Nul
En bil, der engang var simpelthen en måde at gå fra A til B, og hvorvidt eller ej du har købt en billig runaround eller en luksus model, er de alle bare havde ét formål: at rejse.
Men vores køretøjer er nu ved at blive klogere. Rear-view kameraer, GPS-baserede kort-assistenter, mobile apps, der selv kører funktioner og always-on tilslutning er ved at blive almindelige, som gennem Apple CarPlay og Google ‘ s Android Auto.
Køretøj-tilslutning giver en ny kanal til indsamling af data, er en værdifuld handelsvare for bilproducenter og teknologi leverandører. Men denne kanal kræver, at Internet er inkluderet — og dette, til gengæld har oprettet en kanal, som angreb kan udføres.
Det var tilbage i 2015, at cyberangreb, der opkræves mod vores transportmidler første hit i søgelyset. Forskere var i stand til at kompromittere Uconnect er tilsluttet i bilen for at fjernstyre en Jeep og sende den ud den vej.
Dette var kun begyndelsen. Et andet angreb, der involverer en Jeep tilladt angribere at overtage kontrollen af det bremser; sikkerhedshuller er fundet i køretøjer, som gør det muligt at frigøre; sårbarheder i infotainment-dashboards blev afsløret at give fjernadgang, og en udnyttelse blev udviklet, der kan deaktivere sikkerhedsfunktioner på de fleste moderne biler.
TechRepublic: PCI overholdelse glider for første gang i 6 år, men DET er stadig på toppen
Ingeniører og konsulenter fra IOActive har været tracking trusselsbilledet, der vedrører forbundet køretøjer, da 2016. Ifølge en hvidbog, der dokumenterer forskning (.PDF), der bygger på tusindvis af timer af arbejde på køretøjet hardware-systemer, moderne angrebsvektorer kan omfatte udnytter forbindelse til Bluetooth, trådløse forbindelser, Wi-Fi, sælger grænseflader, og ekstern storage som USB-drev.
IOActive har indsamlet data i løbet af 2016 – 2017 periode til at undersøge ligheder af sårbarheder, der vedrører forbundet køretøjer.
Forskerne siger, at de fleste af de sårbarheder, der findes i forbindelse køretøjer, der anses for “medium effekt,” og kan resultere i, at offentliggørelse af oplysninger og kompromitteret netværksforbindelser, som Man-in-The-Middle (MiTM) angreb eller aflytning.
Se også: Hackere kapre Jeeps en gang mere, dine bremser hører til dem
Men disse typer af fejl er ikke af de mest alvorlige slags-såsom dem, der tillade fjernkørsel af programkode (RCE) eller vedholdenhed i et system.
Ifølge virksomheden, dette er et “betydeligt fald” i antallet af kritiske effekt sårbarheder fra de foregående år, en reduktion på omkring 15 procent.
“Vi har set en betydelig vækst i design af systemer i køretøjet for at indarbejde sikkerhed fra start,” IOActive siger. “Dette omfatter at sikre, at de processer, der håndterer data, der kører med begrænsede rettigheder, som bidrager til at reducere virkningerne af de mest sandsynlige angreb.”
Når det kommer til sandsynligheden for, at sårbarheder udnyttes, forskning holdet, siger de fleste sårbarheder kunne enten “kun udnyttes af avancerede hackere eller kan kræve en anden kompromis, der kan udnyttes.”
De mest almindelige angreb vektorer, der er beskrevet i rapporten var lokale og net-baseret.
Lokale angreb kræver kreditering eller en anden form for fodfæste i det system, der henviser til, at net-baserede vektorer har et bredere anvendelsesområde og kan omfatte indtrængen gennem tredjeparts-systemer eller software.
CNET: Trump OKs ‘offensiv cyber-operationer’ som afskrækkende i forhold til AMERIKANSKE rivaler
Holdet har også bemærket en stigning i serie angreb, som kan ændre et køretøj firmware, aflytning på oplysninger, der udveksles mellem komponenter, og misbruger debugging-systemer.
Men fysisk adgang til en enhed er forpligtet til at drage fordel af dette angreb.
“Den store stigning i lokale-og seriel-angreb, der kan henføres til et skift i test metoder,” bemærker forskerne. “Som sikkerhed er blevet et mere udbredt bekymring for, at flere virksomheder leverer dokumentation og debugging adgang til at hjælpe med at identificere sårbarheder i deres systemer. Bilindustrien er også at tage mere af en interesse i lavere niveau sikkerhedsfunktioner, som secure boot, som er afspejlet i de områder, vi ender test.”
De mest almindelige rapporterede sårbarheder ved IOActive var kodning logiske fejl, som bypass program logik snarere end at udnytte tekniske fejl i data håndtering. Hertil kommer, hukommelse korruption sikkerhedshuller, rettighedsforøgelse fejl, og information lækager var også hyppige.
Rapporten har også undersøgt, hvordan bilproducenter tackle rensning af sikkerhedshuller. Lav-niveau rettelser, der for eksempel kan omfatte rettelser eller ændringer i konfigurationen; der henviser til, at kritiske sårbarheder kan kræve komplet system eftersyn.
IOActive fandt, at de fleste af de sårbarheder er nemme at lave, men som “lavt-hængende frugter” fejl kunne være løst med hurtige ændringer, den indsats, der kræves for at løse nye sårbarheder er gået op.
Den automotive industri er nødt til at være mere opmærksomme på bedste praksis i branchen, IOActive siger, da dette kunne løse mange af de problemer, som branchen står overfor, når det kommer til cybersikkerhed. Ved at følge retningslinjer, der er udstedt af grupper som OWASP eller Auto-ISAC, leverandører kan lære at forebygge sikkerhedsproblemer, såsom autentificering og filtrering problemer, som kan udnyttes af hackere.
Bilproducenter at forbedre deres cybersecurity praksis, men back-end-systemer, især behovet for at indhente det forsømte. Som trussel aktører er hele tiden at udvikle nye værktøjer, exploits, og taktik, de ansvarlige for den måde, vi rejser har et ansvar for at mindske sådanne trusler mod vores sikkerhed og privatlivets fred gennem udryddelse af sårbarheder, bedre patch management processer, og ved at følge branchens retningslinjer.
Tidligere og relaterede dækning
Små og mellemstore virksomheder står over omkostninger på op til $2,5 millioner efter en bruddet Apple MacOS Mojave nul-dag privatliv bypass sårbarhed viste VW-Audi sikkerhed: Flere infotainment fejl kunne give hackere fjernadgang
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0