《智能網(wǎng)聯(lián)汽車安全》課件第4章

4.1

智能網(wǎng)聯(lián)汽車威脅建模概述及設(shè)計

如圖4．1所示,本書將智能網(wǎng)聯(lián)汽車的威脅模型分為三級:LEVEL0、LEVEL1和LEVEL2,從智能網(wǎng)聯(lián)汽車整車級、智能網(wǎng)聯(lián)汽車通信系統(tǒng)級、智能網(wǎng)聯(lián)汽車應(yīng)用模塊級三個層級構(gòu)建威脅模型,將威脅分析聚焦到具體應(yīng)用單元及零部件,細化智能網(wǎng)聯(lián)汽車面臨的安全威脅和風險。圖4．1智能網(wǎng)聯(lián)汽車威脅模型

4.2LEVEL0級:智能網(wǎng)聯(lián)汽車整車級威脅分析

圖4．2所示為智能網(wǎng)聯(lián)汽車整車級威脅建模框架,從通信角度把智能網(wǎng)聯(lián)汽車面臨的威脅分為3大類16個子類的單元及模塊,全面覆蓋智能網(wǎng)聯(lián)汽車的各個風險點,通過深入分析可以得到智能網(wǎng)聯(lián)汽車面臨威脅的細粒度全貌。圖4．2智能網(wǎng)聯(lián)汽車威脅建?？蚣?/p>

4.3

LEVEL1級：智能網(wǎng)聯(lián)汽車通信系統(tǒng)級威脅分析

智能網(wǎng)聯(lián)汽車離不開各種通信系統(tǒng)的協(xié)調(diào)配合,智能網(wǎng)聯(lián)汽車面臨的威脅也以這些通信系統(tǒng)面臨的威脅為基礎(chǔ),對于智能網(wǎng)聯(lián)汽車的LEVEL1級威脅,本書主要從車內(nèi)通信、近程通信、遠程通信三個角度進行分析,全面覆蓋智能網(wǎng)聯(lián)汽車的通信系統(tǒng)級威脅。

4.3.1車內(nèi)通信威脅分析

車內(nèi)通信是指車載端與車內(nèi)總線以及電子電氣系統(tǒng)之間的通信。由于車內(nèi)通信要滿足數(shù)據(jù)交換的需求,所以無法做到外部威脅與內(nèi)部網(wǎng)絡(luò)之間的安全隔離,無法保證車載端向

內(nèi)部關(guān)鍵電子電氣系統(tǒng)發(fā)送偽造、重放等攻擊方式的指令和數(shù)據(jù),進而威脅到車內(nèi)子系統(tǒng)和數(shù)據(jù)的保密性、完整性等。如圖43所示,車內(nèi)通信主要涉及CAN總線、GW、IVI、

TBOX、各種ECU、USB、OBD等子模塊。圖4．3車內(nèi)通信攻擊示意圖

4.3.2近程通信威脅分析

汽車近程通信技術(shù)是從無接觸式的認證和互聯(lián)技術(shù)演化而來的短距離通信技術(shù)。隨著多種近程通信技術(shù)的廣泛應(yīng)用,車輛需要部署多個近程通信模塊,實現(xiàn)WiFi、藍牙、Radio、TPMS、Keyless等多種通信功能。近程通信攻擊如圖4．4所示。近程通信面臨的安全威脅主要包括通信協(xié)議本身面臨的威脅、通信過程面臨的威脅、通信模塊面臨的威脅等,具體涉及協(xié)議逆向破解、嗅探竊聽、數(shù)據(jù)破壞、中間人攻擊、拒絕服務(wù)攻擊等。圖4．4近程通信攻擊示意圖

4.3.3遠程通信威脅分析

汽車遠程通信包括車載端與蜂窩網(wǎng)絡(luò)的通信、與移動終端間的通信以及與其他車輛和路側(cè)設(shè)施的通信。由于汽車遠程通信要滿足不同應(yīng)用場景對通信和數(shù)據(jù)交換的需求,因而

