作者 |王博文 上海控安可信軟件創(chuàng)新研究院研究員

來源 |鑒源實驗室

引言：近年來，汽車網(wǎng)絡安全攻擊事件頻發(fā)，而汽車智能化和網(wǎng)聯(lián)化所帶來的安全隱患也與日俱增，研究人員除了考慮如何加入防御措施之外，還應該站在攻擊者的角度來分析歷史的攻擊事件以及攻擊手段。

01汽車信息安全漏洞與攻擊

針對汽車的攻擊行為在近年來引起了較大的關注，但是對汽車的攻擊行為卻不是近年才有的。早期的攻擊汽車行為主要是破解汽車的防盜系統(tǒng)，對汽車或車內(nèi)財產(chǎn)進行盜竊。隨著智能網(wǎng)聯(lián)汽車的發(fā)展，汽車具有了更多潛在的入侵途徑。對汽車的攻擊行為包括了汽車非法功能激活、汽車控制以及隱私盜竊等多種行為。智能網(wǎng)聯(lián)汽車的環(huán)境增加了攻擊者入侵的途徑和可能性。惡意的攻擊者可能會通過奪取汽車的控制權對車主進行勒索，也可能在行車過程中引發(fā)安全事故，甚至有可能發(fā)動大規(guī)模的恐怖襲擊。

2011年，德國馬格德堡大學的研究員針對CAN總線網(wǎng)絡系統(tǒng)，展示了在車窗升降、汽車警示燈、安全氣囊控制以及中央網(wǎng)關控制系統(tǒng)四種攻擊場景下的安全隱患[1]。德國ESCRYPT公司的研究員提出了在新的網(wǎng)聯(lián)汽車環(huán)境下，需要對汽車內(nèi)部的數(shù)據(jù)安全做更好的保護[2]。除此之外，國際上還有很多針對車載網(wǎng)絡安全性分析的研究[3, 4]。

科恩實驗室在2016年和2017年對特斯拉汽車實現(xiàn)了無物理接觸攻擊。該安全漏洞可以實現(xiàn)汽車的車身控制和行車功能控制[5]。在該攻擊案例中，攻擊者的入口是中央信息顯示模塊CID。利用這個ECU中的Linux操作系統(tǒng)和瀏覽器的0 day漏洞。攻擊者成功地實現(xiàn)了通過蜂窩網(wǎng)絡從遠程接入了信息娛樂系統(tǒng)。當中央網(wǎng)關被攻破以后，整個車內(nèi)網(wǎng)絡的控制信號則都暴露在攻擊者面前。之后黑客可以通過中央網(wǎng)關發(fā)送各類CAN總線報文、UDS控制信號等，進而實現(xiàn)對車輛的遠程控制和攻擊。

2017年，荷蘭網(wǎng)絡安全公司Computest的研究員Daan Keuper和Thijs Alkemade通過對大眾和奧迪的多款車型進行挖掘，發(fā)現(xiàn)其車載信息娛樂系統(tǒng)中存在遠程利用漏洞[6]。攻擊者通過車載Wi-Fi設備接入了汽車的信息娛樂系統(tǒng)，再利用車載信息娛樂系統(tǒng)的漏洞，向CAN總線中發(fā)送CAN報文，最終實現(xiàn)了對中央屏幕、揚聲器和麥克風等裝置的控制。

為了解決汽車網(wǎng)絡安全問題，汽車廠商在近年來也投入了大量的精力。美國通用汽車公司在2016年1月與HackerOne合作啟動了了公共安全漏洞報告項目。特斯拉汽車公司、菲亞特克萊斯勒公司等也在BugCrowd的平臺上進行了漏洞懸賞，試圖在攻擊者利用漏洞進行攻擊之前發(fā)現(xiàn)并解決問題。

在美國，國家公路交通安全管理局（NHTSA）近年來一直致力于解決現(xiàn)代汽車網(wǎng)絡安全問題[7-9]。在日本，信息處理推進機構在2013年發(fā)布了汽車網(wǎng)絡信息安全指南，提出了IPA - Car安全模型[10]。

