汽车信息安全威胁－金锄头文库

资源描述

《汽车信息安全威胁》由会员分享，可在线阅读，更多相关《汽车信息安全威胁（3页珍藏版）》请在金锄头文库上搜索。

1、GB/T XXXX-XXXX 13 A A 附录 A （资料性附录）信息安全威胁 A.1 车内系统信息安全威胁示例 A.1.1 软件系统的信息安全威胁示例表A.1列举了软件系统可能面临的信息安全威胁：表A.1 软件系统的信息安全威胁编号威胁描述 1 用户通过越权方式访问软件系统，包含两个方面： a) 普通用户能够通过非正常渠道篡改和提升其权限，从而访问权限外的数据和文件； b) 利用系统访问机制设置不恰当的漏洞（如没有对用户做最小权限设置），访问了不应访问的资源。 2 用户利用用户身份认证不充分或者默认账号密码未修改等问题，从而非法访问车内软件系统。 3 软件系统中存在不安全的远

2、程访问或者控制组件，如 Telnet、FTP、TFTP 以及其他不需要强认证和未加密传输的远程控制组件，攻击者利用这些不安全的软件组件进行远程非法访问车内系统。 4 软件系统中存在未移除或者禁止的功能业务未用的组件和协议端口，攻击者发现并利用这些隐藏的服务和端口攻击系统。 5 攻击者通过操纵软件升级的确认机制，让软件系统拒绝正常的软件升级，或者让车辆在不恰当的时间和地点进行停车升级软件。 6 攻击者通过重放合法的升级软件包，让汽车反复升级软件，干扰车辆正常工作。 7 车辆升级软件时，没有进行来源合法性和软件包的完整性等可信环节的检查，导致非法软件安装到车辆中。 8 车辆的软件系统没有足

3、够完备的信息安全日志或者其他事件记录系统，导致对攻击和异常行为不感知，也为事后的信息安全事故的调查、取证和追溯等方面带来困难。 9 软件系统缺乏可信的启动机制，导致系统运行被篡改过或者不完整的软件。 10 软件系统的访问认证机制缺乏防暴力破解措施，攻击者利用暴力方式直接破解访问的账号和密码。 11 软件系统尤其是数据库，对接收到的输入命令没有做格式的合法性校验，导致出现注入攻击。 12 软件系统存在“后门”，即存在绕过正常认证机制直接进入到系统的隐秘通道，如：组合键、鼠标特殊敲击、连接特定接口，使用特定客户端、使用特殊 URL 等方式无需采用正常认证即可直接进入系统，或者软件存在隐藏的访

4、问账号和远程访问通道等，攻击者一旦获得这些“后门”，就可以非法进入车内软件系统。 13 车辆软件系统缺乏预警与监控机制或预警与监控机制不充分，无法获知自身所面临的异常信息处理行为，导致用户或者后台服务器无法及时采取应对措施。 A.1.2 硬件的信息安全威胁示例表A.2列举了电子电气硬件可能面临的信息安全威胁： GB/T XXX-XXX 14 表A.2 电子电气硬件的信息安全威胁编号威胁描述 1 芯片缺乏独立的信息安全存储空间或可信计算空间去存储密钥、用户认证的生物特征信息等安全重要参数，从而导致泄密。比如通过 OS 内存泄密，在各种应用在执行认证时，直接访问接触到安全重要参数，

5、从而导致泄密。 2 攻击者针对芯片的信息安全存储的攻击，企图窃取安全重要参数，例如，实施侧信道攻击、故障注入攻击等物理攻击，以及穷举暴力攻击和信息安全协议攻击等逻辑攻击方式 3 攻击基于芯片的软件系统可信启动机制，破坏软件启动前的可信环境和可信证明过程，例如修改预存储的软件完整性校验值或者伪造软件的远程证明凭证等。 4 攻击者直接接入硬件调试接口，如 JTAG、串口或者能访问硬件的管脚 PIN，对 ECU 和芯片进行非法调试。 5 攻击者通过攻击物理设备或利用物理泄露进行攻击，对电子硬件实施物理注入攻击，包括入侵式攻击（如反向工程破解）、半入侵式注入攻击（如噪声注入、激光照射攻击等）和非

6、入侵式的侧通道攻击（通过电磁波、时序等分析密钥等）。 A.1.3 车内数据的信息安全威胁示例表A.3列举了车内数据可能面临的信息安全威胁：表A.3 车内数据的信息安全威胁编号威胁描述 1 车内系统对安全重要参数的存储，如通信密钥、车辆数字证书私钥、车辆长期 ID 等缺乏有效的保护措施，导致安全重要参数的信息泄露，例如采用明文存储、未采用专门的隔离区进行存储、加密安全重要参数的密钥采用固定密钥或者直接写死在代码中而导致加密密钥泄密问题。 2 车内系统对存储的车内数据缺乏有效的访问权限控制，导致攻击者通过各类通信通道非法窃取和篡改数据。 3 车内各类软件涉及安全重要参数的使用时，因

