作者 | 王博文上海控安可信軟件創(chuàng)新研究院研究員
來源 |鑒源實(shí)驗(yàn)室
01 引言
在汽車電動(dòng)化、網(wǎng)聯(lián)化、智能化和共享化等新四化的發(fā)展趨勢(shì)下,智能網(wǎng)聯(lián)汽車(Intelligent Connected Vehicles,ICVs)已經(jīng)是新時(shí)代的必然產(chǎn)物。在智能網(wǎng)聯(lián)汽車的場景下,衍生出了如智能無線傳感器技術(shù)、車聯(lián)網(wǎng)技術(shù)、無人駕駛汽車技術(shù)和智能交通系統(tǒng)等一系列創(chuàng)新技術(shù)。然而,消費(fèi)者在體驗(yàn)智能技術(shù)的同時(shí),卻承擔(dān)著極大的安全風(fēng)險(xiǎn)。智能網(wǎng)聯(lián)汽車消除了黑客攻擊車輛的地域和距離限制,給黑客遠(yuǎn)程批量攻擊目標(biāo)車輛提供了可能,使得車輛面臨的信息安全風(fēng)險(xiǎn)顯著增加。
該系列文章主要對(duì)智能網(wǎng)聯(lián)汽車的網(wǎng)絡(luò)安全攻擊及其防御技術(shù)進(jìn)行全面的概述。一方面總結(jié)以往研究的發(fā)現(xiàn)和結(jié)論,并從學(xué)術(shù)研究和產(chǎn)業(yè)發(fā)展的角度,指出當(dāng)前研究所面臨的挑戰(zhàn)和發(fā)展趨勢(shì)。我們希望我們的工作可以讓汽車設(shè)計(jì)和開發(fā)相關(guān)的研究人員和工程師了解ICVs的安全問題以及最先進(jìn)的防御和緩解技術(shù)。另一方面,我們也希望可以激勵(lì)其他研究人員解決ICVs發(fā)展面臨的網(wǎng)絡(luò)安全挑戰(zhàn)。
02 智能網(wǎng)聯(lián)汽車面臨的威脅
智能網(wǎng)聯(lián)汽車上部署了多種智能傳感器組件,如激光雷達(dá)、毫米波雷達(dá)、超聲波雷達(dá)、攝像頭、全球?qū)Ш叫l(wèi)星系統(tǒng)傳感器(Global Navigation Satellite System,GNSS)等[1],組件之間又是通過各種有線或者無線的通信方式進(jìn)行連接,如車載以太網(wǎng)、CAN總線、蜂窩網(wǎng)絡(luò)(4G/5G)、藍(lán)牙(Bluetooth)、Wi-Fi和WAVE(Wireless Access in the Vehicular Environment)等。傳感器組件使得ICVs能夠感知周圍環(huán)境的障礙物,利用傳感器的數(shù)據(jù),SLAM(Simultaneous localization and mapping)可以定位周圍環(huán)境以及車輛的位置,進(jìn)一步輔助自動(dòng)駕駛做出決策。雖然傳感器組件和連接機(jī)制在安全性、成本和燃油效率方面有了顯著改善,但它們也為網(wǎng)絡(luò)攻擊創(chuàng)造了更多機(jī)會(huì)。
2.1 攻擊案例
根據(jù)Upstream 2022年全球汽車網(wǎng)絡(luò)安全報(bào)告[2],如圖1所示,2010年至2021年間,攻擊者對(duì)智能網(wǎng)聯(lián)汽車最常見的攻擊載體有11種,且大多為黑帽攻擊,僅2021年,黑帽攻擊所占比例高達(dá)56.9%。白帽黑客操縱汽車系統(tǒng)為了發(fā)現(xiàn)漏洞或進(jìn)行教育研究,改善車輛的網(wǎng)絡(luò)安全,而黑帽黑客往往與犯罪活動(dòng)一致。
早在2004年,德國的安全研究員Marko Wolf就發(fā)現(xiàn)了車載網(wǎng)絡(luò)存在被惡意攻擊的隱患[3],并在隨后的幾年進(jìn)行了深入的調(diào)研[4-6]。不過相關(guān)安全問題都是通過直接以物理形式接觸相應(yīng)的網(wǎng)絡(luò)結(jié)構(gòu)為前提。
