目前已有特斯拉出現安全風險,被騰訊和360發現過安全漏洞。很多漏洞不是汽車的攻能機械的安全風險。。。。。
長期以來安全研究員不會告訴你任何的祕密,是如何分析汽車安全漏洞的?????
(此處省略一萬字廢話)。。。。
那麼我們知道安全研究員,黑客是如何攻破汽車?這個話題,很大很大。。。這又是廢話!
智能汽車的攻擊主要從遠程攻擊造成的風險爲最大的安全威脅。
黑客可以在全世界任意地方對自動駕駛汽車發起攻擊,怎麼攻擊呢?攻擊些什麼呢?這又是需要廢話連篇的內容的,請參考360每年都會發布的智能汽車信息安全威脅的報告!爲360打個廣告。
那麼我就站在黑客的角度上來說下,以下內容是黑客在攻擊的時候,最喜歡利用的?那麼這些東西在哪裏?
答案是在汽車ECU裏面,車裏面有很多ECU,比如娛樂中控系統,它也是ECU,有硬件就有軟件,ECU裏面有IMAGES固件,固件裏面有什麼?有封裝好的源代碼,以下以汽車中控系統的大屏的固件爲例:
1.首先黑客或是安全研究員需要搞清楚源代碼裏面有哪些東西?這些東西都可能會泄露一些敏感的信息?!
2.收集好信息,那麼就分析,如何IP,URL,EMIAL,配置文件,
3.當然前提條件是你需要有一個分析二進制固件的安全檢測工具?》這纔是重點.如果你在主機廠,那麼就買一個來檢測一下自己汽車的安全性?
4.筆者就曾經發現某個汽車TBOX固件泄露了後臺固件的FTP地址,包含用戶名密碼和固件的下載地址。
5. 看到這裏,請問你會說,那爲什麼汽車會有漏洞?
6.現在就告訴,都是研發寫的代碼有毛病導致!你是不是驚呆了?而且現在主機廠很多對汽車信息安全還在建立階段,有的主機廠還沒成立汽車信息安全部門,壓根兒都是交個供應商來做,安全知識產品的一個屬性,他們會一句話說,請把安全做好,然後就全部丟個汽車供應商來做了。
7.要說的是,汽車信息安全在合資汽車品牌相對來多是走來前列的,國內自主品牌吉利,北汽新能源也走在前列。
8.好了,筆記本要沒電了,先更新在這裏了,等我有電的時候,我會回來的。20190406
如果大家有任何疑問,可以加我微信szhw520交流。
7.是的,祕密只是掌握在少數
- - Shell(SSH)密鑰文件;
-shell (SSH) key file;
- - 安全套接字層(SSL)密鑰文件
- secure socket layer (SSL) key file - - IP地址
- the IP address - - URL
- the URL - - 郵件地址
- email address - - Shell 腳本文件
- Shell script file - - web服務二進制文件
- web services binaries - - 配置文件
- configuration files - - 數據庫文件
- database file - - 特定的二進制文件(即Dropbear,BusyBox等)
- specific binary files (i.e. Dropbear, BusyBox, etc.) - - 共享對象庫文件
- share object library files - - Web應用程序腳本變量
- Web application script variables - - Android應用程序包(APK)文件權限。
- Android application package (APK) file permissions.