车联网漏洞信息月度通报-2018年11月

本月国家车联网信息安全漏洞共享平台（CNVD-IoV）收集整理涉及车联网的信息安全漏洞的基本情况如下：共收集和整理车联网相关漏洞152个，其中高危漏洞127个，中危漏洞25个。上述漏洞涉及行业主管部门、汽车企业、车联网相关资讯以及汽车零部件厂商等，均可对车联网用户数据、车辆数据的安全造成一定的危害。

01

—

漏洞分类统计

根据漏洞危害等级，本月收集的车联网安全相关漏洞情况如图1所示。

图1本月漏洞危害等级分布

根据漏洞影响对象的类型，漏洞可分为Web漏洞、APP漏洞、车载系统漏洞、车联网设备漏洞等，本月车联网漏洞包括150个Web漏洞和2个APP漏洞。

02

—

漏洞涉及行业

根据车联网行业分布的特征，将车联网涉及的行业分为行业主管部门、车企、车联网服务、汽车零配件厂商、客货运行业、车联网金融、车联网资讯等。涉及不同行业的漏洞分布如图2所示。

图2 本月漏洞涉及行业分布

如上图所示，目前漏洞数最多的是汽车企业的漏洞，共占有收录漏洞总数的50%。车联网资讯、汽车零部件厂商的漏洞紧随其后，分别占11%和10%。行业主管部门和客货运行业的漏洞数量相同，都占8%。

依据OWASP TOP10漏洞体系，对车联网行业相关漏洞分类型统计，其中弱口令、SQL注入、信息泄露漏洞数量位列前三，分别占收录漏洞总数的29%、28%、12%，如图3所示。

图3 本月漏洞类型分布

03

—

重要漏洞信息

根据漏洞造成的直接危害，我们重点关注车企行业的车联网漏洞。本月漏洞涉及15个国内知名车企厂家，其中漏洞类型包含弱口令、SQL注入、信息泄露、未授权访问、远程命令执行、逻辑缺陷以及服务端请求伪造等漏洞，均为OWASP TOP10高危漏洞，具体漏洞分布情况如图4所示。

图4 本月涉及车企漏洞类型分布

如上图所示，弱口令为本月涉及车企最多的漏洞，该漏洞简单直接，可以直接登陆后台，接管网站，其原因大多数是相关工作人员的疏忽懈怠。其次是SQL注入漏洞，攻击者可以利用SQL注入漏洞,通过构造恶意请求执行数据库命令，获取数据库敏感信息。这两个漏洞是web应用中普遍存在的，检测较为容易，利用方法也比较简单，且能造成严重后果。