车联网软件定义汽车安全攻击示例

已于 2023-12-08 11:03:33 修改
阅读量1.7k 收藏 24
点赞数 19
分类专栏: 安全文献 文章标签: 汽车 车联网 安全
于 2023-12-08 10:57:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012206617/article/details/134871372
版权
安全文献 专栏收录该内容
137 篇文章 67 订阅 ¥19.90 ¥99.00
订阅专栏
本文探讨了车联网中软件定义汽车的安全问题,通过分析不同案例揭示了汽车漏洞,如权限校验缺失导致的恶意控车风险,供应链引入的安全漏洞等。建议加强车内网络隔离、控制车载APP接口访问,并重视供应链安全。
摘要由CSDN通过智能技术生成

目录

导言

名词解释

TBox

QNX介绍

ADB

威胁分析

研究过程中,都面临哪些困难与挑战?

案例

案例1,某国产汽车多处漏洞突破

问题1,系统服务缺乏权限校验,可导致恶意控车。

问题2,则是Tbox模块的,同样是其上游服务缺乏权限控制。

案例2,某个比赛中发现的整车控车漏洞

案例3,这个案例是由于供应链的引入导致的问题

案例4,供应链相关问题

总结

建议

参考链接

导言

现代的新能源汽车,其丰富的车载应用的引入以及娱乐化的提升,使得汽车更像一部手机。

件定义汽车的概念,2007年4月份,由IEEE首次提出。

真正带入大众视野的是特斯拉的商业模式的成功,特斯拉提出了以硬件为流量入口,软件为收费服务。打破了传统汽车卖车的一锤子买卖的商业模式,把汽车变成了一款能通过软件迭代开发,持续后向收费的产品。

实现软件定义汽车的核心思想,就是面向服务的思想,也就是把车内复杂的功能,以服务的形式满足各个应用场景的需求,这样使得软件开发变得更加敏捷和高效。但是大量的软件开发也引入了安全风险。

