隨著攻擊變得越來(lái)越復(fù)雜和頻繁,能給整個(gè)生態(tài)系統(tǒng)帶來(lái)大規(guī)模影響的大門已經(jīng)打開,智能移動(dòng)汽車?yán)嫦嚓P(guān)者必須意識(shí)到新興威脅以及它們對(duì)網(wǎng)絡(luò)韌性的潛在影響�。在2023年,網(wǎng)絡(luò)攻擊變得更加復(fù)雜和頻繁�����,針對(duì)各種車輛系統(tǒng)和組件�����,以及智能移動(dòng)平臺(tái)��、物聯(lián)網(wǎng)設(shè)備�����、應(yīng)用程序,并使整個(gè)行業(yè)快速意識(shí)到任何連接點(diǎn)都有遭受攻擊的風(fēng)險(xiǎn)�����。
這種攻擊格局推動(dòng)了自2022年以來(lái)出現(xiàn)的兩種新的攻擊途徑持續(xù)增長(zhǎng)��。這兩種途徑是智能移動(dòng)生態(tài)系統(tǒng)的核心:移動(dòng)應(yīng)用和服務(wù)API�,以及預(yù)計(jì)在未來(lái)十年取代內(nèi)燃機(jī)的電動(dòng)車充電基礎(chǔ)設(shè)施。
基于API的攻擊在2022年顯示出戲劇性的增長(zhǎng)����,占總事件的12%,增長(zhǎng)卻達(dá)到了驚人的380%���。展望未來(lái)���,我們預(yù)計(jì)基于API的攻擊趨勢(shì)將逐漸擴(kuò)大����,各種攻擊者將利用API漏洞進(jìn)行大規(guī)模攻擊。
在2023年�,針對(duì)汽車和智能移動(dòng)生態(tài)系統(tǒng)后端服務(wù)器(車聯(lián)網(wǎng)、應(yīng)用程序等)以及信息娛樂(lè)系統(tǒng)的事件急劇增加��。與服務(wù)器相關(guān)的事件從2022年的35%增長(zhǎng)到2023年的43%;與信息娛樂(lè)系統(tǒng)相關(guān)的事件幾乎翻了一番,從2022年的8%增長(zhǎng)到2023年的15%�。
這也是汽車網(wǎng)絡(luò)安全領(lǐng)域成熟度的體現(xiàn),以及攻擊者試圖獲取敏感數(shù)據(jù)��,并可能在大規(guī)模移動(dòng)資產(chǎn)上獲得車輛控制的結(jié)果��。
攻擊途徑分類
車聯(lián)網(wǎng)和應(yīng)用程序服務(wù)器
在車輛的整個(gè)使用壽命中���,車聯(lián)網(wǎng)和應(yīng)用程序服務(wù)器連接車輛從原始設(shè)備制造商(OEM)后端服務(wù)器��,以及車主那里收集���、傳輸和接收信息。這是通過(guò)使用兩種類型的服務(wù)器來(lái)實(shí)現(xiàn)的:與車輛通信的車聯(lián)網(wǎng)服務(wù)器�����,以及與車輛配套的應(yīng)用程序服務(wù)器���。
此外�����,一些車輛擁有與第三方通信的后端服務(wù)器�,比如保險(xiǎn)公司、汽車租賃公司���、電動(dòng)車充電網(wǎng)絡(luò)等���。通過(guò)利用后端服務(wù)器中的漏洞,黑客可以在車輛行駛途中對(duì)其進(jìn)行攻擊��。
在2023年6月����,汽車安全研究小組(ASRG)的一名安全研究員發(fā)現(xiàn)了MQTT中的多個(gè)漏洞,MQTT是一種在汽車中廣泛采用的網(wǎng)絡(luò)通信協(xié)議����,這些漏洞允許攻擊者訪問(wèn)甚至操縱普遍使用該協(xié)議的汽車遙測(cè)數(shù)據(jù)。
稱之為CVE-2023-3028的系列漏洞被識(shí)別出來(lái):
MQTT后端不要求認(rèn)證��,允許攻擊者進(jìn)行未授權(quán)連接�����。
