在介绍具体攻击面和漏洞挖掘方法前,先介绍一些汽车独有的特殊攻击场景。通过这些场景,我们会看到汽车的小漏洞也会有大危害。
从攻击手法上说,针对汽车和物联网的攻击确实有很多相似点,而本章后续的很多内容都是与物联网安全共通的。但是汽车作为一种交通工具,与人的生命安全息息相关,有许多需要强安全保障的场景,这与我们平常使用的智能手机、智能电脑、智能音箱等物联网设备是完全不同的。
下面是一些汽车特有的攻击场景。
❑显示异常攻击。车辆的中控仪表盘显示车辆的当前状态,包括车速、剩余电量、警报等信息。如果攻击者能够造成状态信息异常,比如数据错乱、隐藏、卡顿、黑屏等,则会使驾驶员判断失误,很可能造成交通事故。而这种攻击对传统PC、手机的影响则微乎其微。
❑动力/制动系统DoS(拒绝服务)攻击。这是一个非常典型的场景。在车辆行驶过程中,制动系统DoS导致制动系统失灵,或动力系统DoS导致急停等,都会造成非常严重的后果。
❑解锁失效攻击。现在智能汽车都使用无线电子钥匙,不需要物理钥匙了。如果攻击者通过无线攻击技术使电子钥匙或电子门锁失效,那受害者将无法解锁汽车。
❑自动驾驶传感器攻击。自动驾驶是智能汽车的标志性功能,它通过传感器实时检测周围信息,并利用AI算法进一步形成对车辆的操作策略。攻击自动驾驶传感器可能导致自动驾驶策略出现错误,从而导致安全事故。
❑信息泄露攻击。汽车不仅仅是一个交通工具,还是一个私人空间。它承载了个人的地理位置、私密谈话等信息。为了更好地为用户提供便利,智能汽车配备了GPS、摄像头、行车记录仪等一系列传感器,随时都在记录发生的一切。因此在车联网环境下,信息泄露攻击可能造成很大的危害。
❑破解订阅攻击。这种攻击类似于破解收费软件。现在很多汽车将许多软件功能制作成订阅模式,即需要付费才能使用。这些软件功能很可能已经存在于汽车上,只是需要激活。因此,攻击者可以通过一系列手段,如刷写、篡改等,让付费软件功能免费启用。
以上列出的攻击场景是笔者总结的一些在汽车环境下特有的攻击思路,并不能代表汽车上的所有攻击场景。远程攻击、中程攻击、近程攻击等一系列常见攻击场景也存在于汽车上。