隨著2015年7月兩位著名白帽黑客查理·米勒以及克里斯·瓦拉塞克入侵了一輛Jeep自由光行駛過程的經(jīng)典案例曝光,大家對汽車的安全性能提出了大大的問號。兩位黑客侵入克萊斯勒公司出品的Uconnect車載系統(tǒng),遠(yuǎn)程通過軟件向該系統(tǒng)發(fā)送指令,啟動車上的各種功能。
此外,寶馬ConnectedDrive數(shù)字服務(wù)系統(tǒng)遭入侵事件,黑客能夠利用該漏洞以遠(yuǎn)程無線的方式侵入車輛內(nèi)部,并打開車門。
特斯拉Model S遭入侵事件,研究人員通過Model S存在的漏洞打開車門并開走,同時(shí)還能向Model S發(fā)送“自殺”命令,在車輛正常行駛中突然關(guān)閉系統(tǒng)引擎。
此外,奧迪、保時(shí)捷、賓利和蘭博基尼等大眾旗下品牌的MegamosCrypto防護(hù)系統(tǒng)也遭到攻破。因此,一旦別有用心的人攻擊了私人車輛,不僅僅是造成車內(nèi)財(cái)物丟失或者車輛被盜,并且極有可能危及到司機(jī)和乘客的生命安全。
TSP安全威脅分析
TSP(Telematics Service Provider)汽車遠(yuǎn)程服務(wù)提供商。在 Telematics 產(chǎn)業(yè)鏈中居于核心地位,上接汽車、車載設(shè)備制造商、網(wǎng)絡(luò)運(yùn)營商,下接內(nèi)容提供商。Telematics 服務(wù)集合了位置服務(wù)、Gis 服務(wù)和通信服務(wù)等現(xiàn)代計(jì)算機(jī)技術(shù),為車主和個(gè)人提供強(qiáng)大的服務(wù):導(dǎo)航、娛樂、資訊、安防、SNS、遠(yuǎn)程保養(yǎng)等服務(wù)。TSP系統(tǒng)在車聯(lián)網(wǎng)架構(gòu)當(dāng)中起到的是汽車和手機(jī)之間通訊的跳板,為汽車和手機(jī)提供內(nèi)容和流量轉(zhuǎn)發(fā)的服務(wù),并且承擔(dān)著汽車與服務(wù)商之間最重要的一環(huán)。TSP被視為車聯(lián)網(wǎng)產(chǎn)業(yè)鏈最核心的環(huán)節(jié)之一, 是整車廠車聯(lián)網(wǎng)項(xiàng)目的關(guān)鍵,下圖中紅框所示部分就是TSP所處的位置及承擔(dān)的職能。
可以看到,TSP角色涵蓋了Telematics Services Platform提供商(邏輯上應(yīng)該包括平臺設(shè)計(jì)、開發(fā)、運(yùn)營等)、呼叫中心、內(nèi)容聚合、云平臺、數(shù)據(jù)中心等。理論上其中任何一方都可以憑借自身的優(yōu)勢比如呼叫中心、云平臺等,成為TSP去整合其他參與者(包括對CP和SP的整合)。
就車聯(lián)網(wǎng)TSP 平臺而言,漏洞可能來自軟件系統(tǒng)設(shè)計(jì)時(shí)的缺陷或編碼時(shí)產(chǎn)生的錯(cuò)誤,也可能來自業(yè)務(wù)在交互處理過程中的設(shè)計(jì)缺陷或邏輯流程上的不合理之處。這些缺陷、錯(cuò)誤或不合理之處可能被有意或無意地利用,從而對整個(gè)車聯(lián)網(wǎng)的運(yùn)行造成不利影響。例如系統(tǒng)被攻擊或控制、重要資料被竊取、用戶數(shù)據(jù)被篡改、甚至冒充合法用戶對車輛進(jìn)行控制。根據(jù)車聯(lián)網(wǎng)TSP 平臺認(rèn)證系統(tǒng)的實(shí)際情況并結(jié)合Web 系統(tǒng)的常見安全漏洞,現(xiàn)在分析一下TSP平臺軟件常見安全漏洞的種類:
1. SQL 注入和XSS攻擊