存在信號嗅探、中間人攻擊、重放等多種針對通信的安全威脅,無法保證數(shù)據(jù)的保密性、完整性及通信質(zhì)量。車外通信威脅也包括通信協(xié)議本身面臨的威脅、通信過程中面臨的威脅、通信模塊面臨的威脅等,主要涉及車聯(lián)網(wǎng)TSP平臺、遠程控車App、OTA遠程升級、GPS通信等,如圖4．5所示。圖

4．5遠程通信攻擊示意圖

4.4LEVEL2級:車內(nèi)通信應(yīng)用模塊威脅分析

4.4.1CAN總線威脅分析

1.概述

CAN是ControllerAreaNetwork的縮寫,是ISO國際標準化的串行通信協(xié)議。CAN總線相當于汽車的神經(jīng)網(wǎng)絡(luò),連接車內(nèi)各控制系統(tǒng),其通信采用廣播機制,各連接部件均可收發(fā)控制消息,通信效率高,可確保通信實時性。析

如今的汽車包含很多不同的電子組件,這些組件通過CAN總線連接,構(gòu)成了一個負責監(jiān)視和控制汽車的車內(nèi)網(wǎng)絡(luò),大多數(shù)針對汽車的攻擊最終都要通過CAN總線來實現(xiàn)。由于CAN總線本身只定義ISO/OSI模型中的物理層和數(shù)據(jù)鏈路層,通常情況下CAN總線網(wǎng)絡(luò)都是獨立的網(wǎng)絡(luò),所以沒有網(wǎng)絡(luò)層。CAN總線的基本拓撲結(jié)構(gòu)如圖4．6所示。圖4．6CAN總線的基本拓撲結(jié)構(gòu)

2.威脅分析

從機密性角度,CAN總線中報文是通過廣播方式傳送,所有的節(jié)點都可以接收總線中發(fā)送的消息,使得總線數(shù)據(jù)容易被監(jiān)聽和獲取。

從完整性角度,CAN總線協(xié)議中的ID只是代表報文的優(yōu)先級,協(xié)議中并沒有原始地址信息,接收ECU對于收到的數(shù)據(jù)無法確認是否為原始數(shù)據(jù),即接收報文的真實性在現(xiàn)有的機制下無法確認,這就容易導致攻擊者通過注入虛假信息對CAN總線報文進行偽造、篡改等。

從可控性角度,汽車總線數(shù)據(jù)幀發(fā)送和接收過程中通過“挑戰(zhàn)”與“應(yīng)答”機制進行診斷和保護ECU,由于計算資源限制,當前ECU訪問的密鑰通常是固定不變的,這就為黑客向總線發(fā)送報文進行破解和改寫提供可能。

3.案例分析:物理接觸攻擊CAN總線

2010年,華盛頓大學的研究人員通過物理接觸入侵了汽車CAN總線,研究人員利用連接在OBD接口上的筆記本電腦實現(xiàn)了對汽車的控制,如圖4．7所示。圖4．7接觸式攻擊原理圖

4.4.2OBD威脅分析

1.概述

OBD的全稱是OnBoardDiagnostics,翻譯成中文是:車載診斷系統(tǒng)。“OBDⅡ”又稱為OBD2,是Ⅱ型車載診斷系統(tǒng)的縮寫。

本書討論的有關(guān)OBD的內(nèi)容,既包括OBD接口,又包括OBD盒子。OBD接口是車載診斷系統(tǒng)接口,是智能網(wǎng)聯(lián)汽車外部設(shè)備接入CAN總線的重要接口,可下發(fā)診斷指令與總線進行交互,進行車輛故障診斷、控制指令收發(fā)等,一般在汽車駕駛室的油門踏板上方。OBD盒子也叫OBD診斷儀,一般由第三方廠家生產(chǎn),功能大同小異,大多OBD盒子可以實現(xiàn)遠程檢測、跟車導航(路況通暢、定位、報警)、行車分析(某一段路程的用時及油耗)、油耗管理等功能。圖4．8所示為OBD盒子和OBD接口。圖4．8OBD盒子(左)和OBD接口(右)

