黑客是如何攻击智能汽车的，主机厂如何安全防护？

    目前已有特斯拉出现安全风险，被腾讯和360发现过安全漏洞。很多漏洞不是汽车的攻能机械的安全风险。。。。。

    长期以来安全研究员不会告诉你任何的秘密，是如何分析汽车安全漏洞的？？？？？

（此处省略一万字废话）。。。。

   那么我们知道安全研究员，黑客是如何攻破汽车？这个话题，很大很大。。。这又是废话！

  智能汽车的攻击主要从远程攻击造成的风险为最大的安全威胁。

  黑客可以在全世界任意地方对自动驾驶汽车发起攻击，怎么攻击呢？攻击些什么呢？这又是需要废话连篇的内容的，请参考360每年都会发布的智能汽车信息安全威胁的报告！为360打个广告。

  那么我就站在黑客的角度上来说下，以下内容是黑客在攻击的时候，最喜欢利用的？那么这些东西在哪里？

 答案是在汽车ECU里面，车里面有很多ECU，比如娱乐中控系统，它也是ECU，有硬件就有软件，ECU里面有IMAGES固件，固件里面有什么？有封装好的源代码，以下以汽车中控系统的大屏的固件为例：

1.首先黑客或是安全研究员需要搞清楚源代码里面有哪些东西？这些东西都可能会泄露一些敏感的信息？！

2.收集好信息，那么就分析，如何IP，URL，EMIAL，配置文件，

3.当然前提条件是你需要有一个分析二进制固件的安全检测工具？》这才是重点.如果你在主机厂，那么就买一个来检测一下自己汽车的安全性？

4.笔者就曾经发现某个汽车TBOX固件泄露了后台固件的FTP地址，包含用户名密码和固件的下载地址。

5. 看到这里，请问你会说，那为什么汽车会有漏洞？

6.现在就告诉，都是研发写的代码有毛病导致！你是不是惊呆了？而且现在主机厂很多对汽车信息安全还在建立阶段，有的主机厂还没成立汽车信息安全部门，压根儿都是交个供应商来做，安全知识产品的一个属性，他们会一句话说，请把安全做好，然后就全部丢个汽车供应商来做了。

7.要说的是，汽车信息安全在合资汽车品牌相对来多是走来前列的，国内自主品牌吉利，北汽新能源也走在前列。

8.好了，笔记本要没电了，先更新在这里了，等我有电的时候，我会回来的。20190406 

如果大家有任何疑问，可以加我微信szhw520交流。

7.是的，秘密只是掌握在少数

• - Shell（SSH）密钥文件；
  -shell (SSH) key file;

• - 安全套接字层（SSL）密钥文件
  - secure socket layer (SSL) key file
• - IP地址
  - the IP address
• - URL
  - the URL
• - 邮件地址
  - email address
• - Shell 脚本文件
  - Shell script file
• - web服务二进制文件
  - web services binaries
• - 配置文件
  - configuration files
• - 数据库文件
  - database file
• - 特定的二进制文件（即Dropbear，BusyBox等）
  - specific binary files (i.e. Dropbear, BusyBox, etc.)
• - 共享对象库文件
  - share object library files
• - Web应用程序脚本变量
  - Web application script variables
• - Android应用程序包（APK）文件权限。
  - Android application package (APK) file permissions.