雲安全聯盟CSA最新《聯網汽車安全觀察與建議》

E安全5月27日訊隨著聯網汽車電腦化以及通信生態系統不斷採用智慧道路基礎設施、智慧家居和智慧城市，保護聯網、智能及日益自主化的汽車免遭黑客和犯罪分子攻擊只會愈發艱難。

「雲安全聯盟」（CSA，研究安全問題並發布最佳實踐的技術工業組織）發布最新研究報告《聯網汽車安全觀察與建議》。

CSA在報告中指出，現代的汽車製造商偏向於用戶體驗，增加了越來越多的導航、引擎控制和車載娛樂系統，再加上外部新增的智能設備和聯網基礎設施，聯網汽車的攻擊面只會越來越寬。

報告提到，系統套系統（例如聯網汽車生態系統）存在許多互聯的點。其中任何一個點被攻擊，攻擊者便可以在整個生態系統中橫向活動攻擊其它點。

聯網汽車主要存在哪些安全風險

交互性：被攻擊面增加

聯網汽車已經與智能手機應用程序和智能家居系統（例如Amazon Echo ）交互。新增其它連接就意味著安全風險會加大。

簡單用例安全的重要性

例如，黑客也許能通過不安全的藍牙連接訪問車載立體聲系統，而車載立體聲系統又與安全關鍵系統相連接，例如加速器和制動器，以此根據車速提高和降低音量。因此報告明確指出，保護簡單的用例安全至關重要。

關於接收的信息安全

另一個問題是，隨著智能導航或自動駕駛系統普及度不斷提升，汽車將迅速依賴從其它汽車、基礎設施和移動應用程序接收的信息。因此，確保信息按預期傳送、未被篡改或由未經授權的實體發送，這一點相當重要。

發送欺騙信息會誤導自動駕駛車輛，甚至能夠誤導安裝有防撞安全軟體的人為駕駛車輛。

信息數據源必須可信，包括通過雲應用程序處理或從中獲取的數據流。報告作者推薦使用利用公共密鑰基礎設施（PKI）的非對稱加密。

這些研究人員支持使用大型汽車製造商支持、聯邦資助的密歇根大學科學家開發的安全證書管理系統（SCMS）。

然而，由於隱私問題排除了傳統的PKI證書結構（其中數字安全證書與身份關聯），因此，SCMS被批評太難管理。這樣的汽車系統允許被追蹤，因此SCMS使用隨機證書識別符，會隨機循壞，以便車輛或司機無法因證書被監視而被跟蹤。

但最重要的是，報告作者強調有必要在聯網汽車生態系統的所有技術開發階段融入安全與安全設計，尤其當聯網汽車生態系統經過發展，囊括了眾包流量數據和智慧道路基礎設施。

研究人員總結稱，為了打造安全的交通系統，聯網汽車技術開發團隊必須以全新的角度審視全局，制定設計過程中納入安全所需的政策、設計和操作。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！