2.威脅分析

OBD接口對接入的設(shè)備沒有任何訪問驗證授權(quán)機制,再加上CAN總線系統(tǒng)中的消息采用明文傳輸,因此任何人都可以使用OBD診斷設(shè)備接入車輛進行操作。通過OBD接口

對CAN總線操作主要分三種情況:一是OBD對CAN總線數(shù)據(jù)可讀可寫,此類安全風險最大;二是OBD接口對CAN總線可讀不可寫;三是OBD接口對CAN總線可讀,但消息寫入需遵循J1939協(xié)議,后兩者安全風險較小。

3.案例分析:OBD診斷設(shè)備漏洞

移動設(shè)備C4OBD2分析儀已經(jīng)被用在共享汽車業(yè)務(wù)上,如Metromile的共享汽車業(yè)務(wù)。該診斷設(shè)備本身包含一個GPS接收器、蜂窩芯片和板載微處理器,通過蜂窩網(wǎng)絡(luò)與服

務(wù)提供商通信,以共享車輛操作的數(shù)據(jù)。研究人員發(fā)現(xiàn),利用該設(shè)備的漏洞(主要為三個CVE漏洞),可通過OBD端口向CAN總線注入消息控制車輛①。圖4．9所示為CVE20152906的相關(guān)信息。圖4．9CVE20152906

該設(shè)備支持一些默認啟用的服務(wù)(Telnet、SSH、HTTP),這些服務(wù)可以遠程訪問,可能用于調(diào)試目的。該設(shè)備與服務(wù)器通信需要6個SSH私鑰(用于root賬戶、更新服務(wù)器和設(shè)備),這些密鑰在所有C4OBD2設(shè)備中都是相同的,如果一個密鑰被攻擊者提取,那么其他設(shè)備也可能受到攻擊。圖4．10所示為CVE20152907的相關(guān)信息。圖4．10CVE20152907

設(shè)備的用戶名和密碼被硬編碼,并且所有設(shè)備都共享同一個SSH用戶名,攻擊者使用硬編碼的SSH用戶名和密碼能夠訪問任何C4OBD2分析儀設(shè)備。圖4．11所示為CVE

20152908的相關(guān)信息。圖4．11CVE20152908

4.4.3GW威脅分析

1.概述

GW,即Gateway,網(wǎng)關(guān)。汽車網(wǎng)關(guān)是汽車內(nèi)部通信局域網(wǎng)的核心模塊,與各ECU通過CAN協(xié)議或其他協(xié)議進行通信。

網(wǎng)關(guān)其作為整車網(wǎng)絡(luò)的數(shù)據(jù)交互樞紐,可將CAN、LIN、MOST、FlexRay等網(wǎng)絡(luò)數(shù)據(jù)在不同網(wǎng)絡(luò)中進行路由。汽車網(wǎng)關(guān)主要有以下三個功能:第一,報文路由,網(wǎng)關(guān)具有轉(zhuǎn)發(fā)報文的功能,并對總線報文狀態(tài)進行診斷;第二,信號路由,實現(xiàn)信號在不同報文間的映射;第三,網(wǎng)絡(luò)管理,監(jiān)測網(wǎng)絡(luò)狀態(tài),進行錯誤處理、休眠喚醒等。圖4．12所示為GW的通信拓撲圖。圖4．12GW的通信拓撲圖

2.威脅分析

網(wǎng)關(guān)作為汽車內(nèi)部網(wǎng)絡(luò)的樞紐,其面臨的威脅可概括為兩個層面。第一,攻擊者可利用網(wǎng)關(guān)通過總線網(wǎng)絡(luò)向各ECU發(fā)送惡意控制信息。第二,對于具備遠程通信功能的汽車網(wǎng)

關(guān)(TGU,TelematicsGatewayUnit),攻擊者可以遠程控制網(wǎng)關(guān),進而控制汽車。

3.案例分析:安裝有TGU模塊的汽車可被黑客跟蹤

2016年3月,來自研究機構(gòu)EyeOS的研究人員JoseCarlosNorte發(fā)現(xiàn),用于接收汽車遠程命令的TGU在網(wǎng)上保持開放狀態(tài),黑客能夠利用這些TGU跟蹤汽車①。這些存在安全風險的TGU名叫C4Max,由法國公司obileDevices制造,實物如圖4．13所示。圖4．13C4Max