車輛將其遙測(cè)數(shù)據(jù)(例如�,GPS定位���、速度�����、里程表��、燃油等)作為消息發(fā)布在公共主題中�����。后端也在公共主題中以MQTT帖子的形式向車輛發(fā)送指令��。因此�,攻擊者可以訪問(wèn)整個(gè)車隊(duì)的機(jī)密數(shù)據(jù)。
由車輛或后端發(fā)送的MQTT消息沒(méi)有進(jìn)行加密或認(rèn)證���。攻擊者可以創(chuàng)建并發(fā)布消息�,以冒充車輛或后端����。例如,攻擊者可以向后端發(fā)送關(guān)于車輛位置的錯(cuò)誤信息���。
后端服務(wù)器可以通過(guò)在公共主題上發(fā)送特定的MQTT消息���,將數(shù)據(jù)注入車輛的CAN總線����。因?yàn)檫@些消息沒(méi)有經(jīng)過(guò)認(rèn)證或加密�,攻擊者可以冒充后端,創(chuàng)建假消息���,并將CAN數(shù)據(jù)注入后端管理的任何車輛��。
無(wú)鑰匙進(jìn)入系統(tǒng)
現(xiàn)代車輛使用無(wú)鑰匙進(jìn)入系統(tǒng)來(lái)防止被盜���,這些系統(tǒng)包括配備非常強(qiáng)大的加密技術(shù)和防盜器的智能鑰匙。但無(wú)鑰匙進(jìn)入系統(tǒng)可能會(huì)適得其反��,因?yàn)檐囕v盜竊和車內(nèi)盜竊的情況在持續(xù)增加���。
黑客利用無(wú)線鑰匙操縱自由進(jìn)行攻擊���。公開可獲取的黑客教程和在網(wǎng)上無(wú)需注冊(cè)就能銷售的設(shè)備使得這些攻擊變得流行。
無(wú)線鑰匙配備有短距離無(wú)線電發(fā)射器���,當(dāng)它靠近車輛時(shí)��,它會(huì)向接收單元發(fā)送編碼的無(wú)線電信號(hào)���。通過(guò)可以截取和中繼、重放或完全干擾無(wú)線電信號(hào)的設(shè)備��,鑰匙和車輛之間的通信可以被操縱����。
鑰匙遙控器機(jī)制與車輛之間的通信可以通過(guò)幾種不同的方式遭到攻擊:
使用“實(shí)時(shí)”信號(hào)進(jìn)行中繼攻擊:在中繼攻擊中,黑客即使在鑰匙遙控器的信號(hào)超出范圍時(shí)����,也能截獲鑰匙遙控器與車輛之間的正常通信。黑客可以使用放置在車輛附近的發(fā)射器或中繼器來(lái)放大無(wú)線電信號(hào)�����,這樣就能放大并中繼一條消息來(lái)解鎖并啟動(dòng)車輛的引擎��。小偷越來(lái)越多地使用這種攻擊方式來(lái)截取放在車主家中的鑰匙遙控器的信號(hào)��。
使用存儲(chǔ)的信號(hào)進(jìn)行重播攻擊:在另一種類型的中繼攻擊中���,黑客截取鑰匙遙控器和車輛之間發(fā)送的信息����,并將其存儲(chǔ)以供后用。獲取了相關(guān)信息后��,黑客可以隨時(shí)解鎖車門或啟動(dòng)車輛的引擎���。
重新編排密鑰:一種更復(fù)雜且更昂貴的設(shè)備可以用來(lái)重新編程鑰匙遙控系統(tǒng)����,使原來(lái)的鑰匙變得無(wú)用���。這種重新編程設(shè)備連接到OBD端口�����,使得車輛小偷相對(duì)容易地完全控制車輛——它可以在網(wǎng)上合法購(gòu)得�����,并且被授權(quán)的機(jī)械師和服務(wù)中心使用��。
干擾密鑰卡和車輛之間的通信:車賊也可能使用信號(hào)干擾器進(jìn)入車輛���,該設(shè)備阻斷鑰匙遙控器和車輛之間的通訊�����。這種設(shè)備阻止車主鎖車,從而允許小偷自由進(jìn)入�。
使用CAN注入模擬無(wú)線密鑰卡EDU:黑客青睞的一種新型攻擊方法是CAN注入,犯罪分子廣泛使用它來(lái)盜竊車輛���。攻擊者可以使用連接到CAN線路并模仿無(wú)線鑰匙遙控器ECU的CAN注入器設(shè)備�����,繞過(guò)整個(gè)無(wú)鑰匙進(jìn)入系統(tǒng)���。
