|
这套全新解决方案名为Uptane,脱胎自被广泛用于软件更新保护的TUF(The Update Framework)。Uptane由纽约大学坦登学院、密歇根大学交通研究所以及西南研究协会联合打造,且已经与美国国土安全部及科学与技术局签订合约以获取支持。 目前量产车辆中包含数十台计算设备——简称为ECU(即电子控制单元)——它们负责从安全设备(包括安全气囊、制动器、发动机与变速箱等)到娱乐系统的一切元素。而随着现代化汽车日益增长的复杂度水平,软件中存在漏洞的可能性亦随之不断提升。 为了解决这一难题,汽车制造商开始为ECU配备一项安全的Software Over-The-Air(无线软件,简称SOTA)更新功能,旨在确保该软件能够在无需访问服务站的情况下完成更新,最终减少召回情况并提升客户满意度。然而,黑客完全有可能利用这类软件更新机制安装恶意软件、病毒甚至勒索软件,并由此引发灾难性的后果。 2013年,韩国的软件更新与配置管理系统曾经遭遇过一波传播式攻击,并最终给多家银行及媒体企业造成高达约7.5亿美元的损失。臭名昭著的Target攻击与Flame恶意软件亦采用同样的传播方式,后者通过微软更新软件中的漏洞传播并导致伊朗浓缩铀离心机损坏。专家确认称,普通轿车与卡车也存在着类似的安全隐患。 纽约大学理工学院Justin Cappos教授表示,“尽管广泛传播型攻击活动仍然难度极高且成本高昂,但这样的实施条件仍在国家支持型网络恶意活动的可接受范围之内。现在是时候对基础设施加以保护了,特别是考虑到车辆当中电子器件数量的不断增加。” Uptane已经超越了TUF的既有功能,旨在帮助车辆软件解决其面临的各类独特难题。举例来说,其允许汽车制造商完全控制其中的关键性软件,并在适当时共享这一控制能力——例如执法机构需要调整车辆以提升越野性能时。另外,该项目还将帮助汽车制造商更为快速地部署针对已被利用之漏洞的对应安全修复程序,或者以远程且成本低廉的方式对车载电子产品进行更新。 Uptane框架地址:https://uptane./ E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com |
|
|