Norte表示能夠通過利用搜索工具Shodan找到大批量的C4Max設(shè)備,許多設(shè)備都沒有對Telnet會話和設(shè)備的Web訪問進行身份驗證,攻擊者可以非常輕松地通過Shodan識

別C4Max設(shè)備,并獲取車輛信息,如GPS坐標、車速、電池狀態(tài)等。圖4．14所示為C4Max的Telnet會話。圖4．14C4Max的Telnet會話

4.4.4ECU威脅分析

1.概述

ECU(ElectronicControlUnit,電子控制單元)是汽車專用微機控制單元,如圖4．15所示。圖4．15汽車上的各種ECU

2.威脅分析

ECU面臨的安全威脅主要有三個:

一是攻擊者通過OBD接口直接獲取ECU的有效信息或?qū)CU拆解下來讀取固件,然后進行逆向分析;

二是ECU固件應(yīng)用程序因代碼缺陷存在安全漏洞,可能導致拒絕服務(wù)攻擊,進而導致汽車功能不能正常響應(yīng);

三是ECU更新時沒有對更新固件包進行安全校驗或者校驗方法被繞過,攻擊者可以重刷篡改過的固件。

3.案例分析:攻擊安全氣囊

2015年,一個由三位研究員組成的小組,演示了如何通過利用存在于第三方軟件中的Oday漏洞讓奧迪TT(及其他車型)的安全氣囊及其他功能失效。圖4．16所示為CVE201714937的相關(guān)信息。圖4．16CVE201714937

圖4．17所示為安全氣囊漏洞利用過程。圖4．17安全氣囊漏洞利用過程

4.4.5TBOX威脅分析

1.概述

T－BOX全稱TelematicsBOX。車載TBOX一方面可與CAN總線通信,實現(xiàn)指令和信息的傳遞,另一方面用于和后臺系統(tǒng)/手機App通信,實現(xiàn)手機App的車輛信息顯示與控制,是車內(nèi)外信息交互的樞紐。

T－BOX主要由MCU、蜂窩網(wǎng)通信模塊等組成。MCU主要負責整車CAN網(wǎng)絡(luò)數(shù)據(jù)的接收與處理、信息上傳、電源管理、數(shù)據(jù)存儲、故障診斷以及遠程升級等;蜂窩網(wǎng)通信模塊主要負責網(wǎng)絡(luò)連接與數(shù)據(jù)傳遞,為用戶提供WiFi熱點鏈接,為IVI提供上網(wǎng)通道,同時為TBOX與服務(wù)器之間的信息傳遞提供傳輸通道。圖4．18所示為TBOX的通信拓撲結(jié)構(gòu)。圖4．18T－BOX的通信拓撲結(jié)構(gòu)

2.威脅分析

根據(jù)業(yè)界的STRIDE模型,T－BOX主要面臨以下三方面的安全威脅。一是協(xié)議破解?？刂破嚨南⒅噶钍窃赥－BOX內(nèi)部生成的,并且使用T－BOX的蜂窩網(wǎng)絡(luò)調(diào)制解調(diào)器的擴展模塊進行加密,相當于在傳輸層面加密,所以攻擊者一般無法得到消息會話的內(nèi)容,但是可以通過分析T－BOX的固件代碼,找到加密方法和密鑰,確定消息會話的內(nèi)容。二是信息泄露。有些T

－BOX出廠時是留有調(diào)試接口的,這樣就不需要用吹焊機吹下芯片,攻擊者通過TBOX預留調(diào)試接口就可以讀取內(nèi)部數(shù)據(jù)。三是中間人攻擊。攻擊者通過偽基站、DNS劫持等手段劫持TBOX會話,偽造通信內(nèi)容,實現(xiàn)對汽車的遠程控制。