2023年1月,一位安全研究人員發(fā)現(xiàn)了一個(gè)漏洞�����,該漏洞在CVE-2022-38766中有所描述���,影響了一款法國(guó)原始設(shè)備制造商(OEM)車型的遠(yuǎn)程無(wú)鑰匙系統(tǒng)��。這個(gè)漏洞基于滾動(dòng)碼���,這是一系列用來(lái)防止重放攻擊的變化碼�����。在這個(gè)案例中���,研究人員發(fā)現(xiàn),系統(tǒng)并沒(méi)有生成新的滾動(dòng)碼���,而是對(duì)每一個(gè)開門請(qǐng)求使用相同的滾動(dòng)碼����。這個(gè)漏洞允許攻擊者攔截并重放信號(hào)��,使用專門的設(shè)備�����,操縱無(wú)鑰匙系統(tǒng)�����。
2023年2月,在有28輛車被盜后�,蘇格蘭格拉斯哥的警方向該市發(fā)出警告,提到無(wú)鑰匙車輛盜竊案件有所增加���。同一天����,英國(guó)薩?��?说木骄媸忻瘢瑹o(wú)鑰匙汽車盜竊案件激增��,一個(gè)月內(nèi)有五輛來(lái)自英國(guó)原始設(shè)備制造商的豪華SUV被盜�����。2023年3月至5月期間��,比利時(shí)滑鐵盧地區(qū)警察����、英國(guó)伍斯特郡警察以及德國(guó)法蘭克尼亞警察也做出了類似的公告。2023年8月�,英國(guó)政府宣布計(jì)劃禁止無(wú)鑰匙車輛黑客設(shè)備��,以試圖打擊不斷上升的車輛盜竊案件��,這些案件的年增長(zhǎng)率已經(jīng)飆升了25%�����。
2023年4月���,一位網(wǎng)絡(luò)安全研究人員披露了一種新的攻擊方法,稱為CAN注入�,它通過(guò)使用CAN注入器設(shè)備繞過(guò)了整個(gè)智能鑰匙系統(tǒng)。該設(shè)備可以從大燈連接器��、尾燈連接器連接到控制CAN總線�,甚至可以在CAN線旁邊打一個(gè)孔來(lái)冒充智能鑰匙ECU。研究人員在對(duì)2022年7月他的日本原始設(shè)備制造商車輛被盜進(jìn)行了長(zhǎng)時(shí)間的數(shù)字取證調(diào)查后����,發(fā)現(xiàn)了這種方法,此前他已經(jīng)遭遇過(guò)兩次失敗的嘗試�。
電子控制單元
電子控制單元(ECUs)負(fù)責(zé)發(fā)動(dòng)機(jī)、轉(zhuǎn)向���、制動(dòng)��、窗戶��、無(wú)鑰匙進(jìn)入和各種關(guān)鍵系統(tǒng)���,可能會(huì)受到干擾或操縱���。黑客嘗試操縱ECUs并通過(guò)同時(shí)運(yùn)行多個(gè)復(fù)雜系統(tǒng)來(lái)控制它們的功能。
2023年2月��,美國(guó)國(guó)家公路交通安全管理局(NHTSA)下令召回了近17000輛于2019年11月至2021年6月期間制造的日本原始設(shè)備制造商的SUV��。用于計(jì)算混合動(dòng)力電池輸出的混合動(dòng)力車輛控制ECU中的軟件可能無(wú)法按要求限制電池輸出�����,導(dǎo)致在某些條件下混合動(dòng)力系統(tǒng)完全關(guān)閉����。目前尚不清楚問(wèn)題的原因����,但它肯定可能演變成一個(gè)重大的網(wǎng)絡(luò)風(fēng)險(xiǎn)。
2023年11月��,一名黑客使用帶有微控制器的設(shè)備讀取了一輛日本原始設(shè)備制造商車輛的CAN總線,使他能夠在發(fā)動(dòng)機(jī)關(guān)閉時(shí)保持車輛的ACC(附件)繼電器通電�����,維持對(duì)立體聲和信息娛樂(lè)系統(tǒng)的供電�。這種類型的攻擊可能導(dǎo)致隱私侵犯,以及潛在地利用其他車輛系統(tǒng)�。