02攻擊案例分析

2.1 攻擊案例

2015年7月，兩名美國白帽黑客Chris Valasek和Charlie Miller成功侵入一輛正在行駛的JEEP自由光SUV的CAN總線網(wǎng)絡系統(tǒng)，向發(fā)動機、變速箱、制動和轉向等系統(tǒng)發(fā)送錯誤指令，最終使這輛車開翻到馬路邊的斜坡下。隨后，他們在8月全球最大的黑客大會上，發(fā)布了攻擊細節(jié)。該事件直接導致了克萊斯勒公司召回了140多萬輛汽車，而且該事件也是首起因汽車信息安全問題引發(fā)的汽車召回。

2.2事件分析

（1）攻擊對象

該事件的攻擊目標為2014款Jeep Cherokee，如圖1所示。他們之所以選擇這款車作為攻擊目標主要有兩方面的原因，一是根據(jù)他們之前的一些研究[11]，Jeep Cherokee相比與其他20款車型，電子電氣架構相對簡單，侵入到車內(nèi)總線相對比較容易；二是結合當時他們的成本，最終選擇了2014款Jeep Cherokee。

圖2 2014 Jeep Cherokee車內(nèi)架構

2014 Jeep Cherokee的車內(nèi)架構非常簡單，如圖2所示，而最為關鍵的一點是Radio直接與車內(nèi)的兩個CAN總線相連，CAN-C和CAN IHS，而CAN-C則是直接連到車內(nèi)的動力系統(tǒng)中，比如發(fā)動機控制、變速箱換擋控制、ABS制動、電子手剎等子系統(tǒng)。那么這樣的電子電氣架構就意味著，只要侵入了汽車的Radio系統(tǒng)，就能夠實現(xiàn)遠程控制汽車。如表1所示，列出了Jeep Cherokee可能的入侵點。

表1 Jeep Cherokee可能的入侵點

（2）攻擊步驟解析

根據(jù)Chris Valasek和Charlie Miller的研究報告，將他們的攻擊步驟主要分解為3個步驟：

● 利用3G偽基站跟汽車通訊模組建立連接，利用通訊端口上開放的后門，獲取聯(lián)網(wǎng)模塊的最高控制權限；

● 再通過聯(lián)網(wǎng)模塊，將篡改過的程序刷入CAN控制芯片里，進而實現(xiàn)對車內(nèi)CAN總線的完全控制；

● 通過CAN控制器給車內(nèi)其他控制器發(fā)送控制指令，實現(xiàn)對車輛的非法操控。

a. 偽基站連接

首先，研究者通過拆解車內(nèi)的T-Box模塊，發(fā)現(xiàn)它使用了高通3G基帶芯片，并使用Sprint作為運營商，如圖3所示。另外，還可以使用Sierra無線軟件開發(fā)工具包來開發(fā)和調試這個系統(tǒng)[12]。該車機模塊有兩個網(wǎng)絡接口，一個用于內(nèi)部Wi-Fi通信，一個通過Sprint的3G服務與外界通信。研究者利用偽基站，可以實現(xiàn)手機網(wǎng)絡與Jeep進行通信。

圖3 哈曼Uconnect系統(tǒng)的Sierra Wireless AirPrime AR5550

b. 網(wǎng)關越獄

研究者為了控制車機Uconnect系統(tǒng)，對Uconnect將進行了端口掃描，并發(fā)現(xiàn)開放端口6667的D-Bus服務，D-Bus服務帶來的安全風險包括代碼注入、功能濫用甚至內(nèi)存損壞等，因此研究者通過D-Bus服務可以實現(xiàn)未經(jīng)身份驗證對Uconnect系統(tǒng)進行控制。然而，車機Uconnect系統(tǒng)并不直接與車內(nèi)的CAN總線相連，而是通過瑞薩V850ES/FJ3芯片處理。為了進一步控制車內(nèi)的CAN總線通信，研究者發(fā)現(xiàn)V850ES芯片是由車機系統(tǒng)對其進行固件刷新的，而車機系統(tǒng)之前就拿到了控制權，那么研究者利用修改過的固件重新刷新了V850ES，從而將瑞薩V850ES/FJ3芯片進行了越獄。

c. 非法控制

車機芯片和CAN控制器V850ES通過SPI總線進行連接，通過使用SPI從車機芯片向V850ES芯片上修改后的固件發(fā)送消息，使得V850ES發(fā)出控制車輛行為的CAN數(shù)據(jù)。CAN是一種總線型的協(xié)議，在協(xié)議中沒有原始地址信息，接收ECU對收到的數(shù)據(jù)無法確認是否為原始數(shù)據(jù)，這就容易導致攻擊者通過注入虛假信息對CAN總線報文進行偽造、篡改等。因此，通過逆向JEEP車內(nèi)的CAN通信協(xié)議，就可以進行偽造，從而進一步控制JEEP車的CAN-C總線系統(tǒng)。

