2014年车联网OBD产品和汽车应用安全研究报告.pdfVIP

Deep Visualization for Mobile Threats 2014 年车联网OBD 产品和 汽车移动应用安全研究报告 Copyright © 2014 VisualThreat, Inc. All Rights Reserved. 声明 本研究报告采用公开、合法的信息，由VisualThreat 信息安全司的研究人员运用相应的研 究方法，对所研究的对象做出的安全分析评判。本报告代表VisualThreat 观点，仅供读者 参考，并不构成任何建议。相关企业，应用开发者或者用户须根据情况自行判断， VisualThreat 对报告涉及到的品牌影响和用户的使用行为不负任何责任。VisualThreat 公司 力求信息的完整和准确，但是并不保证信息的完整性和准确性. 报告中提供的数据、观 点、文字等信息不构成任何法律证据不代表官方机构意见。如果对报告数据有异议，可 以联系VisualThreat 公司。如果报告中的研究对象发生变化，我们将不另行通知。未获得 VisualThreat 公司的书面授权，任何人不得对本报告进行任何形式的进行有悖原意的删节 和修改。如引用、刊发，需注明出处为“VisualThreat 信息安全公司” Copyright © 2014 VisualThreat, Inc. All Rights Reserved. 前言 2014 年是车联网的发展元年。ABI 研究公司预计到2017 年全球60%的新车将具备互联 网连接 【1】。移动设备的数量呈指数级增长，手机应用集成智能汽车的解决方案,比如苹 果的CarPlay 和谷歌的Android Auto 的开发接口，将会引发大量的和汽车有关的手机应 用的井喷；国内移动互联网公司开始和汽车制造厂商合作开发自有品牌的智能汽车；私家 车主开始通过租车公司把车子出租出去。车联网市场在 2014 上半年硝烟弥漫，智能汽车 将成为下一个黑客攻击目标，市场对车联网安全的需求也日益增长。 图1. 汽车攻击方式 汽车和安全放在一起就意味着生命，驾驶者的生命。计算机或者手机中毒，可以重装，数 据可以备份，然而一旦汽车受到攻击那就是生命的代价。手机不是威胁爆发的目的地，而 是一个能移动的威胁传输平台：攻击会随着手机的移动性进入到新的领域，由此攻击将扩 散开去。汽车随着汽车移动应用进入车载或者车载娱乐系统将变成潜在的攻击目标。2014 年7 月VisualThreat 在SyScan360 安全会议上 【2】成功演示了第一款对汽车进行攻击的 安卓应用：无需额外定制硬件电路，只要在网上购买现成的OBD 硬件设备，利用它们的安 全漏洞，就可以对汽车进行攻击。假设此类移动应用通过传统手机病毒传播方式作为汽车 病毒被下载到手机上，那么潜在攻击者则不需要对汽车技术有多深的理解，就可以进行汽 车攻击，这将使得攻击技术门槛变得很低，换句话说，汽车攻击就会发生在我们身边。 目前大多数车联网厂商使用自己开发的移动应用软件来为客户提供相关服务。不幸的是， 由于缺少规范的安全监管标准和流程，许多厂商不能对其硬件或者应用软件执行必要的安 全性测试，结果导致车联网移动应用中的漏洞会在不知不觉的情况下被黑客利用，将驾驶 者置于风险之中。我们的研究发现：不少 OBD2硬件盒子和相应的手机应用存在着严重的 安全漏洞隐患。 2014 年车联网OBD 产品和汽车移动应用安全研究报告 3 另一方面，智能汽车中的多达近百个ECU 控制器每天传输的数据高达百兆。车主的隐私保 护随着这些数据信息产生成为了一个重要的问题。车主最关心的问题是： “我的个人隐私 和从我的汽车中收集到私有信息是否已经在我未知情的情况下被其它人获取并利用了?” 事实上，众多的汽车移动应用完全可以通过OBD2接口利用蓝牙、无线或3 g / 4 g 网络收 集用户的个人隐私信息甚至发送危险指令来控制汽车甚至劫持汽车。相关的汽车隐私的法 规正在制定或者已经出台 【3-5】。 目前厂商上还没有一种专门抵御车联网攻击和监控汽车移动应用和 OBD2 通信接口的商业 化安全解决方案，汽车对黑客门户大开。手机病毒的一些常用的攻击伎俩,例如网络钓鱼 诈骗,车辆内物品偷窃