3.案例分析:TBOX漏洞案例

2017年,來自McAfee的三名研究人員MickeyShkatov、JesseMichael和Oleksandr

Bazhaniuk發(fā)現(xiàn)福特、寶馬、英菲尼迪和日產(chǎn)汽車的遠程信息處理控制單元(也即TBOX)存在漏洞,這些T－BOX都是由ContinentalAG公司生產(chǎn)的。圖4．19所示為存在漏洞的T－BOX。圖4－19存在漏洞的T－BOX

其中一個漏洞是該T－BOX的SGold2(PMB8876)蜂窩基帶芯片中處理AT命令的組件存在緩沖區(qū)溢出漏洞(漏洞編號CVE20179647),如圖4．20所示。另一個漏洞是攻擊者可以利用TMSI(臨時移動用戶識別碼)來入侵并控制內(nèi)存(漏洞編號CVE20179633),這個漏洞可以被遠程利用。圖4．20處理AT命令的組件存在緩沖區(qū)溢出漏洞

4.4.6IVI威脅分析

1.概述

IVI(In-VehicleInfotainment,車載信息娛樂系統(tǒng))是采用車載專用中央處理器,基于車身總線系統(tǒng)和互聯(lián)網(wǎng)服務(wù),形成的車載綜合信息娛樂系統(tǒng)。IVI能夠?qū)崿F(xiàn)包括三維導航、

輔助駕駛、故障檢測、車輛信息、車身控制、移動辦公、無線通信、基于在線的娛樂功能等一系列應(yīng)用。圖4．21所示為IVI的通信拓撲結(jié)構(gòu)。圖4．21IVI的通信拓撲結(jié)構(gòu)

2.威脅分析

IVI面臨的主要威脅包括軟件攻擊和硬件攻擊兩方面:攻擊者可通過軟件升級的方式,在升級期間獲得訪問權(quán)限進入目標系統(tǒng);攻擊者可拆解IVI的眾多硬件接口,包括內(nèi)部總

線、無線訪問模塊、其他適配接口(如USB)等,通過對車載電路進行竊聽、逆向等獲取IVI系統(tǒng)內(nèi)信息,進而采取更多攻擊。

3.案例分析:攻擊JeepCherokee

首先,CharlieMiller利用CVE20155611越獄了Uconnect系統(tǒng)(一款車載IVI),發(fā)現(xiàn)該系統(tǒng)存在D-BUS服務(wù),該服務(wù)允許匿名登錄,登錄后可以進入到系統(tǒng)底層。這款設(shè)備同時還使用了Renesas制造的V850ES微型控制器,CharlieMiller和ChrisValasek發(fā)現(xiàn)V850芯片的固件更新沒有驗證簽名,他們編譯了一個經(jīng)過特殊構(gòu)造的固件,刷新到V850芯片中去,可以實現(xiàn)通過IVI控制車身的功能。攻擊流程如圖4．22所示。圖4．

22攻擊JeepCherokee的流程

4.4.7USB威脅分析

1.概述

USB(UniversalSerialBus,通用串行總線)是連接計算機系統(tǒng)與外部設(shè)備的一種串口總線標準,被廣泛地應(yīng)用于個人電腦和移動設(shè)備等信息通信產(chǎn)品。汽車上的USB接口可以

用來插U盤、需要充電的移動設(shè)備、USB車載點煙器、電子狗、行車記錄儀等。圖4．23所示為汽車上的USB接口。圖4．23汽車上的USB接口

2.威脅分析

USB主要面臨以下威脅:

一是利用USB接口,攻擊者可以在IVI上安裝惡意軟件或安裝篡改后的IVI升級固件;

二是利用IVI的USB協(xié)議棧漏洞進行滲透測試;

三是插入惡意USB設(shè)備,瞬時提高IVI的電壓,從物理上損壞IVI系統(tǒng)。

3.案例分析:利用U盤入侵馬自達

2017年,研究人員Turla發(fā)現(xiàn)僅靠插入一個裝有特定代碼的U盤就能黑進馬自達信息娛樂系統(tǒng)(MZDConnect)。以下是已知配置了MZDConnect的馬自達車型:MazdaCX-3、

