인포테인먼트, 텔레매틱스, 진단 및 보안과 같은 자동차 시스템이 복잡해짐에 따라 적대적인 외부 행위자에 대한 노출 위협과 취약성이 비례하여 증가했습니다. 더 이상 사이버 위협이 데이터 유출, 절도 및 부패로 제한되지 않습니다. 제조업체와 모델에 관계없이 임베디드 또는 애프터마켓 연결 기능이 장착된 모든 차량의 전자 제어 장치를 위협할 수 있는 원치 않는 침입은 물리적 결과를 초래할 가능성이 있습니다.
개발자는 단순히 보안 허점을 막는 것 이상을 해야 합니다. 위협에 노출되기 훨씬 전에 취약성을 예측하고 보안 시스템을 강화해야 합니다.
핸즈프리 자동차 키트는 일반적으로 통화 처리 및 음악 스트리밍과 같은 기능을 구현하는 데 필요한 헤드셋, 전화번호부 액세스 및 고급 오디오 배포 프로필을 활용했습니다. 동일한 자동차 키트에서 전화번호부 데이터 절도 사례를 보고했습니다.
프로토콜 분석을 사용하여 Bluetooth 구현을 조사한 결과 잘못된 보안 모드가 채택되어 차량 키트에 대한 승인되지 않은 OPP(Object Push Profile) 풀 요청이 허용되어 개인 데이터의 승인되지 않은 다운로드가 발생했음이 밝혀졌습니다. OPP 서비스에 대한 필수 인증을 요구하는 올바른 보안 모드가 활성화되었습니다.
구현에 대한 추가 조사에서 자동차 키트가 OPP 악용에 필요한 구성 요소인 장치 주소의 무단 발견에 취약한 것으로 나타났습니다. 이 경우 카 키트는 페어링에 성공한 후 검색 모드에서 벗어나지 못하고 다른 장치에 계속 연결할 수 있습니다. 또한 페어링 실패 후 검색 모드 시간 초과 기간이 너무 길게 설정되어 적대적인 행위자가 연결할 수 있는 기회가 확장된 것으로 나타났습니다.
이러한 취약성은 성공적으로 수정되었으며 차량용 키트의 데이터 도용 노출이 최소화되었습니다.
커넥티드 카의 공격 표면은 차량의 중요한 안전 및 비안전 기능에 영향을 미치기 위해 맬웨어 또는 기타 공격이 약점을 악용하는 벡터 및 대상입니다. 이러한 공격 표면에는 자동차의 ECU(에어백, 엔진, 변속기, 브레이크, 조명 및 차체), 온보드 진단 시스템; 텔레매틱스 및 연결 전송; 열쇠가 없는 출입 및 도난 방지 시스템; 차량 간 통신 및 전용 단거리 통신; 그리고 인포테인먼트 시스템이 포함됩니다.
Teledyne LeCroy의 툴과 서비스는 이러한 각 벡터를 검사하여 통신 보안 프로토콜이 올바르게 구현되어 노출을 제한하고 대상 구성 요소가 최고 성능으로 작동하고 적대적인 공격을 막을 수 있는지 확인합니다.
Teledyne LeCroy Automotive Technology Center는 최고의 Bluetooth 디바이스 테스트 및 서비스 파트너로서 모든 주요 자동차 모델에 대한 적용 범위를 포함하여 3000개 이상의 디바이스로 구성된 방대한 디바이스 라이브러리를 보유하고 있습니다.
Teledyne LeCroy Automotive Technology Center
27007 Hills Tech Court
Farmington Hills, Michigan 48331