由于程序在編寫時(shí),沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷,使應(yīng)用程序存在安全隱患。可以提交一段數(shù)據(jù)庫查詢代碼,根據(jù)程序返回的結(jié)果獲得某些想要得知的數(shù)據(jù)。XSS,跨站腳本攻擊。惡意攻擊者往Web 頁面里插入惡意html 代碼,當(dāng)用戶瀏覽該頁之時(shí),嵌入其中Web 里面的html 代碼會被執(zhí)行,從而達(dá)到惡意攻擊用戶的目的。
2.越權(quán)漏洞和暴力破解
越權(quán)漏洞是指由于應(yīng)用程序未正確實(shí)現(xiàn)授權(quán)功能,造成用戶可以執(zhí)行其沒有資格執(zhí)行的操作,包括可以查看或修改他本身沒資格查看或修改的資源,以及可以執(zhí)行用戶本身沒有的功能。暴力破解是一種針對于密碼的破譯方法,將密碼進(jìn)行逐個(gè)推算直到找出真正的密碼為止。攻擊者利用該漏洞可以破解存在該漏洞的應(yīng)用程序的用戶密碼。
3.文件上傳漏洞和CSRF
文件上傳漏洞是由于對用戶文件上傳部分的控制不足或者處理缺陷,而導(dǎo)致的用戶可以越過其本身權(quán)限向服務(wù)器上傳可執(zhí)行的動態(tài)腳本文件。惡意攻擊者利用該漏洞可以直接向服務(wù)器上傳ASP 木馬、PHP 木馬等,從而控制TSP服務(wù)器??缯菊埱髠卧欤–SRF)攻擊發(fā)起的目標(biāo)都是通過偽造一個(gè)用戶請求,該請求不是用戶想發(fā)出去的請求,而對服務(wù)器或服務(wù)來說這個(gè)請求是完全合法的請求,但是卻完成了攻擊者所期望的操作。
此外,在 TSP 后臺的應(yīng)用領(lǐng)域,還要考慮如何應(yīng)對 OTA 安全風(fēng)險(xiǎn)的方法。OTA 技術(shù)即(Over-the-Air Technology)空中下載技術(shù),通過移動通信(GSM 或 CDMA)的空中接口對 SIM 卡數(shù)據(jù)及應(yīng)用進(jìn)行遠(yuǎn)程管理,由于這一過程中包含了車輛與外界數(shù)據(jù)傳輸?shù)恼麄€(gè)流程,因此可能存在的風(fēng)險(xiǎn)較大,更需要有一個(gè)高安全性的 TSP 后臺來進(jìn)行數(shù)據(jù)安全的保障。
APP安全威脅分析
2016年,研究人員測試了多家主機(jī)廠的遠(yuǎn)程控制APP的安全性,測試結(jié)果顯示,目前市面上大多數(shù)遠(yuǎn)程控制APP居然連最基礎(chǔ)的軟件防護(hù)和安全保障都不具備,這就意味著通過root用戶的手機(jī)端或者誘導(dǎo)用戶下載安裝惡意程序,黑客可以很輕易地利用這些遠(yuǎn)程控制APP竊取用戶個(gè)人信息及車輛的控制權(quán),從而控制車輛開鎖落鎖,甚至啟動引。上述情形只適用于具備手機(jī)APP遠(yuǎn)程控制功能的車型,而且目前也沒有發(fā)現(xiàn)Android平臺上有相關(guān)的惡意軟件。不過黑市論壇上已經(jīng)有叫賣車主隱私信息的賣家了,包括用戶名及登錄密碼,車型及車輛識別碼,PIN碼等信息。
研究人員測試的APP大致解釋了黑客常用的幾種竊取車主信息的手段。因?yàn)槟壳盎旧纤蓄愃频倪h(yuǎn)程控制APP的車主個(gè)人隱私信息都在不加密的狀態(tài)下簡單地儲存在車主的手機(jī)中,對此,黑客可以通過root用戶手機(jī),作為根用戶直接將用戶信息發(fā)送到后臺主機(jī)?;蛘呖梢哉T導(dǎo)用戶下載惡意程序,竊取登錄信息。亦可以通過其他惡意軟件進(jìn)行“覆蓋”攻擊,在用戶啟動APP的同時(shí)創(chuàng)立一個(gè)偽造的登錄界面誘導(dǎo)用戶登錄,從而竊取信息,此時(shí)黑客亦可以進(jìn)行多重覆蓋攻擊,竊取用戶其余所有的個(gè)人信息。
