Más de 2 millones de vehículos Mercedes-Benz expuestos a vulnerabilidades de seguridad: ¿Cómo pueden los coches inteligentes resistir los ataques de los piratas informáticos?
El autor es muy reflexivo
▼
La “puerta de freno” de Toyota y la “puerta de airbag” de Takata... Los coches tradicionales han sido criticados por problemas de calidad. Se han producido retiradas del mercado a gran escala y algunas empresas de repuestos incluso han quebrado. Sin embargo, con el advenimiento de la era de la inteligencia automotriz, los ataques de piratas informáticos causados por vulnerabilidades del software de los vehículos se convertirán en una nueva amenaza que pondrá en peligro directamente los bienes sociales e incluso la seguridad personal. Aunque esto parezca alarmista para la mayoría de las personas, con la exposición de algunos casos que eran desconocidos en el pasado, una realidad cada vez más sombría se está desplegando ante nosotros.
Noviembre 2019, ¿360? El equipo de investigación de seguridad de SKY-GO anunció que ellos y Mercedes-Benz descubrieron y solucionaron 19 vulnerabilidades de seguridad. A través de estas vulnerabilidades, los piratas informáticos pueden abrir puertas de automóviles, arrancar motores y otras operaciones de control de vehículos de forma remota en lotes, lo que afecta a más de 2 millones de automóviles que Mercedes-Benz ha vendido. Este es también el incidente de minería de vulnerabilidades relacionado con vehículos más extenso hasta la fecha.
360 "2065 438 09 Informe anual sobre seguridad de la información del vehículo inteligente conectado"
Sin embargo, la exposición de las vulnerabilidades de seguridad de Mercedes-Benz no es un incidente aislado. En el "Informe anual de seguridad de la información de vehículos conectados inteligentes de 2019" publicado por el equipo SKY-GO de 360 Company, el director de viajes vio que la industria mundial de viajes en automóvil sufrió pérdidas tan grandes debido a los ataques de piratas informáticos el año pasado.
"Hay una vulnerabilidad en la llave digital. ¿Ladrón roba modelo Tesla durante 30 segundos?"
En abril de 2019, Car2Go, empresa fundada por Daimler, robó 100 vehículos de lujo de Alta Los autos finales fueron robados en Chicago y se vieron obligados a dejar de operar en el área. Lo que es aún más aterrador es que algunos de estos vehículos también fueron utilizados en actividades ilegales, según investigadores relevantes, la aplicación del carGo fue pirateada y finalmente fue utilizada. Después de algunas detenciones, el fiscal del distrito presentó cargos contra 265.438 0 sospechosos, pero los daños ya estaban bajo el puente, y Car2Go anunció su retirada en junio de 2019 debido a múltiples factores del mercado chino y a la reducción gradual del negocio en el mercado norteamericano.
Se puede ver que la aplicación de llave digital para automóvil basada en teléfonos inteligentes ha brindado mucha comodidad, pero las deficiencias también son muy obvias. Según los informes, la seguridad de la llave digital no solo depende de. El chip de seguridad del operador (SE) y el sistema de entorno de ejecución confiable (TEE) en la llave del automóvil también dependen de la estrecha cooperación de todos los entornos en toda la lógica empresarial, como el servidor de seguridad y el protocolo de transmisión que utiliza canales de transmisión cifrados. y autenticación bidireccional. Si hay una laguna en cualquiera de estos enlaces, todo el proceso se descifrará, lo que permitirá a los piratas informáticos robar la privacidad del usuario e incluso obtener el control remoto del vehículo. Cree que para los propietarios de automóviles comunes, es importante elegir uno confiable. El uso de llaves de automóvil digitales en un determinado entorno de red puede ayudar a evitar este riesgo. Por ejemplo, es mejor conectarse a la red de un operador 4G para evitarlo. Una forma de evitar estos riesgos es clasificar periódicamente las amenazas a la seguridad y llevar a cabo una gestión de riesgos.
Sin embargo, debido a la falta de atención por parte de las empresas y proveedores de automóviles, se produjeron muchos ataques a aplicaciones móviles y claves digitales en Europa y Estados Unidos. Estados Unidos en 2019. En el Reino Unido, hubo más de 65,438 robos de vehículos con claves digitales en los primeros 65,438 09 meses de 2065, con un promedio de un robo cada 38 minutos y los ladrones generalmente cometen el delito en menos de 30 minutos. Segundos El ataque más famoso fue el robo de Tesla en Burroughwood, Inglaterra.
En el incidente, dos ladrones utilizaron equipos de ataque de retransmisión para robar 1 modelo de Tesla.
s. En el proceso, el ladrón utilizó un dispositivo de retransmisión y ahora la información emitida por la llave Tesla se recopila en la casa del propietario y se identifica y amplifica para crear un modelo. Pensó que las llaves estaban cerca del auto. En este proceso, el ladrón no diseñó un mecanismo para descifrar el algoritmo de autenticación de la llave y del vehículo. Sólo reprodujo la señal enviada por el dispositivo de retransmisión para recoger la llave del coche y no manipuló el contenido de la señal. El precio de los equipos de retransmisión también disminuye día a día, y algunos piratas informáticos incluso los venden ilegalmente en línea.
