽车充电站无法使用,并导致服务中断;利用T-Box漏洞导致MQTT服务器的地址泄露,攻击者向后端管理车辆的控制器局域网(CAN)注入控制数据等。虽然攻击方法正在增加,但是我们应该感到庆幸,在木卫四VSOC中所检测到的事件和情报中心分析的全球范围的安全事件及暗网的表现,2023年针对汽车的漏洞和攻击事件大部分源于研究性的破解和攻防比赛、车辆改装以及部分功能安全问题,并通过社区、漏洞应急中心进行了上报,这也为我们应对恶意的汽车网络安全威胁赢得了时间。随着GPT的兴起,在AI的协助下,诸如对汽车供应链信息的获取,编写攻击脚本,对二进制代码进行逆向分析,ECU固件分析,漏洞挖掘等攻击手段的门槛会进一步降低,攻击方法会呈现多样性;而随着AI在网络安全中的应用,不仅能够帮助我们更有效地识别和消除威胁,还能应对新型攻击手段,提高系统的防护性和可靠性。随着智能汽车系统变得越来越复杂,AI将成为预测和应对未知威胁的关键工具。智能汽车是否安全不再是单一零部件的问题,而是涉及汽车多种资产和智能化服务的复杂问题,涵盖了针对EEA、软件架构到数据处理,从用户隐私到合规的研究,在这一进程中,将面临新的挑战,同时也迎来新的机遇。01您将从2023年的报告中了解到的细节和洞察包括:通过对众多组织和安全事件分析,汽车网络安全威胁正持续从单点故障向业务侧迁移;从汽车域控制器到智能化服务,几个典型的Case Study;结合ATT&CK的攻击模型框架,受影响的汽车资产和业务,对今年典型安全事件的拆解;从车企如何更完善的应对汽车网络安全威胁角度出发,创新性提出了汽车安全指数。这篇对今年汽车安全关键情报信息的综合分析,希望能协助您进一步提升汽车网络安全能力并强化对汽车网络安全态势的感知。我们将要面对的是软件化带来的汽车工业的高速迭代和全球15亿辆车正在逐步接入到互联网的现状,汽车安全要跟上车厂的技术创新同步发展,而对手正在使用更多样技术试图侵害我们的车辆。随着汽车的每一次创新,可以预想攻击者也会寻找更多的利用方法。在木卫四,我们遵从通过创新的技术提供高可靠性和易于扩展的汽车网络安全解决方案和服务,从端到云,从机器学习到LLM,随着技术创新到产品的应用,正在实现“为安全出行保驾护航”这一使命。02威胁概况全球汽车安全研究机构与组织漏洞及事件的情况持续的威胁2023年典型攻击事件图面对多样攻击的应对方法Case Study-ADAS域控威胁Case Study-PEPS威胁Case Study-充电桩基础设施威胁车企网络安全指数安全建议产品与服务关于我们目录040506070809101112131517190340+2023年,木卫四汽车威胁情报中心持续监控和分析全球范围内智能汽车网络安全的最新动态。我们紧密跟踪全球40+汽车安全研究机构和组织,专注于分析400多起智能汽车领域的网络安全事件,并深入研究160多个智能汽车系统中存在的安全漏洞。我们研究发现当前面临的威胁涵盖了TSP服务、智能座舱、充电服务、车主APP、TBox以及数据泄露等方面。在Blackhat 2023会议上,柏林工业大学的三名博士研究生和安全研究员Oleg Drokin展示了破解特斯拉AMD Zen 1安全处理器(ASP)的过程。他们使用电压故障注入技术绕过了安全启动的固件完整性校验,成功提取固件并植入后门之后,重新烧录至Flash存储,从而获得车载信息娱乐系统的root权限。他们还研究了TPM对象的密封与解封过程,并从NVMe存储中提取了系统和用户的敏感数据。SaiFlow研究团队发现OCPP1.6 Websocket存在漏洞,该漏洞可能导致远程操作充电桩拒绝服务或实现免费充电。漏洞的具体影响取决于充电桩的本地配置,例如是否支持离线身份认证以及是否允许对...
