· 针对电动汽车的网络攻击激增 380%,其攻击手段主要是破坏充电站的正常运行和汽车本身的功能,以及窃取其中存储的数据。
· 远程车辆劫持、对充电站的潜在威胁以及恶意连接中断是危及电动汽车安全的三大网络风险。
不知您是否注意到,在最近今年,我们身边电动汽车的保有量大有赶超传统汽车的趋势。在今年年初一份来自第三方的报告可以看到,中国路面上行驶的电动车已达1460万辆,占全球总数的一半。在今年7月,全球前十电动车销量品牌中,中国独占四席。无论是出于创新还是环保的原因,越来越多的人选择购买电动汽车。然而,电动汽车天然具备的IT产品属性使其无法规避不法分子带来的安全威胁,它们为网络犯罪分子提供了新的攻击面。事实上,《全球汽车网络安全报告》显示,到 2022 年针对 API 的威胁激增高达 380%,占所有安全事件的 12%。
随着电动汽车采用更多技术创新且日趋互联,网络攻击的风险持续加剧。驾驶员的行车安全及其所生成数据的完整性都岌岌可危。CheckPoint认为,随着网络犯罪分子不断升级攻击手段,安全行业也必须立刻行动,实施变革来确保有效防御。要做到这一点,用户必须了解当前与电动汽车相关的风险。鉴于此,Check Point 软件技术公司要重点指出电动汽车网络犯罪分子实施不法手段的三个主要切入点:
1. 远程车辆劫持:想象一下,当用户正手握电动汽车的方向盘,平静地享受着驾驶乐趣时,突然失去对车辆的控制;车速减慢,方向盘失控旋转,或者发动机在没有踩油门的情况下猛然加速……一个隐形的驾驶员控制了车辆,而用户却束手无策。虽然这听起来像是电影中的幻想情节,但这种情况可能会变成现实。随着电动汽车日益自动化和互联,它们变得更容易受到网络攻击。掌握先进知识的网络犯罪分子可利用汽车电子系统的漏洞进行远程控制,所用手段听起来与间谍电影中情节的如出一辙。
2. 对充电站的潜在威胁:电动汽车充电站的威胁是影响网络安全的一个重要方面,但却往往被忽视,因此前往安全可信的充电桩充电至关重要。
· 操纵充电过程:当用户为电动汽车充电时,也许将面临着巨大的风险,因为攻击者可能会试图操纵充电过程:改变充电量、中断充电,甚至损坏电池,这可能会大大缩短车辆的使用寿命,并增加维护成本。
· 盗取个人数据:智能充电站会收集付款信息、充电模式和位置等信息。如果这些充电站没有采取充分的安全防护措施,网络犯罪分子就有可能获取访问权限,并借此实施身份盗用或金融欺诈。
· 散播恶意软件:攻击者可以入侵充电站,并借机向连接的电动汽车分发恶意软件,从而访问车辆的电子系统。
· 建立恶意连接:连网的充电站通常会连接到在线支付系统。拒绝服务 (DDoS) 攻击可能会携带大量恶意流量,造成服务中断并给用户带来不便。
3. 恶意破坏连接:自动驾驶汽车在很大程度上依赖于其自身与道路基础设施之间的通信。通过这些连接,它们可以共享有关交通、天气及其他驾驶影响因素的信息。然而,这种依赖性也为网络攻击提供了可乘之机,可能会造成严重后果。因为通过操纵数据传输,攻击者可能会诱使车辆做出错误的决策。通信故障不只影响一辆车,还会影响道路上的其他联网车辆,并且可能成为网络犯罪分子用来制造混乱和交通拥塞的漏洞。
Check Point 认为,考虑到日益严峻的气候变化形势,以及减少对石油依赖的需求,我们亟需过渡到更环保的运输方式。对网络安全的担忧可能会成为阻碍电动汽车市场未来发展的另一个障碍,汽车行业需要更加主动的应对安全挑战,才能使更多用户安心体验电动汽车带来的优势。
为了确保电动汽车的安全,用户应注意软件更新、避免连接公共 Wi-Fi,使用强密码,并监控车辆的异常行为。驾驶员还应及时向制造商报告所遇的问题。使用充电站时,务必要核实充电站的真实性,并使用安全连接。电动汽车制造商应确保使用安全软件,让安全防护贯穿软硬件部署操作流程,并践行“最小权限”原则以限制对所用软件的访问。
互联电动汽车的未来令人期待,但也带来了巨大的安全挑战。为了从这项新技术中充分获益,我们必须有效应对现有及新兴挑战并确保软硬件部署的安全性。