Posteriormente, Tesla actualizó el algoritmo de la llave del coche y solucionó la vulnerabilidad. Sin embargo, a través del análisis de los investigadores, se descubrió que los sistemas de claves digitales comunes tienen problemas como no habilitar la protección de lectura y escritura del firmware, utilizar protocolos de comunicación que carecen de un mecanismo de autenticación bidireccional y carecer de particiones de seguridad. En este incidente, el proveedor de llaves de Tesla también está proporcionando soluciones a muchos fabricantes de automóviles conocidos, lo que obviamente deja un vacío legal.
"En la era de los automóviles inteligentes, las vulnerabilidades de seguridad pueden multiplicarse".
Los lectores pueden haber escuchado si todo el vehículo se puede actualizar en línea, es decir, "OTA del vehículo completo". , se ha convertido en el estándar para juzgar si un automóvil es un "automóvil inteligente". Los vehículos se desarrollan gradualmente desde una arquitectura distribuida hasta una arquitectura centralizada de dominio y una arquitectura centralizada. En resumen, los vehículos se están volviendo más parecidos a los teléfonos inteligentes, con hardware menos dedicado a una función específica que antes. Al igual que la cámara ADAS de un automóvil, no solo se puede usar para detectar vehículos y señales de tránsito adelante, sino que también se puede usar como detector de limpiaparabrisas en el futuro.
Aunque este método puede mejorar el nivel de inteligencia del vehículo y reducir el costo del hardware, el hardware que disfruta * * * enfrentará amenazas de seguridad como llamadas ilegales y ocupación maliciosa. A medida que aumenta aún más la integración funcional de las ECU (microcontroladores) clave, el aumento del código conducirá a un aumento de las vulnerabilidades. Por ejemplo, el famoso incidente de "actualización de estacionamiento de la calle Chang'an" de NIO ES8 en 2019 se debió a que la compañía no proporcionó a los usuarios la función para finalizar la actualización y volver de manera segura a la versión disponible. Por lo tanto, el propietario del automóvil tuvo que esperar a que se completara la mejora del vehículo en la carretera principal de la calle Chang'an en ese momento. El jefe del equipo SKY-GO le dijo al director de viajes que si los piratas informáticos aprovechan esta vulnerabilidad, podría provocar que estos últimos utilicen un ataque de denegación de servicio, impidiendo que el vehículo arranque con normalidad.
Entonces la pregunta es: ¿cómo evitan las empresas de automóviles los riesgos de seguridad? Este problema debe resolverse desde los aspectos de desarrollo, monitoreo y operación de vehículos y sistemas.
En primer lugar, las empresas upstream y downstream de la cadena de la industria automotriz, incluidas las empresas y proveedores de automóviles, deben establecer un sistema de responsabilidad de seguridad e implementar estrictamente estándares de seguridad para desarrollar productos. En segundo lugar, las empresas automotrices no solo pueden defenderse pasivamente contra los ataques de piratas informáticos, sino también monitorear dinámicamente las superficies de ataque, como vehículos y servidores, para descubrir de manera proactiva comportamientos de ataque y bloquearlos de manera oportuna. Sólo de esta manera se podrá formar un bucle de seguridad cerrado, descubrir las amenazas a tiempo y publicar los parches a tiempo. Sólo resolviendo el problema antes de que cause un impacto grave podrán las empresas automotrices evitar las pérdidas causadas por los retiros del mercado y la publicidad negativa. Después de todo, como producto relacionado con la seguridad humana, los automóviles son más sensibles a la seguridad que los teléfonos móviles.
Finalmente, la construcción de un sistema de seguridad de la información del vehículo no es definitivamente una cuestión exclusiva de las empresas y proveedores de automóviles. Las empresas de ciberseguridad, las universidades e incluso los “sombrero blanco” (hackers positivos que informan sobre vulnerabilidades y proporcionan pistas para solucionarlas) deberían convertirse en nuevos aliados de las empresas automovilísticas en la era inteligente. En 2013, Tesla estableció el "Salón de la Fama de la Investigación de Seguridad" para honrar a los equipos de seguridad que descubrieron vulnerabilidades en los productos Tesla. SKY-GO de 360 y Cohen Lab de Tencent han estado en la lista muchas veces. En 2016, GM también cooperó con HackOne, una mortal plataforma de piratería de sombrero blanco, para lanzar un "programa de recompensas por vulnerabilidad". Mercedes-Benz, extrayendo lecciones de errores del pasado, también planea lanzar este año un "Premio a los informes de vulnerabilidad" centrado en la seguridad e invitar a personal técnico de todo el mundo para mejorar el factor de seguridad de la información de los vehículos.
Este artículo es de Autohome, el autor de Autohome, y no representa la posición de Autohome.