?在本文中，我們將列出十大最常見的汽車及嵌入式網絡安全漏洞?

漏洞10：數字錯誤 Numeric Errors

數字錯誤可以指幾類不同的問題，包括：

包圍錯誤。

數組索引的不正確驗證。

整數溢出。

字節排序不正確。

數字類型之間的轉換不正確。

數字錯誤占所有漏洞的3%。

不正確的計算。

數字錯誤漏洞的一個常見位置是在數學計算。另外，如果數據從一個溢出，它就會受到這種漏洞的影響。

漏洞9：密碼學問題Cryptographic Issues

與密碼學的使用有關的弱點，經常讓許多開發者感到困惑。實踐中有很多動作可以導致密碼學問題，包括：

敏感數據的加密缺失。

密鑰管理錯誤。

缺少所需的加密步驟。

加密強度不足。

使用不安全或有風險的加密算法。

使用可逆的單向散列。

未正確使用隨機初始化。

不適當地使用RSA算法。

漏洞8：代碼注入Code Injection

任何人都可以向移動應用程序發送不受信任的數據，包括外部用戶、內部用戶、應用程序本身或移動設備上的其他惡意應用程序。攻擊者加載簡單的基于文本的攻擊，這些攻擊利用移動應用程序中目標解釋器的語法。而幾乎任何數據源都可以是注入向量。 作為社區中的一個常見漏洞。盡管這個漏洞主要出現在網站開發中，但當涉及到汽車的信息娛樂系統和其他復雜的嵌入式系統時，它仍然經常存在。

漏洞7：代碼Code

將代碼作為自己的漏洞可能看起來很奇怪，但我們談論的是任何不屬于特定類別的東西——所以認為這是一個包羅萬象的漏洞。形如：

密碼管理不善、存儲明文密碼、硬編碼密碼。

API 合同處理不當。

錯誤處理不當或缺失。

不恰當地處理時間和狀態。

代碼錯誤占所有漏洞的 4.4%。

代碼生成問題。

重要的是，開發人員不要自己進行加密——這顯然不值得。，因為逆向工程非常容易，當它的表現不如預期時，這也將讓許多工程師感到沮喪和尷尬。

漏洞6：資源管理Resource Management Errors

錯誤資源管理錯誤包括許多事情，如：

系統資源管理不當。

不受控制的資源消耗。

將私人資源轉移到新領域。

資源釋放或關閉不當。

非對稱資源消耗。

資源鎖定。

雙重免費，免費后使用。

資源池不足。

沒有非堆內存。

盡管這些問題在 C 和 C++ 等語言中更為常見，但牢記它們始終很重要。用Python和Java編碼的人常常認為他們對資源管理錯誤是免疫的，但事實并非如此。在這些語言中，很容易在不知不覺中達到內存耗盡的地步，而沒有意識到它正在發生。

漏洞5：不當的訪問控制 Improper Access Control

不當的訪問控制是指軟件不限制或錯誤地限制未授權的參與者對資源的訪問。包括：

權限管理不當。

所有權管理不當。

授權不當。

不正確的用戶管理。

不正確的身份驗證。

來源驗證錯誤。

對預期端點的通信通道限制不當。

漏洞 4：輸入驗證不當Improper Input Validation

不正確的輸入驗證包括從可能影響程序控制流或數據流的任何內容中獲取不正確或缺失的信息。包括以下內容：

不正確的路徑名限制。

不正確的路徑名等效解析。

配置設置的外部控制。

不適當的中和（命令注入、SQL 注入、跨站點腳本等）。

缺少 XML 驗證。

不正確的日志無效化。

對內存緩沖區邊界的限制不當。

不正確的數組索引驗證。

復制到緩沖區而不檢查大小。

不正確的空終止。

通常來說，開發人員從外部世界獲取信息的任何地方都可能包含在此漏洞中。

漏洞3：信息泄露Information Exposure

信息泄露是指有意或無意地將信息透露給未經明確授權的行為者。這種信息暴露往往是通過以下方式發生的。如：

發送的數據。

數據查詢。

差異性。

錯誤信息。

調試信息。

進程環境。

緩存。

索引私人數據。

開發人員往往會忘記通過錯誤消息和調試消息以及任何可能會進入日志文件的信息而泄露信息。出于這個原因，開發人員需要注意日志文件中的所有內容，并確信那里沒有任何可能對攻擊者有價值的信息。

漏洞2：訪問控制Access Control

訪問控制是與管理權限、特權或其他安全功能有關的任何弱點。包括：

沙盒問題（chroot環境）。

權限問題（不適當的繼承，允許的默認值，顛覆權限的符號鏈接。不當的權限保存，等等）。

不當的所有權管理。

不當的訪問控制

漏洞1：內存緩沖區問題Memory Buffer Problems

當軟件可以讀取或寫入內存緩沖區邊界之外的位置時，就會出現內存緩沖區問題。包括：

在復制時不檢查輸入的大小。

允許寫到任意位置的錯誤。

結語：如何在黑客虎視眈眈中保持安全

通過持續關注上述 Top10 漏洞，可以確保代碼保持相對安全。當然，及時發現了解資產的漏洞并加載補丁也是至關重要的——因為新的問題不斷會被發現。

Source: Top 10 Embedded Software Cybersecurity Vulnerabilities whitepaper

審核編輯 ：李倩