應(yīng)用程序編程接口
聯(lián)網(wǎng)汽車以及智能移動(dòng)物聯(lián)網(wǎng)和服務(wù)使用了廣泛的外部和內(nèi)部應(yīng)用程序編程接口(APIs),導(dǎo)致每月產(chǎn)生數(shù)十億次交易����。遠(yuǎn)程升級(jí)(OTA)和車聯(lián)網(wǎng)服務(wù)器、原始設(shè)備制造商的移動(dòng)應(yīng)用���、信息娛樂(lè)系統(tǒng)�����、移動(dòng)物聯(lián)網(wǎng)設(shè)備��、電動(dòng)汽車充電管理以及計(jì)費(fèi)應(yīng)用都嚴(yán)重依賴于APIs���。
APIs也呈現(xiàn)出重大的、可導(dǎo)致整個(gè)車隊(duì)范圍內(nèi)的大規(guī)模攻擊途徑,導(dǎo)致了各種網(wǎng)絡(luò)攻擊��,例如敏感個(gè)人身份信息(PII)的盜竊��、后端系統(tǒng)的操縱或惡意的遠(yuǎn)程車輛控制�。
與黑客攻擊其他類型的系統(tǒng)相比,API黑客攻擊相對(duì)成本效益高����,且能夠?qū)嵤┐笠?guī)模攻擊——它需要的技術(shù)專長(zhǎng)相對(duì)較低,使用標(biāo)準(zhǔn)技術(shù)�����,并且可以在沒(méi)有特殊硬件的情況下遠(yuǎn)程執(zhí)行�。在過(guò)去兩年中,汽車行業(yè)及其供應(yīng)鏈以及移動(dòng)設(shè)備和服務(wù)�����,由于基于API的攻擊而經(jīng)歷了數(shù)據(jù)和隱私泄露的顯著增加�����。
2023年1月�,一組安全研究人員發(fā)布了他們數(shù)月工作的詳細(xì)報(bào)告,探討了車聯(lián)網(wǎng)系統(tǒng)��、汽車API以及支持它們的基礎(chǔ)設(shè)施的安全性�����。他們?cè)?9個(gè)主要全球原始設(shè)備制造商和供應(yīng)商中發(fā)現(xiàn)了多個(gè)漏洞����,這些漏洞允許他們遠(yuǎn)程控制車輛并訪問(wèn)敏感的原始設(shè)備制造商和消費(fèi)者數(shù)據(jù)。
2023年3月�,一位安全研究員披露,他通過(guò)修改開發(fā)者應(yīng)用程序以使用生產(chǎn)API(這個(gè)API無(wú)意中通過(guò)加載旋轉(zhuǎn)器設(shè)置暴露出來(lái))來(lái)訪問(wèn)一個(gè)日本原始設(shè)備制造商的客戶關(guān)系管理數(shù)據(jù)庫(kù)�。一個(gè)配置錯(cuò)誤的API和缺乏適當(dāng)?shù)恼J(rèn)證與驗(yàn)證導(dǎo)致研究人員能夠訪問(wèn)姓名、地址��、電話號(hào)碼�、電子郵件地址、稅號(hào)以及該原始設(shè)備制造商客戶的車輛/服務(wù)/所有權(quán)歷史����。
2023年7月,安全研究人員報(bào)告了一個(gè)在瑞士供應(yīng)商的充電站管理系統(tǒng)(CSMS)平臺(tái)的API接口中發(fā)現(xiàn)的三個(gè)關(guān)鍵漏洞�����,允許攻擊者訪問(wèn)其他用戶上傳的文件,繞過(guò)所需的配置PIN碼(認(rèn)證)�,并劫持充電器的OCPP連接。
2023年11月�,ASRG的安全研究人員披露了一個(gè)漏洞,該漏洞在CVE-2023-6073中有描述�����,它允許攻擊者通過(guò)REST API調(diào)用使安裝在德國(guó)原始設(shè)備制造商車輛中的特定電子控制單元崩潰�,并不可逆轉(zhuǎn)地將音量調(diào)至最大。