MazdaCX-5、MazdaCX-7、MazdaCX-9、Mazda2、Mazda3、Mazda6、MazdaMX-5等。Turla的mazda_getInfo項目在GitHub上開放,可讓使用者在他們的U盤上復制一組腳本,將其插入汽車的USB接口即可在MZDConnect上執(zhí)行惡意代碼,如圖4．24所示。圖4．24執(zhí)行惡意代碼

4.5

LEVEL2級：

近程通信應(yīng)用模塊威脅分析

4.5.1WiFi威脅分析

1.概述

WiFi,一種基于IEEE802.11標準的無線局域網(wǎng)技術(shù)。汽車WiFi需要車載WiFi設(shè)備,一般是指裝載在車輛上的通過3G/4G/5G轉(zhuǎn)WiFi的技術(shù),提供WiFi熱點的無線路由。WiFi模塊一般集成在汽車的IVI上,消費者能夠在車載WiFi環(huán)境下使用各種智能移動設(shè)備,還可以利用WiFi實現(xiàn)車內(nèi)軟件的更新。

2.威脅分析

當前車載WiFi主要面臨以下威脅:一是攻擊者連接車載WiFi接入車內(nèi)網(wǎng)絡(luò),攻擊車內(nèi)網(wǎng)絡(luò)模塊,如攻擊IVI;二是車載WiFi默認密碼較簡單,攻擊者接入車內(nèi)網(wǎng)絡(luò)后嗅探攻擊同局域網(wǎng)的用戶;三是耗盡車載WiFi流量使之無法正常工作。

3.案例分析:黑客利用WiFi攻擊三菱歐藍德

2016年6月,來自英國的黑客利用WiFi漏洞遠程關(guān)閉了三菱歐藍德汽車防盜報警器。三菱歐藍德配備了WiFi接入點來代替GSM模塊,用戶需要斷開其他WiFi連接,顯式地

連接汽車接入點才能控制各模塊功能,并且用戶只能在WiFi的有效范圍內(nèi)連接汽車。三菱歐藍德將WiFi預共享密鑰寫在了用戶手冊中,且格式十分簡短,歐藍德汽車的SSID有較

強的特征,攻擊者可輕而易舉地對汽車進行定位。獲取SSID和相關(guān)的PSK后,攻擊者借助中間人攻擊,結(jié)合手機App重放發(fā)送到汽車的各種消息,成功開啟或關(guān)閉車燈、關(guān)閉防

盜報警器。圖4．25所示為針對三菱歐藍德的攻擊示意圖。圖4．25針對三菱歐藍德的攻擊示意圖

4.5.2藍牙威脅分析

1.概述

藍牙,一種無線通信技術(shù),車載藍牙系統(tǒng)中的藍牙通信技術(shù)是從藍牙技術(shù)延續(xù)而來的。車載藍牙系統(tǒng)的主要功能是在車輛行駛中用藍牙技術(shù)與手機連接進行通話,達到解放雙

手、降低交通肇事隱患的目的。藍牙技術(shù)還用于汽車鑰匙中(如結(jié)合移動App,在一定范圍內(nèi)控制汽車車門、車窗等)。圖4．26所示為某品牌的藍牙鑰匙App。圖4．26某品牌的藍牙鑰匙App

2.安全威脅分析

汽車藍牙存在的安全威脅包含兩部分。一是在汽車藍牙使用了老舊的藍牙版本的情況下,因舊版本的藍牙存在大量的安全漏洞,如PIN碼易受到竊聽攻擊,如果給予足夠時間,

竊聽者能夠收集所有的配對幀,破解出LTK,從而破解藍牙鏈路層AESCCM加密的密文,獲取數(shù)據(jù)包內(nèi)的授權(quán)碼、UUID等數(shù)據(jù),對車主或者汽車帶藍牙功能的設(shè)備進行攻擊;二是搭載藍牙功能的設(shè)備實現(xiàn)藍牙功能時因編碼不當導致的安全風險,如CVE20170781是最近爆出的Android藍牙棧的嚴重漏洞,允許攻擊者遠程獲取Android手機的命令執(zhí)行權(quán)限。圖4．27所示為汽車黑客利用安卓藍牙漏洞攻擊的示意圖。圖4．27汽車黑客利用藍牙漏洞攻擊示意圖

