Эксперты из компании IOActive провели анализ автомобильных уязвимостей за последнее десятилетие. Оказалось, что автомобильная промышленность стала уделять больше внимания кибербезопасности, и количество критических багов резко снизилось.
В исследовании IOActive были рассмотрены уязвимости, обнаруженные за последние 10 лет, но акцент сделан на тенденции 2016, 2018 и 2022 годов. Компания разделила уязвимости на категории и сгруппировала с учетом их потенциального воздействия, вероятности их эксплуатации и общего уровня риска. Причем уровень риска рассчитывался исходя из возможного воздействия и вероятности эксплуатации.
В рамках классификации IOActive, критическими считаются уязвимости, которые могут использоваться удаленно, могут быть легко обнаружены, а последствия от их эксплуатации включают полную компрометацию каких-либо компонентов авто или представляют угрозу безопасности.
К высокорисковым недостаткам относятся те, которые могут быть использованы удаленно и почти не требуют специальной подготовки, а к последствиям их эксплуатации относятся частичный контроль над компонентами, раскрытие конфиденциальной информации и потенциальная угроза безопасности.
Оказалось, что количество критических автомобильных уязвимостей снизилось с 25% от общего числа в 2016 году до 10% в 2018 году и 12% в 2022 году. При этом доля высокорисковых уязвимостей постепенно снизилась с 25% в 2016 году до 21% в прошлом году.
В целом за последние 10 лет доля критических проблем упала на 13%, а высокорисковых — на 4%.
Если рассматривать уязвимости с точки зрения вероятности их эксплуатации, получается, что критические уязвимости составили лишь 1% от общего числа в 2022 году (по сравнению с 7% в 2016 году). Доля проблем с наиболее вероятной эксплуатацией так же упала до 16% в 2022 году (по сравнению с 21% в 2016 году). Это, по мнению IOActive, свидетельствует о том, что уязвимости становится сложнее эксплуатировать, а «векторы обнаружения уязвимостей становятся менее удаленными».
Исследователи считают, что в период с 2018 по 2022 год автомобильная промышленность извлекла уроки из своих первоначальных ошибок, и процесс разработки улучшился.
В целом за последние 10 лет доля критических багов с высокой вероятностью эксплуатации уменьшилась на 6% и 5% соответственно.
Аналитики связывают положительные тенденции с тем, что автомобильная промышленность стала внедрять кибербезопасность на более ранних этапах процесса разработки, а также теперь прилагает усилия для нейтрализации наиболее вероятных векторов атак. Кроме того, отмечается, что уровень зрелости в области методов обеспечения кибербезопасности стал выше.
Что касается векторов атак, то в целом доля атак на физическое оборудование снизилась с 28% в 2016 году до 10% в 2022 году, однако возросло число локальных и сетевых атак. Зато в IOActive отметили незначительный, но очень важный рост (с 0% до 1%) радиочастотных атак, в частности на дистанционный бесключевой доступ и Bluetooth.
В заключение эксперты IOActive высказали свои опасения относительно будущего развития событий. Одно из них заключается в том, что, хотя критические уязвимости теперь встречаются все реже, злоумышленники могут прибегать к объединению нескольких менее серьезных недостатков друг с другом (количество которых наоборот растет), и не будут полагаться на эксплуатацию всего одного критического бага.