7、保护不当而导致泄露，比如缓存中存在加密密钥和认证凭证、信息安全日志或者其他记录文件记录了密钥和长期 ID 等信息。 4 车内系统的参数配置因缺乏有效的保护，比如发动机配置参数、控制算法的建模参数和感知系统的配置参数等，导致攻击者通过修改这些配置参数，进行车辆操纵。 5 车辆共享同样的安全重要参数，例如所有车辆使用同样的 root 口令，车辆软件对于外部输入数据检查及保护不足，导致代码注入攻击。 A.1.4 车内通信的信息安全威胁示例表A.4列举了车内通信可能面临的信息安全威胁：表A.4 车内通信的信息安全威胁编号威胁描述 1 由于车内网络未采用分区分域信息安全隔离方式，攻击者一

8、旦攻破某个单元，就可以利用攻破的点，对整个车内系统发起跨越式攻击。 2 车内网络连接缺乏对消息来源的真实性和完整性校验机制，导致攻击者一旦入侵了某个车内信息单元，就可以通过篡改消息和伪造消息，对车辆进行操纵。 3 车内网络系统缺乏防 DDoS 或者流控措施，某些信息单元被攻击者操纵或者功能故障后向车内总线发送大量的异常报文，导致车内通信系统拒绝服务。 4 攻击者截取合法报文，不断的进行重复发送，进行重放攻击。 GB/T XXXX-XXXX 15 5 通过 OBD 接口接入总线方式或者植入恶意软件的方式，监听车总线的控制消息，破解不同运行状态的控制消息内容。 A.2 车外通信的信息安全威

9、胁示例 A.2.1 车外远距离通信的信息安全威胁示例表A.5列举了车外远距离通信可能面临的信息安全威胁：表A.5 车外远距离通信的信息安全威胁编号威胁描述 1 对汽车实现通信欺骗，例如伪造基站或者路基通信设施身份，向车辆发送假冒的 V2X 消息或者卫星导航信息；伪造车辆 ID，采用女巫攻击方式，伪造出众多虚假车辆，影响车辆的正常行驶；伪造后端服务器身份，向汽车推送各种交互指令和伪造的软件升级包。 2 利用通信通道对车通信实施 DoS/DDoS 攻击，造成车辆的信息处理功能中断，例如发送各种通信协议的畸形报文、重放合法报文、大流量报文攻击等。 3 通过架设无线干扰器，干扰 V2X

10、或者卫星导航信号，造成车辆无法正常通信 4 车辆与车外系统之间的通信加密密钥被窃取或者采用明文方式通信，导致通信内容存在泄漏的风险。 5 车辆与车外系统之间通信通道的完整性保护密钥被窃取或者未采用完整性保护措施，导致通信内容被非法篡改。 6 采用中间人攻击方式，向车辆或者车外系统发送伪造的服务拒绝响应消息，干扰正常通信。 7 攻击者利用车的通信信道对车实施网络嗅探，例如 IP 端口扫描、ping 扫描、TCP syn 扫描等针对 IP 通信的嗅探。 8 车辆和各类后端服务器之间的通信缺乏端到端的信息安全保护机制，攻击者利用中间薄弱环节实施攻击，包括窃听、伪造身份通信、篡改通信内容等。 9

11、针对车辆的证书发放系统的攻击，例如恶意注入伪造的证书撤销列表 CRL 等。 A.2.2 车外近距离通信的信息安全威胁示例表A.6列举了车外近距离通信可能面临的信息安全威胁：表A.6 车外近距离通信的信息安全威胁编号威胁描述 1 利用门禁的无线通信信道，伪造门禁控制命令，例如采取无线中继放大器进行中间人攻击方式，分别向车钥匙和门禁系统发生伪造信号，骗取正确的应答信号，从而打开门禁甚至启动引擎。 2 通过无线通信信道破解车钥匙，例如通过暴力破解方式，反复向门禁系统发送控制信息，或者通过监听通信信道进行前向预测攻击、重放攻击、字典式攻击。 3 伪造近距离通信报文，比如伪造胎压管理系统 TPMS 的近距离通信消息，向相关 ECU 发送错误的胎压检测信息等。 4 攻击者通过各类接触式的通信接口，如 OBD 接口、充电桩接口、USB 接口等，入侵车内系统，包括植入恶意软件、修改车内的关键控制系统的参数配置、窃取车内数据、非法访问文件、注入非法数据等行为 5 针对车内的无线局域通信，如蓝牙和 WIFI，发起包括伪造 AP 和暴力破解方案的攻击，试图利用无线局域网非法接入车载系统

展开阅读全文