3.案例分析:汽車診斷工具的藍牙模塊存在漏洞

2016年4月,研究人員發(fā)現(xiàn)Lemur的車輛監(jiān)視器產(chǎn)品BlueDriver不需要PIN碼就可以連上藍牙,這使得在藍牙信號范圍內(nèi)任何人均可以訪問BlueDriver的診斷信息,包括行

駛里程、診斷故障碼、速度和排放等,甚至還允許攻擊者發(fā)送任意CAN指令來控制車輛。圖4．28所示為CVE20162354的相關(guān)信息。圖4．28CVE20162354

4.5.3Radio威脅分析

1.概述

本書討論的Radio,是指車載收音機系統(tǒng)。車載收音機的主要性能指標有頻率范圍、靈敏度、選擇性、整機頻率特性、整機諧波失真、輸出功率等。頻率范圍是指收音機所能接收到的電臺廣播信號的頻率。要收聽收音機,首先一定要捕獲無線電波,收音機的接收天線就是用來接收無線電信號的,如圖4－29所示。圖4－29車載收音機基本接收框圖

2.威脅分析

車載收音機主要面臨以下幾種威脅:一是無線數(shù)據(jù)報文監(jiān)聽,使用與目標系統(tǒng)運行頻率相同的監(jiān)聽設(shè)備對無線報文進行收集及逆向分析,將無線報文數(shù)據(jù)通過相應(yīng)的方法解密

后,可深入了解整套收音機系統(tǒng)的運作原理,找出關(guān)鍵指令對汽車實施遠程控制;二是無線信號欺騙攻擊,結(jié)合無線監(jiān)聽及解密方法,解析無線通信協(xié)議,構(gòu)造合法的可以通過認證的無線報文,對目標進行欺騙攻擊;三是無

3.案例分析:攻擊車載數(shù)字音頻廣播收音機

2015年,來自NCCGROUP的研究人員AndyDavis發(fā)現(xiàn)車載數(shù)字音頻廣播(DAB)收音機存在漏洞。數(shù)字音頻廣播收音機一般集成在IVI中,IVI通過CAN總線連接到其他車

輛模塊,AndyDavis發(fā)現(xiàn)DAB無線電堆棧代碼任何漏洞都可能導致攻擊者利用IVI系統(tǒng)并將其攻擊轉(zhuǎn)向更多的車內(nèi)網(wǎng)絡(luò)模塊。圖4．30所示為AndyDavis利用設(shè)備對DAB收

音機進行安全測試。圖4．30利用設(shè)備對DAB收音機進行安全測試

4.5.4TPMS威脅分析

1.概述

TPMS(TirePressureMonitorSystem,胎壓監(jiān)測系統(tǒng))是一種常見的汽車電子控制系統(tǒng),用于監(jiān)測車輛充氣輪胎內(nèi)的氣壓。胎壓監(jiān)測系統(tǒng)需要在車胎上裝有帶信號發(fā)射功能的傳感器,除了傳感器外還需要有信號接收器,接收器安裝在車上,通過接收胎壓監(jiān)測數(shù)據(jù)包,得到輪胎傳感器的ID,而后基于胎壓傳感器的ID過濾胎壓數(shù)據(jù),得到每個輪胎的胎壓數(shù)值,最后通過儀表盤、顯示器或簡單的低壓警示燈向車輛駕駛員報告實時胎壓信息。圖4．31所示為TPMS的基本原理。圖4．31TPMS的基本原理

2.威脅分析

TPMS主要存在以下威脅:一是攻擊者可以偵聽和重放胎壓信號,一旦收到胎壓數(shù)據(jù)包,就可以解密得到輪胎傳感器的ID值,修改其中的胎壓值,進而引發(fā)TPMS系統(tǒng)發(fā)出警

