本月国家车联网信息安全漏洞共享平台(CNVD-IoV)收集整理涉及车联网的信息安全漏洞的基本情况如下:共收集和整理车联网相关漏洞152个,其中高危漏洞127个,中危漏洞25个。上述漏洞涉及行业主管部门、汽车企业、车联网相关资讯以及汽车零部件厂商等,均可对车联网用户数据、车辆数据的安全造成一定的危害。

漏洞分类统计

根据漏洞危害等级,本月收集的车联网安全相关漏洞情况如图1所示。

图1 本月漏洞危害等级分布

根据漏洞影响对象的类型,漏洞可分为Web漏洞、APP漏洞、车载系统漏洞、车联网设备漏洞等,本月车联网漏洞包括150个Web漏洞和2个APP漏洞。

漏洞涉及行业

根据车联网行业分布的特征,将车联网涉及的行业分为行业主管部门、车企、车联网服务、汽车零配件厂商、客货运行业、车联网金融、车联网资讯等。涉及不同行业的漏洞分布如图2所示。

图2 本月漏洞涉及行业分布

如上图所示,目前漏洞数最多的是汽车企业的漏洞,共占有收录漏洞总数的50%。车联网资讯、汽车零部件厂商的漏洞紧随其后,分别占11%和10%。行业主管部门和客货运行业的漏洞数量相同,都占8%。

 依据OWASP TOP10漏洞体系,对车联网行业相关漏洞分类型统计,其中弱口令、SQL注入、信息泄露漏洞数量位列前三,分别占收录漏洞总数的29%、28%、12%,如图3所示。

图3 本月漏洞类型分布

重要漏洞信息

根据漏洞造成的直接危害,我们重点关注车企行业的车联网漏洞。本月漏洞涉及15个国内知名车企厂家,其中漏洞类型包含弱口令、SQL注入、信息泄露、未授权访问、远程命令执行、逻辑缺陷以及服务端请求伪造等漏洞,均为OWASP TOP10高危漏洞,具体漏洞分布情况如图4所示。

图4 本月涉及车企漏洞类型分布

如上图所示,弱口令为本月涉及车企最多的漏洞,该漏洞简单直接,可以直接登陆后台,接管网站,其原因大多数是相关工作人员的疏忽懈怠。其次是SQL注入漏洞,攻击者可以利用SQL注入漏洞,通过构造恶意请求执行数据库命令,获取数据库敏感信息。这两个漏洞是web应用中普遍存在的,检测较为容易,利用方法也比较简单,且能造成严重后果。

声明:本文来自车联网安全应急中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。