· 針對電動汽車的網絡攻擊激增 380%,其攻擊手段主要是破壞充電站的正常運行和汽車本身的功能,以及竊取其中存儲的數據。
· 遠程車輛劫持、對充電站的潛在威脅以及惡意連接中斷是危及電動汽車安全的三大網絡風險。
不知您是否注意到,在最近今年,我們身邊電動汽車的保有量大有趕超傳統汽車的趨勢。在今年年初一份來自第三方的報告可以看到,中國路面上行駛的電動車已達1460萬輛,占全球總數的一半。在今年7月,全球前十電動車銷量品牌中,中國獨占四席。無論是出于創新還是環保的原因,越來越多的人選擇購買電動汽車。然而,電動汽車天然具備的IT產品屬性使其無法規避不法分子帶來的安全威脅,它們為網絡犯罪分子提供了新的攻擊面。事實上,《全球汽車網絡安全報告》顯示,到 2022 年針對 API 的威脅激增高達 380%,占所有安全事件的 12%。
隨著電動汽車采用更多技術創新且日趨互聯,網絡攻擊的風險持續加劇。駕駛員的行車安全及其所生成數據的完整性都岌岌可危。CheckPoint認為,隨著網絡犯罪分子不斷升級攻擊手段,安全行業也必須立刻行動,實施變革來確保有效防御。要做到這一點,用戶必須了解當前與電動汽車相關的風險。鑒于此,Check Point 軟件技術公司要重點指出電動汽車網絡犯罪分子實施不法手段的三個主要切入點:
1. 遠程車輛劫持:想象一下,當用戶正手握電動汽車的方向盤,平靜地享受著駕駛樂趣時,突然失去對車輛的控制;車速減慢,方向盤失控旋轉,或者發動機在沒有踩油門的情況下猛然加速……一個隱形的駕駛員控制了車輛,而用戶卻束手無策。雖然這聽起來像是電影中的幻想情節,但這種情況可能會變成現實。隨著電動汽車日益自動化和互聯,它們變得更容易受到網絡攻擊。掌握先進知識的網絡犯罪分子可利用汽車電子系統的漏洞進行遠程控制,所用手段聽起來與間諜電影中情節的如出一轍。
2. 對充電站的潛在威脅:電動汽車充電站的威脅是影響網絡安全的一個重要方面,但卻往往被忽視,因此前往安全可信的充電樁充電至關重要。
· 操縱充電過程:當用戶為電動汽車充電時,也許將面臨著巨大的風險,因為攻擊者可能會試圖操縱充電過程:改變充電量、中斷充電,甚至損壞電池,這可能會大大縮短車輛的使用壽命,并增加維護成本。
· 盜取個人數據:智能充電站會收集付款信息、充電模式和位置等信息。如果這些充電站沒有采取充分的安全防護措施,網絡犯罪分子就有可能獲取訪問權限,并借此實施身份盜用或金融欺詐。
· 散播惡意軟件:攻擊者可以入侵充電站,并借機向連接的電動汽車分發惡意軟件,從而訪問車輛的電子系統。
· 建立惡意連接:連網的充電站通常會連接到在線支付系統。拒絕服務 (DDoS) 攻擊可能會攜帶大量惡意流量,造成服務中斷并給用戶帶來不便。
3. 惡意破壞連接:自動駕駛汽車在很大程度上依賴于其自身與道路基礎設施之間的通信。通過這些連接,它們可以共享有關交通、天氣及其他駕駛影響因素的信息。然而,這種依賴性也為網絡攻擊提供了可乘之機,可能會造成嚴重后果。因為通過操縱數據傳輸,攻擊者可能會誘使車輛做出錯誤的決策。通信故障不只影響一輛車,還會影響道路上的其他聯網車輛,并且可能成為網絡犯罪分子用來制造混亂和交通擁塞的漏洞。
Check Point 認為,考慮到日益嚴峻的氣候變化形勢,以及減少對石油依賴的需求,我們亟需過渡到更環保的運輸方式。對網絡安全的擔憂可能會成為阻礙電動汽車市場未來發展的另一個障礙,汽車行業需要更加主動的應對安全挑戰,才能使更多用戶安心體驗電動汽車帶來的優勢。
為了確保電動汽車的安全,用戶應注意軟件更新、避免連接公共 Wi-Fi,使用強密碼,并監控車輛的異常行為。駕駛員還應及時向制造商報告所遇的問題。使用充電站時,務必要核實充電站的真實性,并使用安全連接。電動汽車制造商應確保使用安全軟件,讓安全防護貫穿軟硬件部署操作流程,并踐行“最小權限”原則以限制對所用軟件的訪問。
互聯電動汽車的未來令人期待,但也帶來了巨大的安全挑戰。為了從這項新技術中充分獲益,我們必須有效應對現有及新興挑戰并確保軟硬件部署的安全性。
