安全419
优质科技领域创作者
2024-11-9
20:52
10月,高通公司(Qualcomm)发布安全警告,称其多达64款芯片组中存在严重漏洞,由于首次被发现时已存在被利用的可能,因此归类于“零日漏洞”,被标识为CVE-2024-43047,CVSS评分为7.8。安全419聚焦汽车安全领域,与多家网安厂商和车企对话,透过高通零日漏洞事件,了解业内对车联网安全的见解与思考。
芯片漏洞冲击车企 隐藏何种潜在威胁?
漏洞涉及高通FastConnect、Snapdragon(骁龙)等多个系列共计64款芯片组,这不仅包括了智能手机、物联网设备,还涵盖了汽车智能座舱等关键组件。据了解,这一漏洞源于数字信号处理器(DSP)服务中的使用后释放(use-after-free)错误,可能导致内存损坏。在汽车领域,8195、8295这些车规级芯片也被漏洞影响。
这无疑对车联网安全敲响了警钟。绿盟科技创新研究院副院长刘大鹏指出,基于高通芯片的零日漏洞可能被黑客利用,对智能网联汽车实现远程控制,如控制汽车的行驶速度、制动刹车、车道转向等车控功能,进而增加事故风险,威胁生命安全。此外,攻击者可以通过0day漏洞入侵智能网联汽车的车载系统,如窃取车主的个人信息、车辆使用记录、绑定银行账户等敏感数据,甚至通过车载摄像头和麦克风进行偷窥和窃听等。
漏洞攻击如何掀起波澜 车企面临的问题与挑战
关于此次高通芯片存在的漏洞,格尔软件智能物联总经理陈建华认为,产生问题的原因是对传输参数检查的不够彻底,如果攻击者可以拿到芯片的控制权限或者使用权限,芯片运算返回错误结果,就会导致运用芯片的设备发生异常行为。攻击本身有门槛,要用芯片漏洞进行攻击,就要精心构造攻击场景,链条长、难度大,若被不法分子有心利用,后果不可估量。
芯片漏洞看似微小,其潜在危害不容小觑。在犬安科技创始人&CEO李均看来,芯片安全问题非常底层,越底层的故障可能越难修复。芯片漏洞不需要传播,通过供应链溯源,就可能发现芯片漏洞的存在。芯片一旦出现问题,如果没有办法彻底修复,那就给黑客留下更多利用漏洞的空间。
当前很多车端安全检测与防护技术手段是基于芯片之上的安全加固,大都针对系统层、网络层、传输层等进行威胁检测、防火墙等安全组件能力加固,因此汽车对这类
追加内容
本文作者可以追加内容哦 !