遠(yuǎn)程控制APP應(yīng)該引入多重身份驗(yàn)證,指紋驗(yàn)證或者后臺聯(lián)合驗(yàn)證機(jī)制來防止黑客通過惡意代碼誘導(dǎo)等手段進(jìn)行攻擊,同時(shí)車主信息應(yīng)當(dāng)進(jìn)行加密或分散保存,從而真正提高使用安全性。網(wǎng)聯(lián)汽車安全保障缺失的問題已經(jīng)不是第一次被提及了,也并不僅僅是Android平臺。早在2015年,安全人員Samy Kamkar就向公眾演示了通過在車內(nèi)安置一個(gè)小硬件來入侵車輛的遠(yuǎn)程控制APP的手法,實(shí)現(xiàn)車主信息竊取及車輛控制權(quán)竊取。通用安吉星,克萊斯勒UConnect,奔馳MBrace和寶馬Remote均慘遭被黑。毫無疑問,隨著車主通過手機(jī)遠(yuǎn)程控制功能更加豐富,安全風(fēng)險(xiǎn)也必然隨著陡增。
T-Box安全威脅分析
T-Box系統(tǒng)是通過在汽車上集成的GPS定位,RFID(射頻技術(shù))識別,傳感器、攝像頭和圖像處理等電子元件,按照通信協(xié)議和數(shù)據(jù)交互標(biāo)準(zhǔn),進(jìn)行無線通信和信息交換的大系統(tǒng)網(wǎng)絡(luò),也是實(shí)現(xiàn)智能化交通管理、智能動態(tài)信息服務(wù)和車輛智能化控制的基礎(chǔ)網(wǎng)絡(luò)。T-BOX網(wǎng)絡(luò)的安全系數(shù)決定了汽車行駛和整個(gè)智能交通網(wǎng)絡(luò)的安全,是車聯(lián)網(wǎng)發(fā)展的核心技術(shù)之一。
從底層硬件到云端服務(wù)開發(fā),再到資源調(diào)配,滿足于車內(nèi)多方的需求,車聯(lián)網(wǎng)標(biāo)準(zhǔn)終端T-Box,其作用表現(xiàn)在三方面功能:遠(yuǎn)程控制功能、遠(yuǎn)程查詢功能、安防服務(wù)功能。
與以往的軟件漏洞、網(wǎng)站漏洞、無線攻擊等傳統(tǒng)的互聯(lián)網(wǎng)安全思路不同,2016年,研究人員通過更加全面的技術(shù)對車聯(lián)網(wǎng)核心控制系統(tǒng)T-Box進(jìn)行了安全分析并成功破解,實(shí)現(xiàn)了對車輛的本地控制及其它車輛遠(yuǎn)程操作控制。為了破解T-Box,研究人員分析了T-Box的硬件結(jié)構(gòu)、調(diào)試引腳、WIFI系統(tǒng)、串口通信、MCU固件、代碼逆向、CAN總線數(shù)據(jù)、T-Box指紋特征等研究點(diǎn),成功攻破了T-Box的軟硬件安全系統(tǒng),劫持了ARM和MCU單片機(jī)之間的串口協(xié)議數(shù)據(jù)(部分車機(jī)采用了這種結(jié)構(gòu)),實(shí)現(xiàn)對協(xié)議傳輸數(shù)據(jù)的篡改,從而可以修改用戶的指令或者發(fā)送偽造命令到CAN控制器中,實(shí)現(xiàn)了對車輛的本地控制和遠(yuǎn)程操作控制。
IVI安全威脅分析
IVI (In-Vehicle Infotainment 簡稱IVI),是采用車載專用中央處理器,基于車身總線系統(tǒng)和互聯(lián)網(wǎng)服務(wù),形成的車載綜合信息娛樂系統(tǒng)。IVI能夠?qū)崿F(xiàn)包括三維導(dǎo)航、實(shí)時(shí)路況、IPTV、輔助駕駛、故障檢測、車輛信息、車身控制、移動辦公、無線通訊、基于在線的娛樂功能及TSP服務(wù)等一系列應(yīng)用,極大的提升了車輛電子化、網(wǎng)絡(luò)化和智能化水平。