同月����,一個(gè)流行的汽車平臺(tái)芯片二級(jí)供應(yīng)商披露了一個(gè)多模式呼叫處理器內(nèi)存損壞漏洞,在CVE-2023-22388中有描述����,該漏洞在處理位掩碼API時(shí)發(fā)生,導(dǎo)致意外行為和系統(tǒng)崩潰����。
移動(dòng)應(yīng)用程序
日益互聯(lián)和軟件定義的車輛使原始設(shè)備制造商能夠通過(guò)車輛伴侶應(yīng)用程序和第三方應(yīng)用程序提供遠(yuǎn)程服務(wù),允許車主方便地使用智能手機(jī)和設(shè)備控制關(guān)鍵功能���。使用移動(dòng)應(yīng)用程序���,用戶可以追蹤車輛位置、打開車門���、啟動(dòng)引擎����、打開輔助設(shè)備等等���,提供給駕駛員數(shù)字體驗(yàn)的同一應(yīng)用程序也可能被黑客利用來(lái)訪問(wèn)車輛和后端服務(wù)器���。伴侶應(yīng)用程序也可能存在常見(jiàn)的軟件漏洞,包括開源漏洞���、硬編碼憑證和API/后端服務(wù)器弱點(diǎn)�����。
原始設(shè)備制造商的伴侶和智能移動(dòng)應(yīng)用程序也可以被用來(lái)實(shí)施身份盜竊�,黑客可以利用移動(dòng)設(shè)備和應(yīng)用服務(wù)器中的漏洞����,獲得憑證并大規(guī)模侵害私人用戶信息�。
2023年5月����,安全研究人員報(bào)告了一個(gè)漏洞(CVE-2023-29857),被發(fā)現(xiàn)于某美國(guó)電動(dòng)車原始設(shè)備制造商的第三方應(yīng)用程序中�����,該漏洞允許攻擊者通過(guò)直接訪問(wèn)應(yīng)用程序鏈接來(lái)獲取敏感信息����。
2023年6月,巴基斯坦一個(gè)擁有超過(guò)1000萬(wàn)用戶的熱門叫車服務(wù)遭到黑客攻擊�,導(dǎo)致消費(fèi)者收到辱罵性信息和通知,據(jù)該公司稱�����,一個(gè)第三方通信API已經(jīng)被破壞�����。
信息娛樂(lè)系統(tǒng)
車載信息娛樂(lè)系統(tǒng)(IVI)是最常見(jiàn)的攻擊途徑之一��,它可以連接到互聯(lián)網(wǎng)��,可與移動(dòng)電話和藍(lán)牙設(shè)備進(jìn)行短程通信,因此它可以訪問(wèn)個(gè)人身份信息(PII)����。此外IVI系統(tǒng)通常會(huì)連接到車輛的內(nèi)部網(wǎng)絡(luò)�,構(gòu)成對(duì)車輛的嚴(yán)重風(fēng)險(xiǎn),成為惡意軟件滲透內(nèi)部系統(tǒng)的最小抵抗路徑�����。
2023年5月����,一名倡導(dǎo)在汽車行業(yè)實(shí)施開源的黑客成功地使用在線銷售的工具破解了一家日本原始設(shè)備制造商的信息娛樂(lè)系統(tǒng),并在GitHub上發(fā)布了利用該漏洞的證據(jù)�。黑客通過(guò)USB驅(qū)動(dòng)器成功安裝了多個(gè)應(yīng)用程序,包括文件管理器和一個(gè)使用傳輸控制協(xié)議的第三方應(yīng)用程序����。
2023年8月,來(lái)自德國(guó)的研究人員利用芯片制造商處理器上的電壓故障注入攻擊���,成功執(zhí)行了一家美國(guó)電動(dòng)車原始設(shè)備制造商的IVI系統(tǒng)越獄���,這給了他們幾乎不可撤銷的根權(quán)限�����。該攻擊允許研究人員在信息娛樂(lè)系統(tǒng)上運(yùn)行任意軟件����,并解鎖付費(fèi)功能�,如更快加速和加熱座椅。此外�,該漏洞促進(jìn)了車輛唯一密鑰(加密系統(tǒng)公鑰)的提取,該密鑰用于在原始設(shè)備制造商的內(nèi)部服務(wù)網(wǎng)絡(luò)上進(jìn)行認(rèn)證和授權(quán)��。通過(guò)漏洞獲得的根權(quán)限��,惡意行為者可以訪問(wèn)私人用戶數(shù)據(jù)���,解密加密的NVMe(非易失性內(nèi)存快速)存儲(chǔ)��,并操縱汽車的身份���。
