R155的附录5是“威胁和响应缓解措施清单”。
附件由三部分组成。
A部分描述了威胁、漏洞和攻击方法的基线。
B部分描述了缓解针对车辆类型的威胁的措施。
C部分描述了针对车辆以外区域(如IT后端)的威胁的缓解措施。
A威胁、漏洞和攻击方法的基线
4.3.1后端服务器威胁
1 后端服务器被用作攻击车辆或提取数据的手段
工作人员滥用权限(内部攻击)
通过后门、未修补的系统软件漏洞、SQL攻击或其他手段来实现
对服务器的未经授权的物理访问(例如,通过U盘或其他连接到服务器的媒体进行访问)
2 后端服务器业务中断,影响车辆正常运行
对后端服务器的攻击使其停止运作,例如,它使其无法与车辆互动并提供它们所依赖的服务。
后端服务器上的车辆相关数据丢失或泄露(“数据泄露”)
工作人员滥用权限(内部攻击)
云中的信息丢失。当数据由第三方云服务提供商存储时,敏感数据可能因攻击或事故而丢失。
通过后门、未修补的系统软件漏洞、SQL攻击或其他手段来实现
对服务器的未经授权的物理访问(例如,通过U盘或其他连接到服务器的媒体进行访问)
因非故意的数据共享而造成的信息泄露(如管理错误)
4.3.2对车辆通信通道的威胁
车辆受接收到的信息或数据欺骗
冒名顶替的信息欺骗(如排队期间的802.11p V2X,GNSS信息等)。
Sybil攻击(为了欺骗其他车辆,仿佛道路上有许多车辆)。
利用通信信道对车辆持有的代码/数据进行未经授权的操作、删除或其他修改
通信渠道允许代码注入,例如,被篡改的软件二进制可能被注入通信流中
通信通道允许操纵车辆持有的数据/代码
通信通道允许覆盖车辆持有的数据/代码
通信渠道允许擦除车辆持有的数据/代码
通信通道允许向车辆引入数据/代码(写入数据代码)
通信通道允许接受或接受不可信/不可靠的或易受会话劫持/重放攻击的消息
接受来自不可靠或不信任的来源的信息
中间人攻击/会话劫持
重放攻击,例如对通信网关的攻击允许攻击者降低ECU的软件或网关的固件等级
信息容易泄露。例如,通过窃听通信或允许未经授权的访问敏感文件或文件夹
拦截信息/干扰辐射/监测通信
未经授权访问文件或数据
通过通信通道破坏车辆功能的拒绝服务攻击
向车辆信息系统发送大量的垃圾数据,使其无法正常提供服务
黑洞攻击,为了破坏车辆之间的通信,攻击者能够阻止车辆之间的信息
非特权用户能够获得特权访问车辆系统
一个没有特权的用户能够获得特权访问权,比如说root访问权
传播媒介中的病毒能够感染车辆系统
嵌入通信媒体的病毒感染了车辆系统
车辆接收的消息(例如X2V或诊断消息)或在其内部传输的消息包含恶意内容
恶意的内部(如CAN)信息---恶意代码
恶意的V2X信息,例如基础设施到车辆或车辆-车辆的信息(例如CAM、DENM)
恶意的诊断信息
恶意专有信息(例如通常由OEM或组件/系统/功能供应商发送的信息)
4.3.3 车辆因更新程序而受到威胁
误用或破坏更新程序
破坏空中软件更新程序的行为,包括制造系统更新程序或固件
破坏本地/物理软件更新程序,包括制造系统更新程序或固件
软件在更新程序前被操纵(因此被破坏),尽管更新程序是完整的
破坏软件提供者的加密密钥,允许无效的更新
拒绝合法更新的可能
对更新服务器或网络进行拒绝服务攻击,以阻止关键软件更新的推出和/或客户特定功能的解锁---DOS
4.3.4人为无意行为可能促进网络攻击而对车辆造成的威胁
15 合法的行为者能够在不知情的情况下为网络攻击提供便利
无辜的受害者(如业主、操作员或维修工程师)被骗采取了一项行动,导致无意中加载恶意软件或启用攻击---社会工程学
没有遵循规定的安全程序