IVI提供的攻擊面比其他任何車輛部件都廣,對IVI的攻擊也可分為軟件攻擊和硬件攻擊。軟件攻擊方面可以通過軟件升級方式獲得訪問權(quán)限,進(jìn)入目標(biāo)系統(tǒng)。
如果感覺攻擊硬件比攻擊軟件更為得心應(yīng)手,并且可將IVI從目標(biāo)車輛拆下,那么也可以從硬件下手。
其中一個(gè)案例,2016年, Vulnerability實(shí)驗(yàn)室的安全研究人員公布了寶馬車載娛樂系統(tǒng)的兩個(gè)Web 0day漏洞。其中一個(gè)漏洞是VIN會話劫持,這是一個(gè)會話漏洞,惡意用戶可以借此獲取另一用戶的VIN(車輛識別號)。VIN是車輛匹配用戶賬戶的ID號,VIN碼被用于將ConnectedDrive設(shè)置備份到他們自己的賬戶上。在Web網(wǎng)站上改變這些設(shè)置后,系統(tǒng)就會將改變同步到汽車和連入的移動APP里,通過繞過VIN會話驗(yàn)證,然后使用另一個(gè)VIN接入訪問以編輯其他用戶的汽車設(shè)置。具體的流程如下:
Can-bus總線安全威脅分析
上圖給出了汽車CAN總線的遠(yuǎn)程打擊面。汽車電子元器件在車內(nèi)都是通過CAN網(wǎng)絡(luò)相連接的,電子元器件之間是通過CAN包進(jìn)行通信的。OBD會經(jīng)過CAN總線鏈接到ECU,然后利用ECU對每個(gè)傳感器進(jìn)行調(diào)用并分析出相關(guān)信息,通過CAN總線傳送回OBD接口,匯總并整理好相關(guān)信息給手機(jī)App進(jìn)行顯示。
盡管CAN總線的數(shù)據(jù)鏈路層協(xié)議是確定的,但是在應(yīng)用層,不同的汽車品牌甚至是不同的車型都有不同的定義。在應(yīng)用層,CAN數(shù)據(jù)幀主要有兩個(gè)部分值得我們關(guān)注:一方面是ID字段的意義,對于某一個(gè)ID的數(shù)據(jù)包,它的發(fā)送者和接收者是未知的;另一方面是數(shù)據(jù)段的含義,數(shù)據(jù)段不同部分代表的含義也不清楚。不同的汽車廠商會定義自己的CAN總線通信矩陣,這個(gè)矩陣定義了ID字段所對應(yīng)的ECU,同時(shí)也定義了數(shù)據(jù)段所對應(yīng)的實(shí)際含義。而這個(gè)通信矩陣汽車廠商只提供給其汽車部件生產(chǎn)者,不會告知給第三方。所以對于攻擊者來說,若想獲得汽車的控制權(quán),研究如何通過逆向工程、模糊測試等方法獲得其通信矩陣并破解汽車的應(yīng)用層總線協(xié)議就顯得至關(guān)重要。
隨著汽車技術(shù)的發(fā)展,有越來越多的汽車都進(jìn)使用了總線結(jié)構(gòu)及電子化、智能化技術(shù),近年來汽車破解事件日益突出。為了更好的研究汽車信息安全技術(shù),360汽車信息安全實(shí)驗(yàn)室獨(dú)立開發(fā)了一套汽車信息安全檢測平臺和框架--CAN-Pick,可以被安全研究人員和汽車行業(yè)/OEM的安全測試人員使用進(jìn)行黑盒測試。本軟件可以發(fā)現(xiàn)電子控制單元ECU、中間人測試攻擊、模糊測試攻擊、暴力破解、掃描監(jiān)聽CAN總線報(bào)文、被動的分析驗(yàn)證CAN總線報(bào)文中的校驗(yàn)和和時(shí)間戳。同時(shí)可以對于分析出來的報(bào)文可以通過可視化的方式分析出報(bào)文的變化量,從而確定控制報(bào)文的區(qū)間值。通時(shí)還可以在平臺內(nèi)共享可編程的汽車測試用例。之前我們通過演示對BYD汽車的總線數(shù)據(jù)的破解,來展示CAN-Pick工具的強(qiáng)大能力并且系統(tǒng)的介紹汽車總線協(xié)議的逆向分析方法,演示對于汽車總線的注入攻擊,突破汽車總線安全設(shè)計(jì)。未來可以通過該工具做為中間人,在不增加汽車執(zhí)行器的情況下實(shí)現(xiàn)對汽車的自動控制功能。