2010年,美國南卡羅來納大學(xué)的研究員發(fā)現(xiàn)了汽車的胎壓監(jiān)測(cè)系統(tǒng)存在安全和隱私相關(guān)的隱患,車上相關(guān)的無線通信協(xié)議存在被入侵的風(fēng)險(xiǎn)[7]。
2013年Charlie Miller和Chris Valasek在通過車載診斷接口實(shí)現(xiàn)了對(duì)豐田和福特汽車的攻擊和控制[8]。通過診斷接口可以直接操縱汽車的發(fā)動(dòng)機(jī)、制動(dòng)器、燈光、車門等,并且通過診斷功能的ECU刷寫功能,可以篡改ECU內(nèi)部的程序信息。2015年他們兩人又使用Wi-Fi開放端口侵入Jeep Cherokee的車載網(wǎng)絡(luò)系統(tǒng)[9],更新了車內(nèi)ECU的固件,并且成功地控制了一系列汽車功能(禁用剎車和停止發(fā)動(dòng)機(jī)),該攻擊案例引發(fā)了140萬輛汽車的召回,而該事件是首個(gè)信息安全所引發(fā)的汽車召回事件。
科恩實(shí)驗(yàn)室在2018年針對(duì)寶馬多款車型的電子控制單元進(jìn)行安全分析,發(fā)現(xiàn)了多個(gè)通用安全漏洞[10]。這些漏洞影響組件涉及車載信息娛樂系統(tǒng)、車載通訊模塊和車載網(wǎng)關(guān)。攻擊者可以利用這些漏洞,通過物理接觸攻擊或遠(yuǎn)程攻擊,獲得車內(nèi)CAN總線控制權(quán),從而實(shí)現(xiàn)汽車的控制。
2021年6月,卡內(nèi)基梅隆大學(xué)CyLab研究人員發(fā)現(xiàn)了一類新的網(wǎng)絡(luò)安全漏洞[11],利用汽車MCU時(shí)鐘外設(shè)的門控特性,開發(fā)了用于遠(yuǎn)程關(guān)閉的CANnon攻擊,并且成功在不到2ms的時(shí)間內(nèi)對(duì)一輛福特福克斯和一輛豐田普銳斯實(shí)現(xiàn)了關(guān)機(jī)。
圖12010年-2021年最常見的ICVs攻擊類型[2]
2.2 攻擊的分類
2.2.1 攻擊目標(biāo)
正如前面所說,ICVs部署了多種智能傳感器組件,組件之間又通過各種通信方式進(jìn)行連接。它們一起工作,促進(jìn)ICVs的運(yùn)轉(zhuǎn)。破壞或篡改任何這些組件都可能破壞ICVs的穩(wěn)定,攻擊者可以把智能傳感器組件以及通信方式作為攻擊目標(biāo),進(jìn)而實(shí)現(xiàn)竊取車輛或者個(gè)人信息,造成財(cái)產(chǎn)損失和人身傷害。下面描述現(xiàn)有的研究中已被網(wǎng)絡(luò)攻擊者鎖定的ICVs組件,有些攻擊模型已經(jīng)被證明是真實(shí)的威脅,而有些只是在理論上進(jìn)行了討論。
(1)車載診斷接口(On-board Diagnostic Port,OBD):OBD端口可以用來收集有關(guān)汽車排放、里程、速度和汽車零部件數(shù)據(jù)的信息。OBD標(biāo)準(zhǔn)有OBD-I和OBD-II兩種。OBD-I于1987年推出,但存在許多缺陷,因此被1996年推出的OBD-II所取代。OBD端口可以提供車內(nèi)CAN網(wǎng)絡(luò)和以太網(wǎng)的實(shí)時(shí)數(shù)據(jù),許多OEM制造商也使用OBD端口來執(zhí)行OTA固件更新。