03總 結

Chalie Miller和Chris Valasek作為黑客突破了以往汽車網(wǎng)絡安全黑客的極限，那就是成功實現(xiàn)了非物理接觸下的遠程進行車輛控制。以往的黑客只能通過物理接觸，或者只能控制個車輛，最多進行近距離攻擊，而Chalie和Chris可以控制全美范圍內(nèi)，幾乎所有安裝了Uconnect車機的車。

從該JEEP車攻擊事件的分析我們也可以看出，實現(xiàn)汽車的遠程控制不是單單通過某一個漏洞，而是通過一系列的漏洞才實現(xiàn)了非物理接觸下的入侵，而另一方面反映出汽車中的各個子控制器存在很多潛在的漏洞，最后再次梳理JEEP自由光入侵的時間線作為文章的總結。

● 2014年10月：Chalie和Chris披露了D-Bus服務暴露和易受攻擊的事實。

● 2015年3月：Chalie和Chris發(fā)現(xiàn)可以重新編程V850芯片，以從OMAP芯片發(fā)送任意CAN消息。

● 2015年5月3日：Chalie和Chris發(fā)現(xiàn)D-Bus可以通過蜂窩網(wǎng)絡訪問，而不僅僅是Wi-Fi。

● 2015年7月：Chalie和Chris向FCA、Harman Kardon、NHTSA和QNX提供了研究報告。

● 2015年7月16日：克萊斯勒發(fā)布了該問題的補丁。

● 2015年7月21日：《Wired》文章發(fā)布。

● 2015年7月24日：Sprint蜂窩網(wǎng)絡阻止端口6667的訪問。克萊斯勒自愿召回140萬輛汽車。

參考文獻：

[1]HOPPE T, KILTZ S, DITTMANN J. Security Threats to Automotive CAN Networks Practical Examples and Selected Short-term Countermeasures[J]. Reliability Engineering and System Safety, 2011, 96(1): 11-25.

[2]WEIMERSKIRCH A. Do Vehicles Need Data Security?[C]//SAE Technical Paper. Detroit, MI, United States, 2011.

[3]KLEBERGER P, OLOVSSON T, JONSSON E. Security Aspects of the In-vehicle Network in the Connected Car[C]//IEEE Intelligent Vehicles Symposium (IV). Baden-Baden, Germany, 2011: 528-533.

[4]NISCH P. Security Issues in Modern Automotive Systems[C]//Lecture: Securce Systems. 2011.

[5]Keen Security Lab. TESLA Hacking 2016 and 2017[C]//15th ESCAR Europe. 2017.

[6]Computest. The Connected Car - Ways to Get Unauthorized Access and Potential Implica- tions[R]. 2018.

[7]MCCARTHY C, HARNETT K. National Institute of Standards and Technology Cybersecu- rity Risk Management Framework Applied to Modern Vehicle[R]. NHTSA Report 812-073. National Highway Tra?c Safety Administration, U.S. Dept. of Transportation, 2014.

[8]MCCARTHY C, HARNETT K, CARTER A. A Summary of Cybersecurity Best Practices[R]. NHTSA Report 812-075. National Highway Tra?c Safety Administration, U.S. Dept. of Transportation, 2014.

[9]MCCARTHY C, HARNETT K, CARTER A, et al. Assessment of the Information Sharing and Analysis Center Model[R]. 2014.

[10]KOBAYASHI H, KONNO C, KAYASHIMA M, et al. Approaches for Vehicle Information Security[R]. Information-Technology Promotion Agency, 2013.

[11]MILLER C, VALASEK C. Adventures in Automotive Networks and Control Units[Z]. DEF CON 21. 2013.

審核編輯黃宇