ECU安全威脅分析
ECU(Electronic Control Unit)電子控制單元,是汽車專用微機(jī)控制器,它和普通的單片機(jī)一樣,由微處理器、存儲器、輸入/輸出接口、模數(shù)轉(zhuǎn)換器以及整形、驅(qū)動等大規(guī)模集成電路組成。電控單元的功能是根據(jù)其內(nèi)存的程序和數(shù)據(jù)對空氣流量計(jì)及各種傳感器輸入的信息進(jìn)行運(yùn)算、處理、判斷,然后輸出指令。一輛汽車通常有幾十個(gè)甚至更多的電子控制器,其中許多被連成網(wǎng)絡(luò),相互進(jìn)行通信。大多數(shù)汽車的電子控制模塊具備一些防止其代碼和操作遭到篡改的措施,這些措施的保護(hù)力度強(qiáng)弱不一。
ECU攻擊也可分為這樣三種不同的類別:
前門(front door)攻擊:劫持原始設(shè)備制造商(OEM)的訪問機(jī)制。第二代車載診斷系統(tǒng)標(biāo)準(zhǔn)規(guī)定,車輛可以通過OBD連接器進(jìn)行重新編程,因此對原廠編程方法進(jìn)行逆向工程是一種有保證的攻擊方式。
后門(back door)攻擊:使用更為傳統(tǒng)的硬件黑客手段。汽車的電子控制模塊也是嵌入式系統(tǒng),因此可以對其運(yùn)用常規(guī)硬件攻擊手段。
漏洞利用:檢測并發(fā)現(xiàn)非預(yù)期訪問機(jī)制。通常而言,漏洞利用代碼是基于bug或問題構(gòu)建的。bug極有可能導(dǎo)致系統(tǒng)崩潰、重啟或執(zhí)行駕駛?cè)藛T非預(yù)期的功能,其中的一些bug給了緩沖出溢出攻擊的機(jī)會,通過非預(yù)期輸入為控制受bug影響的設(shè)備打開一扇大門。構(gòu)造巧妙的輸入能夠觸發(fā)bug,導(dǎo)致設(shè)備執(zhí)行攻擊者提供的惡意代碼,而不是觸發(fā)常規(guī)故障狀態(tài)。
下面以汽車發(fā)動機(jī)ECU為例,對ECU的固件進(jìn)行逆向分析,ECU的本質(zhì)和單片機(jī)一樣,可以被外部設(shè)備進(jìn)行固件的刷寫,也可以通過外部設(shè)備將其固件提取出來進(jìn)行分析。通過分析CAN總線數(shù)據(jù),部分ECU功能和數(shù)據(jù)流是無法完全分析出來的,通過對ECU固件的逆向,分析ECU代碼,可以獲得其功能、指令集等。
同時(shí),ECU能被刷寫固件的特點(diǎn)也為攻擊者提供了一個(gè)攻擊難度較大,但是危害也較大的攻擊入口。攻擊者通過遠(yuǎn)程更新ECU固件,將惡意代碼刷寫入ECU便可以輕易的干擾整個(gè)車內(nèi)網(wǎng)絡(luò),造成無法估計(jì)的損失。ECU 固件的讀取和普通設(shè)備的固件讀取類似,但是也有差別。相似之處就是都需要硬件設(shè)備支持,不同之處在于接口方式的不同。
當(dāng)然有的需要將 ECU 拆解下來進(jìn)行固件讀取,而有的可以直接通過 OBD 口進(jìn)行固件讀取,通過 OBD 讀取更加簡單。固件信息提取時(shí),首先通過二進(jìn)制數(shù)據(jù)中的字符串來看看該 ECU 固件的有哪些信息,其次必須知道該固件的 MCU 類型,以便知道該 ECU 采用指令集類型。這里會用到 binwalk工具和Bosch Me7x 插件,通過該插件會成功找到了一些關(guān)鍵函數(shù)和 MAP 表。