(2)汽車電子控制單元(Electronic Control Unit,ECU):汽車ECU是嵌入式電子系統(tǒng),用于控制車輛中的其他子系統(tǒng)。所有現(xiàn)代車輛都使用ECU來控制車輛的功能,一些重要的ECU可以是剎車控制模塊,發(fā)動(dòng)機(jī)控制模塊,輪胎壓力監(jiān)測(cè)系統(tǒng)等。制動(dòng)控制模塊從輪速傳感器和制動(dòng)系統(tǒng)收集數(shù)據(jù),并處理數(shù)據(jù)以確定是否實(shí)時(shí)釋放制動(dòng)壓力。發(fā)動(dòng)機(jī)控制模塊控制燃料、空氣和火花,并從其他傳感器收集數(shù)據(jù),以確保所有組件都在正常的工作范圍內(nèi)。輪胎壓力監(jiān)測(cè)系統(tǒng)從輪胎內(nèi)的傳感器收集數(shù)據(jù),并確定輪胎壓力是否處于理想水平。
(3)控制區(qū)域網(wǎng)絡(luò)(Controller Area Network,CAN):ECU通常通過CAN總線進(jìn)行連接。CAN為總線型網(wǎng)絡(luò),具有廣播特性,在ICVs中,網(wǎng)絡(luò)數(shù)據(jù)包可以被傳輸?shù)紺AN網(wǎng)絡(luò)中的所有節(jié)點(diǎn),并且數(shù)據(jù)包不包含認(rèn)證字段。因此,一個(gè)被入侵的節(jié)點(diǎn)可以收集所有通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù),并將惡意數(shù)據(jù)廣播給其他節(jié)點(diǎn),使整個(gè)CAN系統(tǒng)容易受到網(wǎng)絡(luò)攻擊。
(4)激光雷達(dá)(Light Detection and Ranging,LiDAR):激光雷達(dá)傳感器發(fā)送光波探測(cè)周圍環(huán)境,并根據(jù)反射信號(hào)進(jìn)行測(cè)量其到周圍物體的距離。在ICVs中,激光雷達(dá)通常用于障礙物檢測(cè),以安全通過環(huán)境,通常由反旋轉(zhuǎn)激光束實(shí)現(xiàn)。激光雷達(dá)的數(shù)據(jù)可被EUC的軟件用于確定環(huán)境中是否有障礙物,也可用于自動(dòng)緊急制動(dòng)系統(tǒng)。
(5)毫米波雷達(dá)(Radio Detection and Ranging,Radar):毫米波雷達(dá)屬于在無線電毫米波領(lǐng)域發(fā)出電磁波的傳感器,通過感應(yīng)反射信號(hào)來探測(cè)物體并測(cè)量其距離和速度。在ICVs中,毫米波雷達(dá)在許多應(yīng)用中都很有用。例如,近程雷達(dá)可以實(shí)現(xiàn)盲點(diǎn)監(jiān)測(cè)、車道保持輔助系統(tǒng)和停車輔助系統(tǒng)等。
(6)全球定位系統(tǒng)(Global Positioning System,GPS):GPS是一種基于衛(wèi)星的導(dǎo)航系統(tǒng),當(dāng)GPS接收器發(fā)現(xiàn)來自三個(gè)或更多衛(wèi)星的信號(hào)時(shí),就可以計(jì)算出接收器的位置。由于找到兩個(gè)地點(diǎn)之間的路線是自動(dòng)駕駛的必要條件,GPS信號(hào)對(duì)自動(dòng)駕駛汽車至關(guān)重要。但是由于GPS信號(hào)不包含任何可以直接驗(yàn)證信號(hào)來源的數(shù)據(jù),GPS接收器很容易受到干擾和欺騙攻擊。
(7)攝像頭(Cameras/Image Sensors):自動(dòng)駕駛和半自動(dòng)駕駛汽車依賴于放置在許多位置的攝像頭來獲得360度的視野。相機(jī)為重要的自動(dòng)駕駛?cè)蝿?wù)提供信息,比如交通標(biāo)志識(shí)別和車道檢測(cè)等。攝像機(jī)也可以用來取代激光雷達(dá),以更低的成本完成物體探測(cè)和測(cè)量距離的任務(wù),但它們?cè)谙掠辍㈧F或雪等特定情況下的性能較差[12]。因此攝像頭與激光雷達(dá)和毫米波雷達(dá)相配合,可以為自動(dòng)駕駛提供更豐富多樣的數(shù)據(jù)。