電動(dòng)車充電基礎(chǔ)設(shè)施
提供可靠和安全的充電基礎(chǔ)設(shè)施對(duì)于加速電動(dòng)車的發(fā)展至關(guān)重要。但今天許多充電器�、充電基礎(chǔ)設(shè)施組件以及相關(guān)應(yīng)用程序容易受到物理和遠(yuǎn)程操縱,這可能會(huì)導(dǎo)致它們無(wú)法可靠地工作,使電動(dòng)車用戶面臨欺詐和勒索攻擊的風(fēng)險(xiǎn)�,并對(duì)充電網(wǎng)絡(luò)、當(dāng)?shù)仉娋W(wǎng)甚至大量汽車造成廣泛影響����。
2023年1月,一名黑客利用一款流行的屏幕共享程序��,獲得了一家美國(guó)電動(dòng)車充電公司新推出的350千瓦充電器的底層操作系統(tǒng)(OS)的訪問(wèn)權(quán)限�����。黑客能夠訪問(wèn)OS菜單����,打開網(wǎng)頁(yè)瀏覽器�,并導(dǎo)航到競(jìng)爭(zhēng)對(duì)手的網(wǎng)站,而充電器應(yīng)用程序仍在后臺(tái)運(yùn)行����。在此之前,發(fā)生了另一起事件�����,另一名黑客獲得了充電器關(guān)鍵設(shè)置的訪問(wèn)權(quán)限,可以查看過(guò)熱保護(hù)等設(shè)置��。
2023年6月�,安全研究人員發(fā)現(xiàn)了一個(gè)托管在公共云平臺(tái)的內(nèi)部數(shù)據(jù)庫(kù),約有1TB的日志數(shù)據(jù)沒(méi)有任何密碼保護(hù)�����。該數(shù)據(jù)庫(kù)屬于一家全球電動(dòng)車充電服務(wù)提供商���,在全球擁有數(shù)十萬(wàn)個(gè)電動(dòng)車充電站的網(wǎng)絡(luò)��,數(shù)據(jù)庫(kù)中包含了用戶的敏感信息:客戶姓名���、電子郵件地址、電話號(hào)碼����、帶有在網(wǎng)絡(luò)上充電的車輛運(yùn)營(yíng)商的姓名、車輛識(shí)別號(hào)(VIN)���、公共和住宅電動(dòng)車充電點(diǎn)的位置�����。
藍(lán)牙
藍(lán)牙是一種無(wú)線通信技術(shù)����,使用無(wú)線電頻率連接設(shè)備和共享數(shù)據(jù)。藍(lán)牙低功耗(BLE)是廠商為近距離通信而采納的標(biāo)準(zhǔn)協(xié)議�,用于解鎖車輛、住宅智能鎖��、商業(yè)建筑訪問(wèn)控制系統(tǒng)����、智能手機(jī)����、智能手表、筆記本電腦等設(shè)備之間的數(shù)據(jù)共享��。
2023年3月��,一組法國(guó)安全研究人員在一次黑客比賽中展示了����,如何利用漏洞入侵美國(guó)電動(dòng)車原始設(shè)備制造商(OEM)的車載信息娛樂(lè)系統(tǒng)(IVI)。該漏洞涉及到藍(lán)牙芯片組中的堆溢出漏洞和越界寫入錯(cuò)誤����,使研究人員獲得了對(duì)其他子系統(tǒng)的根訪問(wèn)權(quán)限���。更有意思的是,這個(gè)漏洞贏得了該比賽首個(gè)針對(duì)特別影響力大的漏洞和利用技術(shù)的二級(jí)獎(jiǎng)���,并獲得了25萬(wàn)美元的獎(jiǎng)金�����。
OTA更新
遠(yuǎn)程空中編程(Over-the-Air, OTA)是一種遠(yuǎn)程管理軟件的方法���,允許從中心位置通過(guò)網(wǎng)絡(luò)無(wú)線分發(fā)新軟件、固件或配置設(shè)置���。隨著軟件定義架構(gòu)的擴(kuò)展����,OTA更新使原始設(shè)備制造商(OEM)及其一級(jí)和二級(jí)供應(yīng)商能夠不斷更新軟件物料清單(SBOM)���,以提高車輛質(zhì)量�、安全性���、功能性���,并引入新功能�。