為了識別出更多 MAP表,需要一個(gè)更加專業(yè)的工具-winols,該款工具可以很好的識別出 ECU 固件中 MAP 并且能夠?qū)崿F(xiàn)這些數(shù)據(jù)的 2D、 3D 展示,最強(qiáng)大的是可以實(shí)現(xiàn) MAP 數(shù)據(jù)的編輯和校驗(yàn),即便是加密處理過的數(shù)據(jù)也可以自行解密。
車間通信安全威脅分析
車聯(lián)網(wǎng)是以車內(nèi)網(wǎng)、車際網(wǎng)和車載移動互聯(lián)網(wǎng)為基礎(chǔ),按照約定的通信協(xié)議和數(shù)據(jù)交互標(biāo)準(zhǔn),在V-X(V:vehicle,X:車、路、行人及互聯(lián)網(wǎng)等)之間,進(jìn)行無線通訊和信息交換的系統(tǒng)網(wǎng)絡(luò)。目前,全球還沒有統(tǒng)一的車間通信標(biāo)準(zhǔn)。美國于1998年推出了DSRC作為車間通信標(biāo)準(zhǔn),DSRC以IEEE 802.11p(WAVE)作為物理層標(biāo)準(zhǔn),IEEE 802.11p由IEEE 802.11標(biāo)準(zhǔn)擴(kuò)充,專門應(yīng)用于車用環(huán)境的無線通信技術(shù),采用5.850~5.925GHz中的75MHz頻段作為通信頻段,傳輸距離可以達(dá)到1000米。DSRC系統(tǒng)包含車載裝置(On Board Unit, OBU)與路側(cè)裝置(Road Site Unit, RSU)兩項(xiàng)重要組件,透過OBU與RSU提供車間與車路間信息的雙向傳輸。
雖然大部分V2V技術(shù)和安全策略還未出臺,但已知的是:蜂窩網(wǎng)、DSRC和混合通信的安全性均基于某種類似Web網(wǎng)站上SSL模型的公鑰基礎(chǔ)設(shè)施(PKI,Pubilc Key Infrastructure)模型。通過生成公鑰和私鑰對,用戶可以使用PKI系統(tǒng)的加密和解密文件中創(chuàng)建數(shù)字簽名并發(fā)送到網(wǎng)絡(luò)上。公鑰可以公開交換,用于對目的地之間的數(shù)據(jù)進(jìn)行加密。一旦加密完成,只有私人秘鑰可用于對數(shù)據(jù)進(jìn)行解密,數(shù)據(jù)使用發(fā)件人的私鑰簽名是為了驗(yàn)證數(shù)據(jù)來源。
盡管在DSRC應(yīng)用層上已有身份認(rèn)證和傳輸加密措施,但是在鏈路層上的通信是沒有加密的。攻擊者可以通過購買具備DSRC功能的設(shè)備,或者使用軟件定義的無線電,制作自己的DSRC接收器,就可以在接收器的有效距離內(nèi)接收車輛的相關(guān)信息,如尺寸、位置、速度、方向以及最近300米內(nèi)的行車路徑,并使用這些信息跟蹤目標(biāo)車輛。例如,如果攻擊者知道目標(biāo)車輛的制造商和型號以及尺寸,他們就可以在目標(biāo)人家的附近設(shè)置接收器,遠(yuǎn)程接收目標(biāo)車輛何時(shí)駛出接收器的范圍,這樣攻擊者可以獲得車主離開住宅的時(shí)間。除此之外,在V2V系統(tǒng)的實(shí)現(xiàn)中還存在有其他的安全隱患:如攻擊者阻止自己的車輛發(fā)送信息,從而隱藏自己的駕駛行為;收集某一車輛的信息,并利用它們來識別某個(gè)特定的駕駛員;攻擊者偽造身份發(fā)送虛假消息等。車間通信不僅僅涉及到無線通信領(lǐng)域的信號竊取、信號干擾等固有安全問題,惡意行為人對車間通信的安全性影響也是不能忽視的。來源:車云網(wǎng)