所以,面向服务的架构,最重要的就是分层,提到分层,一个我认为做的最好的

了解本专栏 订阅专栏 解锁全文
墨痕诉清风
关注
专栏目录
订阅专栏
汽车基础软件信息安全与AUTOSAR
酒无忧的博客
04-22 1455
随着汽车网联化和智能化,汽车不再孤立,越来越多地融入到互联网中。在这同时,汽车也慢慢成为潜在的网络攻击目标,汽车的网络安全已成为汽车安全的基础,受到越来越多的关注和重视。AUTOSAR 作为目前全球范围普遍认可的汽车嵌入式软件架构,已经集成的相关信息安全模块对实现信息安全需求有着充分的支持,例如保护车内通信或保护机密数据。由于 CP AUTOSAR 和 AP AUTOSAR 的体系结构不同,目前信息安全模块的相关技术实现也存在差异。在车载网络中,CAN 总线作为常用的通讯总线之一,其大部分数据是以明文方式广
车辆网络安全ISO/SAE 21434解读(十)TARA分析
xiaoxiabang的博客
12-23 4069
威胁分析和风险评估 (Threat analysis and risk assessment methods, 后文简称TARA)通过识别整车/系统的网络安全资产,分析其的潜在安全威胁,综合考虑威胁攻击可行性、危害影响等因素,识别出整车/系统可能存在的风险,并确定其风险等级,为网络安全正向开发、安全漏洞修复提供依据。
车联网安全之GPS欺骗
最新发布
白帽子凯哥哥的博客
06-04 1586
指定GPS数据,-f指定发射频率,指定频率为1575420000 即民用GPS L1波段频率,-s指定采样速率,指定采样速率2.6Msps,-x指定发射功率,开启天线增益,指定TX VGA(IF)为0、10、20不等(为了限制影响范围,最大为47,尽量不要使用),最后开启重复发射数据功能。这个项目的原理是gps-sdr-sim能根据指定的卫星信息文件、坐标信息、采样频率等参数输出二进制的信号文件,将这个二进制文件导入到USRP或者bladeRF之类的无线电射频设备上就可以实现GPS的伪造。
汽车信息安全标准ISO/SAE21434与UN/WP.29阅读总结
qq_33163046的博客
03-16 2万+
1 序言 广大干部 2 ISO/SAE21434标准 2021年8月31日,汽车信息安全领域首个国际标准ISO/SAE 21434“Road vehicles—Cybersecurity engineering(道路车辆 信息安全工程)”正式发布。 ISO21434标准定义了车辆网络安全的完整框架和产品网络安全生命周期的相关流程。 3 UN/WP.29标准 DGDG 3.1 R155 DGDGDG 3.2 R156 2020年6月,联合国世界车辆法规协调论坛(简称为UN/WP.29)发布
汽车MCU基于非对称算法的伪安全启动方案
辛勤搬砖的门卫的专栏
12-29 1722
介绍安全启动的一种实现方式
第八章 车联网安全
小原的博客
02-23 2404
第八章 车联网安全 车联网在给汽车和驾乘人员带来移动联网能力、远程和智能操控、新型信息服务、交通安全和效率提升等好处的同时,也让汽车和交通网路/平台与外部世界间有了更多接口和数据交互,从而使它们面临更多的安全风险。 8.1 车联网通信安全车联网和智能交通系统中,车、用户的智能手机等终端设备、交通基础设施、云平台、网络侧应用服务器等通过各种通信技术实现联网和信息交互。为了实现车联网安全,首先应保证这些消息交互的安全,即保证通信安全。 8.1.1 V2X通信安全 V2X通信包含车与车、车与路/车
车辆网络安全R155法规英文&翻译
辛勤搬砖的门卫的专栏
02-19 2470
联合国第155号法规-R155 Uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system 关于网络安全和网络安全管理体系的车辆认证的统一规定
车联网开源组件BusyBox漏洞分析及复现(CVE-2022-30065)
蛇矛实验室
02-21 1269
近日,国内多家安全实验室检测到了针对于智能网联汽车中使用都开源项目busybox漏洞,国外在2022年5月份报告了此漏洞,目前已经发布的CVE信息如下,信息中指出Busybox1.35-x版本中,awk应用由于use after free导致拒绝服务漏洞或可能获取代码执行权限。
综述:智能城市的车联网部署:应用、架构和挑战
Chahot的博客
03-31 3301
Deployment of IoV for Smart Cities: Applications, Architecture, and Challenges导论:车联网与智慧城市概述车联网应用ITS-BASED IoV应用程序智能城市相关的车联网应用车联网架构和车间交互模型分层的IoV架构车联网交互通信模型车联网车内交互通信模型车辆-传感器(V2S)交互模型车辆与驾驶员(V2D)交互模型设备到设备(D2D)交互模型车联网车辆间交互通信模型车辆到车辆交互模型(V2V)车到人的交互模型(V2P)车辆-路边设施(
入侵联网汽车.pdf
07-06
综上所述,《入侵联网汽车》全面覆盖了车联网安全的多个层面,从攻击者的视角出发,提供了系统性的安全测试和风险评估方法,对于从事物联网安全、智能汽车安全的专家和研究人员来说,是一份宝贵的参考资料。