然而遠(yuǎn)程更新比物理更新更具風(fēng)險(xiǎn)��,因?yàn)闊o(wú)線通信可能影響大量的車輛��,甚至是整個(gè)品牌的網(wǎng)絡(luò)攻擊的大門����。
此外,更新對(duì)車輛的功能性至關(guān)重要��。OTA更新的失敗可能會(huì)導(dǎo)致嚴(yán)重的車輛故障���,正如2023年11月美國(guó)一家電動(dòng)車原始設(shè)備制造商所發(fā)生的那樣。該OEM發(fā)布了一個(gè)提供錯(cuò)誤修復(fù)和對(duì)特定功能的改進(jìn)的OTA更新��,然后突然取消了這個(gè)更新�。由于更新失敗,兩款車型的信息娛樂(lè)系統(tǒng)直接宕機(jī)��。OEM表示��,問(wèn)題是由人為錯(cuò)誤造成的,工作人員發(fā)送了錯(cuò)誤的版本和安全證書�,并表示將提供一個(gè)OTA更新來(lái)解決問(wèn)題。
V2X攻擊現(xiàn)在還處于起步階段��,但預(yù)計(jì)在未來(lái)幾年將變得更加頻繁
車聯(lián)網(wǎng)�����、智能出行��、車載/移動(dòng)物聯(lián)網(wǎng)以及其他服務(wù)要求連接車輛與服務(wù)器����、應(yīng)用程序和各種車輛組件共享數(shù)據(jù)。
車聯(lián)網(wǎng)(V2X)是一個(gè)集合術(shù)語(yǔ)���,指的是利用現(xiàn)有蜂窩網(wǎng)絡(luò)基礎(chǔ)設(shè)施�����,使車輛�、基礎(chǔ)設(shè)施和其他活躍的道路使用者能夠通過(guò)技術(shù)不斷進(jìn)行通信���。
在未來(lái)幾年內(nèi)�����,車輛將通過(guò)應(yīng)用程序編程接口(API)�����、傳感器����、攝像頭、雷達(dá)���、移動(dòng)物聯(lián)網(wǎng)模塊等不斷與周圍環(huán)境通信和互動(dòng)��,通過(guò)處理來(lái)自環(huán)境的各種輸入來(lái)增強(qiáng)車輛操作����。最強(qiáng)大的新增功能將是車輛與道路上的其他車輛(設(shè)備)之間通信的能力��,以及從外部來(lái)源(電動(dòng)車充電器或道路基礎(chǔ)設(shè)施)接收數(shù)據(jù)的能力����。
因此車輛將與周圍的整體環(huán)境進(jìn)行互動(dòng)��,包括進(jìn)入車道的行人、騎自行車的人�����、前方的交通狀況���,以及交叉路口交通信號(hào)�����、控制系統(tǒng)等數(shù)據(jù)���。V2X的未來(lái)將依賴于新的無(wú)線通信技術(shù),如DSRC和蜂窩V2X(C-V2X)����,這些技術(shù)在過(guò)去幾年已經(jīng)進(jìn)行了測(cè)試。C-V2X使用3GPP標(biāo)準(zhǔn)化的4G LTE或5G移動(dòng)蜂窩連接來(lái)交換車輛��、行人和路邊交通控制設(shè)備(如交通信號(hào)燈)之間的信息���。雖然DSRC和C-V2X都支持V2X的未來(lái)�����,但C-V2X使用的長(zhǎng)期演進(jìn)(LTE)被認(rèn)為是連接車輛生態(tài)系統(tǒng)的潛在規(guī)則改變者����,使用現(xiàn)有的蜂窩基礎(chǔ)設(shè)施將減少加速采用所需的努力,同時(shí)保證在高密度地點(diǎn)的高速通訊�����。
來(lái)源:FreeBuf
在線咨詢
在線咨詢
0371-63319761