灯塔实验室发《国内在线车联网平台安全威胁分析报告》

首页 / 业界 / 报告 /  正文
来源:安全419
发布于:11个月前
近日,灯塔实验室知风Zhifeng.io安全研究团队发布了《国内在线车联网平台(道路运输车辆卫星定位系统)安全威胁分析报告》。

车联网技术本身是指:车辆上的车载设备通过无线通信技术,对信息网络平台中的所有车辆动态信息进行有效利用,在车辆运行中提供不同的功能服务。车联网表现出以下几点特征为:能够为车与车之间的行驶提供保障,降低车辆发生碰撞事故的几率;可以帮助车主实时导航,并通过与其它车辆和网络系统的通信,提高交通运行的效率;帮助监管/监控方掌控车辆的实时、历史信息,提升车辆管控效率。

一旦车载终端通讯设备或车联网终端管理平台被黑客入侵,黑客可能间接或直接监控汽车的实时运行状态和车辆行驶轨迹,甚至可能对运行参数进行修改,这都将对正在运行的汽车造成不堪设想的后果。
车联网

报告中提到,终端与服务端的通讯协议是车联网平台中最基础、最重要的部分,起到连接和沟通两端的作用,交通部和各省交通厅都对此制定了相关标准。而在诸多通讯协议标准中, JT/T808协议标准作为交通部牵头定制的用于规定国内道路运输车辆卫星定位系统车载终端与平台之间的通讯协议标准,对各地方性协议标准的制定具有指导作用,并且被车联网平台所广泛应用,具有一定的权威性和通用性。团队们将从对JT/T808协议标准的分析入手,然后进一步分析车联网平台端存在的安全风险。

根据Zhifeng综合分析数据显示国内车联网平台分布情况如下:

车联网
 灯塔实验室知风安全分析团队研究发现,当前JT/T808车联网通讯协议中存在的风险主要来自三个方面,分别是:

1. 服务端厂商搭建的车联网平台WEB系统安全风险隐患。

2. 厂商根据通讯协议开发的通讯程序存在的隐患。

3. 通讯协议中设计逻辑存在的缺陷可能导致的安全风险。
    
针对以上风险,灯塔实验室知风安全分析团队建议:

1. 针对通讯协议层、通讯数据实施安全优化。

2. 互联网在线车联网平台的协议服务端针对异常逻辑的数据包采用不响应策略,有条件的情况下尝试升级成必要的加密通讯方式,按照加密规范来约束各个厂商之间的实现逻辑。

3. 厂商开发通讯程序时应严格按照协议标准规定进行开发,并应在上线前对程序进行安全测试。

4. 车联网平台WEB系统应该避免出现常见的弱口令、信息泄露、目录遍历、RCE等漏洞。

点击此处查看报告详情。