作者 |王博文 上海控安可信軟件創新研究院研究員

來源 |鑒源實驗室

引言：近年來，汽車網絡安全攻擊事件頻發，而汽車智能化和網聯化所帶來的安全隱患也與日俱增，研究人員除了考慮如何加入防御措施之外，還應該站在攻擊者的角度來分析歷史的攻擊事件以及攻擊手段。

01汽車信息安全漏洞與攻擊

針對汽車的攻擊行為在近年來引起了較大的關注，但是對汽車的攻擊行為卻不是近年才有的。早期的攻擊汽車行為主要是破解汽車的防盜系統，對汽車或車內財產進行盜竊。隨著智能網聯汽車的發展，汽車具有了更多潛在的入侵途徑。對汽車的攻擊行為包括了汽車非法功能激活、汽車控制以及隱私盜竊等多種行為。智能網聯汽車的環境增加了攻擊者入侵的途徑和可能性。惡意的攻擊者可能會通過奪取汽車的控制權對車主進行勒索，也可能在行車過程中引發安全事故，甚至有可能發動大規模的恐怖襲擊。

2011年，德國馬格德堡大學的研究員針對CAN總線網絡系統，展示了在車窗升降、汽車警示燈、安全氣囊控制以及中央網關控制系統四種攻擊場景下的安全隱患[1]。德國ESCRYPT公司的研究員提出了在新的網聯汽車環境下，需要對汽車內部的數據安全做更好的保護[2]。除此之外，國際上還有很多針對車載網絡安全性分析的研究[3, 4]。

科恩實驗室在2016年和2017年對特斯拉汽車實現了無物理接觸攻擊。該安全漏洞可以實現汽車的車身控制和行車功能控制[5]。在該攻擊案例中，攻擊者的入口是中央信息顯示模塊CID。利用這個ECU中的Linux操作系統和瀏覽器的0 day漏洞。攻擊者成功地實現了通過蜂窩網絡從遠程接入了信息娛樂系統。當中央網關被攻破以后，整個車內網絡的控制信號則都暴露在攻擊者面前。之后黑客可以通過中央網關發送各類CAN總線報文、UDS控制信號等，進而實現對車輛的遠程控制和攻擊。

2017年，荷蘭網絡安全公司Computest的研究員Daan Keuper和Thijs Alkemade通過對大眾和奧迪的多款車型進行挖掘，發現其車載信息娛樂系統中存在遠程利用漏洞[6]。攻擊者通過車載Wi-Fi設備接入了汽車的信息娛樂系統，再利用車載信息娛樂系統的漏洞，向CAN總線中發送CAN報文，最終實現了對中央屏幕、揚聲器和麥克風等裝置的控制。

為了解決汽車網絡安全問題，汽車廠商在近年來也投入了大量的精力。美國通用汽車公司在2016年1月與HackerOne合作啟動了了公共安全漏洞報告項目。特斯拉汽車公司、菲亞特克萊斯勒公司等也在BugCrowd的平臺上進行了漏洞懸賞，試圖在攻擊者利用漏洞進行攻擊之前發現并解決問題。

在美國，國家公路交通安全管理局（NHTSA）近年來一直致力于解決現代汽車網絡安全問題[7-9]。在日本，信息處理推進機構在2013年發布了汽車網絡信息安全指南，提出了IPA - Car安全模型[10]。

02攻擊案例分析

2.1 攻擊案例

2015年7月，兩名美國白帽黑客Chris Valasek和Charlie Miller成功侵入一輛正在行駛的JEEP自由光SUV的CAN總線網絡系統，向發動機、變速箱、制動和轉向等系統發送錯誤指令，最終使這輛車開翻到馬路邊的斜坡下。隨后，他們在8月全球最大的黑客大會上，發布了攻擊細節。該事件直接導致了克萊斯勒公司召回了140多萬輛汽車，而且該事件也是首起因汽車信息安全問題引發的汽車召回。

2.2事件分析

（1）攻擊對象

該事件的攻擊目標為2014款Jeep Cherokee，如圖1所示。他們之所以選擇這款車作為攻擊目標主要有兩方面的原因，一是根據他們之前的一些研究[11]，Jeep Cherokee相比與其他20款車型，電子電氣架構相對簡單，侵入到車內總線相對比較容易；二是結合當時他們的成本，最終選擇了2014款Jeep Cherokee。

圖2 2014 Jeep Cherokee車內架構

2014 Jeep Cherokee的車內架構非常簡單，如圖2所示，而最為關鍵的一點是Radio直接與車內的兩個CAN總線相連，CAN-C和CAN IHS，而CAN-C則是直接連到車內的動力系統中，比如發動機控制、變速箱換擋控制、ABS制動、電子手剎等子系統。那么這樣的電子電氣架構就意味著，只要侵入了汽車的Radio系統，就能夠實現遠程控制汽車。如表1所示，列出了Jeep Cherokee可能的入侵點。