4.3.5对车辆外部连通性和连接的威胁
16 通过操控车辆功能的连接,可以进行网络攻击,包括远程信息处理;允许远程操作的系统;以及使用短程无线通信的系统
操纵旨在远程操作系统的功能操作系统,如遥控钥匙、防盗器和充电桩
操纵车辆远程信息服务(如操纵敏感货物的温度测量敏感货物的温度测量,远程解锁货物门)
干扰短程无线系统或传感器
17 托管的第三方软件,例如娱乐应用程序,用作攻击车辆系统的手段
损坏的应用程序,或利用那些软件安全性差的软件安全问题,作为攻击车辆系统的一种方法
18 连接到外部接口的设备,如USB端口、OBD端口,用作攻击车载系统的手段
外部接口,如USB或其他端口被用作攻击点,例如通过代码注入
感染了病毒的媒体与车辆系统相连
诊断访问(如OBD端口的加密狗),用于促进攻击,如操纵车辆参数(直接或间接地)
4.3.6对车辆数据/代码的威胁
19 车辆数据/代码提取
从车辆系统中提取版权或专有软件(产品盗版)
未经授权获取车主的隐私信息,如个人身份、付款信息、地址簿信息、位置信息、车辆的电子标识等。位置信息、车辆的电子ID等
提取密码钥匙
20 操纵车辆数据/代码
非法/未经授权改变车辆的电子识别码身份证
身份欺诈,例如,如果一个用户想在与收费系统进行通信时显示另一个身份收费系统、制造商后端
规避监控系统的行动(例如黑客攻击/篡改/阻断信息,如ODR跟踪器数据,或运行次数)
篡改数据以伪造车辆的驾驶数据(如里程数、行驶速度、行驶方向等)
未经授权改变系统诊断数据
21 擦除数据/代码
未经授权删除/篡改系统事件日志
22 引入恶意软件
引入恶意软件或恶意软件活动
23 引入新软件或覆盖现有软件
捏造车辆控制系统或信息系统的软件
24 系统或操作的中断
拒绝服务,例如,这可能是通过淹没CAN总线在内部网络上触发的,或通过高频率的信息传递引发ECU的故障
25 车辆参数操纵
未经授权访问篡改车辆关键功能的配置参数车辆关键功能的参数,如制动数据、安全气囊展开阈值等
未经授权,篡改充电参数,如充电电压、充电功率、电池温度等
4.3.7 如果没有充分保护或加固,可能被利用的潜在漏洞
26 密码技术可能遭到破坏或应用不足
较短的加密密钥和较长的有效期相结合,使攻击者能够破解加密
没有充分使用加密算法来保护敏感系统
使用已经或即将废弃的加密算法
27 零部件或供应可能会受损,从而使车辆受到攻击
硬件或软件,被设计成能够进行攻击,或未能达到阻止攻击的设计标准
28 软件或硬件开发存在漏洞
软件漏洞。软件错误的存在可以成为潜在的可利用漏洞的基础。如果软件没有经过测试,以验证已知的坏代码/错误不存在,并减少未知的坏代码/错误的风险,这一点就尤其正确
使用开发中的剩余部分(如调试端口、JTAG端口、微处理器、开发证书、开发者密码......),允许访问ECU或允许攻击者获得更高的权限
29 网络设计引入漏洞
开放多余的互联网端口,提供对网络系统的访问
规避网络隔离以获得控制。具体的例子是使用无保护的网关,或接入点(如卡车拖车网关),规避保护措施,获得对其他网段的访问,以实施恶意行为,如发送任意的CAN总线信息
31 可能会发生意外的数据传输
信息泄露。当汽车更换用户时(如出售或被新的租用者用作租赁车辆),个人数据可能被泄露
32 系统的物理操作可能会引发攻击
操纵电子硬件,例如在车辆上添加未经授权的电子硬件以实现 "中间人 "攻击更换经授权的电子硬件(例如,用未经授权的电子硬件替换经授权的电子硬件(例如,传感器)。篡改传感器收集的信息(例如,用磁铁篡改连接到变速箱的霍尔效应传感器)