AUTOSAR从入门到精通-【应用篇】面向车联网的车辆攻击方法及入侵检测
getusushu的博客
08-25 944
大量的传感器,实现汽车网络的信息交互,因此,车联网技术在城市交通规划、自动驾。车联网中的车辆安全问题,因此,需要具体分析车辆的安全风险,研究适合车载总线的。者了解车辆攻击的原理,可以对车载总线网络安全防护技术的进一步研究打下基础,同。络的信息交互日益频繁,这个网络可以是无线网络,也可以是有线网络,而且通信距离。上也没有了限制,因此,攻击车辆的方式变得多样化,攻击距离也没有了限制。排行驶的车辆,达到控制车辆部分功能的目的。析,可以控制汽车的转向系统、控制引擎、制动等功能,他们发表的白皮书详细的介绍。
车联网通信协议与通信安全
## 1.1 车联网通信协议的定义 车联网通信协议是指在车辆与车辆、车辆与基础设施、车辆与互联网之间进行信息交换和通信所采用的协议标准。它定义了数据传输的格式、数据交换的规则以及通信的流程,为车联网系统中的...
小米手机安装证书(安卓)
热门推荐
墨痕诉清风的博客
09-21 2万+
其二:设置——更多设置——系统安全——从SD卡安装里。其一:设置——WiFi——高级设置——安装证书。
Linux系统安装证书(ubuntu、centos7)
墨痕诉清风的博客
10-28 2万+
centos7安装根证书 1. 将证书复制到 /etc/pki/ca-trust/source/anchors/ 文件夹,本文以mitmproxy的https证书为例 cp /root/.mitmproxy/mitmproxy-ca-cert.cer /etc/pki/ca-trust/source/anchors/ 2. 移动到将此证书软连接至 /etc/ssl/certs/文件夹中 ln -s /etc/pki/ca-trust/source/anchors/mitmproxy-ca-c
http请求头中Referer的作用及危害
墨痕诉清风的博客
03-14 2万+
一、Referer Referer是HTTP请求header中的一部分,其表示请求当前资源的客户端来源,当浏览器(或模拟浏览器行为)向web服务器发送请求的时候,头部信息里会携带Referer。 例如:在 www.google.com 里有一个 www.baidu.com 超链接,当点击这个链接跳转到baidu的时候,浏览器向baidu发出的请求信息里就有:Referer=http://www.google.com Referer的正确拼写是referrfer,由于早期的HTTP规范的拼写错误,于
DGA域名介绍
墨痕诉清风的博客
01-28 1万+
一、引言 恶意软件如今已经发展为威胁网络安全的头号公敌,为了逃避安全设施的检测,其制作过程也越来越复杂,其中一个典型做法是在软件中集成DGA(Domain Generation Algorithm)算法,产生速变域名,该方式作为备用或者主要的与C2服务器通信的手段,可以构造更加鲁棒的僵尸网络,做到对感染肉鸡的持续性控制。对应地,针对DGA算法的研究现在也是安全圈讨论的热点话题,学术界和工业界也有大量DGA域名检测的工作,但是在实际使用中存在误报过多的现象。由于传统DNS使用明文进行数据传输,造成严重的用户
弱口令总结(什么是弱口令)
墨痕诉清风的博客
02-24 1万+
空口令 口令长度小于8 口令不应该为连续的某个字符(QQQQQQ) 账号密码相同(例:root:root) 口令与账号相反(例: root:toor) 口令纯数字(例:112312324234, 电话号) 口令纯字母(例:asdjfhask) 口令已数字代替字母(例:hello word, hell0 w0rd) 口令采用连续性组合(例:123456,abcdef,654321,fedcba) 近年来弱口令top字典集合(例:每年都会推出top100) 服务/设备默认出厂口令 (例:ht
Chrome浏览器导入证书(谷歌浏览器导入burpsuite证书)
墨痕诉清风的博客
08-31 1万+
输入地址:chrome://settings/security
IPS与IDS部署场景(直路部署,单臂部署,旁路部署,阻断)
墨痕诉清风的博客
09-07 1万+
NIP介绍 NIP简介: NIP是华为的IPS设备。 NIP出厂时固定接口板和扩展接口卡上的业务接口都划分为固定接口对,每对接口对之间相互独立并隔离。您可以将每对接口对视作一台虚拟IPS设备或IDS设备,基于不同的接口对配置不同的应用安全策略,满足不同的安全防护需求。 NIP的业务接口都工作在二层,能够不改变客户现有的网络拓扑结构,直接透明接入客户网络,且配置了缺省的威胁防护策略,接入网络后即可启动防护。 NIP产品默认开启阻截的签名的比率非常高,在不影响用户正常业务的情况下,可以最大程度地化解威
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨痕诉清风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值