表1 Jeep Cherokee可能的入侵點

（2）攻擊步驟解析

根據Chris Valasek和Charlie Miller的研究報告，將他們的攻擊步驟主要分解為3個步驟：

● 利用3G偽基站跟汽車通訊模組建立連接，利用通訊端口上開放的后門，獲取聯網模塊的最高控制權限；

● 再通過聯網模塊，將篡改過的程序刷入CAN控制芯片里，進而實現對車內CAN總線的完全控制；

● 通過CAN控制器給車內其他控制器發送控制指令，實現對車輛的非法操控。

a. 偽基站連接

首先，研究者通過拆解車內的T-Box模塊，發現它使用了高通3G基帶芯片，并使用Sprint作為運營商，如圖3所示。另外，還可以使用Sierra無線軟件開發工具包來開發和調試這個系統[12]。該車機模塊有兩個網絡接口，一個用于內部Wi-Fi通信，一個通過Sprint的3G服務與外界通信。研究者利用偽基站，可以實現手機網絡與Jeep進行通信。

圖3 哈曼Uconnect系統的Sierra Wireless AirPrime AR5550

b. 網關越獄

研究者為了控制車機Uconnect系統，對Uconnect將進行了端口掃描，并發現開放端口6667的D-Bus服務，D-Bus服務帶來的安全風險包括代碼注入、功能濫用甚至內存損壞等，因此研究者通過D-Bus服務可以實現未經身份驗證對Uconnect系統進行控制。然而，車機Uconnect系統并不直接與車內的CAN總線相連，而是通過瑞薩V850ES/FJ3芯片處理。為了進一步控制車內的CAN總線通信，研究者發現V850ES芯片是由車機系統對其進行固件刷新的，而車機系統之前就拿到了控制權，那么研究者利用修改過的固件重新刷新了V850ES，從而將瑞薩V850ES/FJ3芯片進行了越獄。

c. 非法控制

車機芯片和CAN控制器V850ES通過SPI總線進行連接，通過使用SPI從車機芯片向V850ES芯片上修改后的固件發送消息，使得V850ES發出控制車輛行為的CAN數據。CAN是一種總線型的協議，在協議中沒有原始地址信息，接收ECU對收到的數據無法確認是否為原始數據，這就容易導致攻擊者通過注入虛假信息對CAN總線報文進行偽造、篡改等。因此，通過逆向JEEP車內的CAN通信協議，就可以進行偽造，從而進一步控制JEEP車的CAN-C總線系統。

03總 結

Chalie Miller和Chris Valasek作為黑客突破了以往汽車網絡安全黑客的極限，那就是成功實現了非物理接觸下的遠程進行車輛控制。以往的黑客只能通過物理接觸，或者只能控制個車輛，最多進行近距離攻擊，而Chalie和Chris可以控制全美范圍內，幾乎所有安裝了Uconnect車機的車。

從該JEEP車攻擊事件的分析我們也可以看出，實現汽車的遠程控制不是單單通過某一個漏洞，而是通過一系列的漏洞才實現了非物理接觸下的入侵，而另一方面反映出汽車中的各個子控制器存在很多潛在的漏洞，最后再次梳理JEEP自由光入侵的時間線作為文章的總結。

● 2014年10月：Chalie和Chris披露了D-Bus服務暴露和易受攻擊的事實。

● 2015年3月：Chalie和Chris發現可以重新編程V850芯片，以從OMAP芯片發送任意CAN消息。

● 2015年5月3日：Chalie和Chris發現D-Bus可以通過蜂窩網絡訪問，而不僅僅是Wi-Fi。

● 2015年7月：Chalie和Chris向FCA、Harman Kardon、NHTSA和QNX提供了研究報告。

● 2015年7月16日：克萊斯勒發布了該問題的補丁。

● 2015年7月21日：《Wired》文章發布。

● 2015年7月24日：Sprint蜂窩網絡阻止端口6667的訪問。克萊斯勒自愿召回140萬輛汽車。

參考文獻：

[1]HOPPE T, KILTZ S, DITTMANN J. Security Threats to Automotive CAN Networks Practical Examples and Selected Short-term Countermeasures[J]. Reliability Engineering and System Safety, 2011, 96(1): 11-25.

[2]WEIMERSKIRCH A. Do Vehicles Need Data Security?[C]//SAE Technical Paper. Detroit, MI, United States, 2011.

[3]KLEBERGER P, OLOVSSON T, JONSSON E. Security Aspects of the In-vehicle Network in the Connected Car[C]//IEEE Intelligent Vehicles Symposium (IV). Baden-Baden, Germany, 2011: 528-533.

[4]NISCH P. Security Issues in Modern Automotive Systems[C]//Lecture: Securce Systems. 2011.

[5]Keen Security Lab. TESLA Hacking 2016 and 2017[C]//15th ESCAR Europe. 2017.

[6]Computest. The Connected Car - Ways to Get Unauthorized Access and Potential Implica- tions[R]. 2018.

[7]MCCARTHY C, HARNETT K. National Institute of Standards and Technology Cybersecu- rity Risk Management Framework Applied to Modern Vehicle[R]. NHTSA Report 812-073. National Highway Tra?c Safety Administration, U.S. Dept. of Transportation, 2014.

[8]MCCARTHY C, HARNETT K, CARTER A. A Summary of Cybersecurity Best Practices[R]. NHTSA Report 812-075. National Highway Tra?c Safety Administration, U.S. Dept. of Transportation, 2014.

[9]MCCARTHY C, HARNETT K, CARTER A, et al. Assessment of the Information Sharing and Analysis Center Model[R]. 2014.

[10]KOBAYASHI H, KONNO C, KAYASHIMA M, et al. Approaches for Vehicle Information Security[R]. Information-Technology Promotion Agency, 2013.

[11]MILLER C, VALASEK C. Adventures in Automotive Networks and Control Units[Z]. DEF CON 21. 2013.

審核編輯黃宇