(8)V2X通信(Vehicle to Everything,V2X):V2X通信可分為車對(duì)車網(wǎng)絡(luò)(Vehicle to Vehicle,V2V)和車對(duì)基礎(chǔ)設(shè)施網(wǎng)絡(luò)(Vehicle to Infrastructure)。V2V通信有助于在附近的車輛之間交換數(shù)據(jù),并可以快速地為ICVs已經(jīng)收集到的關(guān)于周圍環(huán)境的數(shù)據(jù)提供額外的信息。V2I通信有助于ICVs和道路基礎(chǔ)設(shè)施之間的數(shù)據(jù)交換,這些基礎(chǔ)設(shè)施提供了關(guān)于交通系統(tǒng)的數(shù)據(jù)。
2.2.2攻擊模型分類
根據(jù)訪問需求可以將攻擊模型分為遠(yuǎn)程執(zhí)行(遠(yuǎn)程訪問攻擊)或物理訪問ICVs組件執(zhí)行(物理訪問攻擊)。
(1)遠(yuǎn)程訪問攻擊:攻擊者不需要對(duì)ICVs上的部件進(jìn)行物理修改,也不需要在ICVs上附加設(shè)備。這種類型的攻擊比物理訪問攻擊更常見,而且由于ICVs之間會(huì)傳輸大量信息,這種攻擊的數(shù)量正在增加。ICVs上任何與周圍環(huán)境通信和交互的組件都容易被遠(yuǎn)程利用。遠(yuǎn)程訪問攻擊的三種常見模式是發(fā)送偽造數(shù)據(jù)、阻塞信號(hào)和收集機(jī)密數(shù)據(jù)。發(fā)送偽造數(shù)據(jù)的目的是欺騙ICVs系統(tǒng),以獲得對(duì)系統(tǒng)行為的顯著控制,比如LiDAR欺騙、Radar欺騙、GPS欺騙和對(duì)抗性圖像攻擊等。阻塞信號(hào)旨在阻止ICVs接收確保其正常工作的信息,比如激光雷達(dá)干擾、毫米波雷達(dá)干擾、GPS干擾、攝像機(jī)致盲和拒絕服務(wù)攻擊等。收集機(jī)密數(shù)據(jù)則為進(jìn)一步的攻擊服務(wù)。
(2)物理訪問攻擊:攻擊者需要物理修改ICVs上的組件或?qū)x器附加到ICVs上,比如故障數(shù)據(jù)注入。物理訪問攻擊更難實(shí)施,因?yàn)楣粽咴诖鄹腎CVs時(shí)可能被檢測(cè)到。但是CAN和ECU既可以作為遠(yuǎn)程訪問的目標(biāo),也可以作為物理訪問的目標(biāo)。
從攻擊者的動(dòng)機(jī)角度又可以將攻擊模型分為三種,中斷ICVs的操作,控制ICVs和竊取信息。
(1)中斷操作:攻擊者的目標(biāo)是破壞對(duì)自動(dòng)駕駛很重要的ICVs組件,從而使自動(dòng)駕駛功能在ICVs上失效。這些攻擊類似于網(wǎng)絡(luò)上的拒絕服務(wù)攻擊。
(2)獲取ICVs控制權(quán)限:攻擊者獲得對(duì)ICVs的充分控制,以便他們可以改變車輛的移動(dòng),如改變車輛的路線,強(qiáng)制緊急剎車,和改變車輛速度。
(3)竊取信息:攻擊者的目標(biāo)是從ICVs收集重要的或機(jī)密的信息,收集的信息可能用于進(jìn)一步的攻擊。
如表1所示,將ICVs的攻擊模型進(jìn)行分類,按照攻擊目標(biāo)和攻擊行為方式分為15種。
表1ICVs攻擊模型的分類
后面幾期將對(duì)智能網(wǎng)聯(lián)汽車的攻擊場景以及對(duì)應(yīng)的應(yīng)對(duì)措施做詳細(xì)的分析與介紹。
審核編輯:湯梓紅
-
網(wǎng)絡(luò)安全
+關(guān)注
關(guān)注
10文章
3156瀏覽量
59711 -
智能網(wǎng)聯(lián)汽車
+關(guān)注
關(guān)注
9文章
1060瀏覽量
31078
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論