報;二是利用傳感器ID的唯一性跟蹤車輛,將TPMS信號接收器置于目標跟蹤區(qū)域,利用TPMS傳感器對車輛進行跟蹤。圖4．32所示為利用TPMS跟蹤車輛。圖4．32利用TPMS跟蹤車輛

3.案例分析:利用HackRF攻擊TPMS

在YouTube上,LeadCyberSolutions頻道上傳有攻擊TPMS的視頻演示。視頻中,研究人員ChristopherFlatley、JamesPak和ThomasVaccaro展示了利用軟件定義無線電工

具——HackRF對TPMS進行中間人攻擊的操作。圖4．33所示為研究人員的實驗裝置。圖4．33研究人員的實驗裝置

4.5.5Keyless威脅分析

1.概述

汽車無鑰匙進入系統(tǒng),不是傳統(tǒng)的鑰匙,也不是完全不需要鑰匙,它分為RKE(RemoteKeylessEntry,遠程無鑰匙進入系統(tǒng))和PKE(PassiveKeylessEntry,被動無鑰匙進入系統(tǒng))兩種。

RKE系統(tǒng)省去了人們用手去摸鑰匙,鑰匙插入鎖孔,轉(zhuǎn)動鑰匙的一系列動作,當人們手拿物品時只要輕輕一按對應(yīng)的按鍵即可完成對車輛的解鎖/閉鎖(解防/設(shè)防)控制。如圖

4．34所示,RKE系統(tǒng)主要由一個安裝在汽車上的接收控制器和一個由用戶攜帶的發(fā)射器,即無線遙控車門鑰匙組成。RKE系統(tǒng)允許用戶使用鑰匙扣上的發(fā)射機來鎖定汽車門或

者開鎖,該發(fā)射機傳輸數(shù)據(jù)到汽車內(nèi),用戶按下鑰匙扣上的按鈕開關(guān)可觸發(fā)系統(tǒng)工作。圖4．34RKE系統(tǒng)的組成

2.威脅分析

汽車無鑰匙進入系統(tǒng)面臨的威脅:一是攻擊者通過信號中繼或者信號重放的方式,竊取用戶無線鑰匙信號,并發(fā)送給智能汽車,進而欺騙車輛開鎖,這樣的重放攻擊是有次數(shù)限制的;二是攻擊者尋找汽車鑰匙認證通信的算法漏洞進行攻擊,這種針對認證算法的攻擊是永久有效的。例如,HCS滾碼芯片和Keeloq算法都曾被曝出安全漏洞,對于滿足特定條件的信號,汽車會判斷成功并開鎖。

3.案例分析:無鑰匙進入系統(tǒng)存在漏洞

2016年,在奧斯汀舉辦的USENIX安全大會上,來自伯明翰大學的研究團隊和德國Kasper&Oswald工程公司公開披露了兩個漏洞,波及全球約1億輛汽車的無鑰匙進入系統(tǒng)。第一個漏洞讓黑客能夠無線解鎖幾乎近二十年來大眾集團售賣的所有汽車;第二個漏洞涉及的車企更多,如雪鐵龍、菲亞特、福特、三菱、日產(chǎn)、歐寶和標致等。

研究人員使用了價格便宜,易于操作的無線硬件截獲來自目標車主鑰匙終端發(fā)出的信號,并利用這些信號克隆一把新鑰匙。攻擊也能夠通過與筆記本無線連接的軟件實現(xiàn),或

者只使用一塊裝有無線接收器的Arduino板,花費只有40美元,如圖4．35所示。圖4．35價值約40美元的Arduino板

4.6LEVEL2級:遠程通信應(yīng)用模塊威脅分析

4.6.1TSP威脅分析

1.概述

TSP(TelematicsServiceProvider,汽車遠程服務(wù)提供商)在Telematics產(chǎn)業(yè)鏈中居于核心地位,上接汽車、車載設(shè)備制造商、網(wǎng)絡(luò)運營商,下接內(nèi)容提供商。TSP平臺集合了位置數(shù)據(jù)庫、云存儲、遠程通信等技術(shù),為車主提供導航、娛樂、資訊、安防、遠程尋車、燈光控制、開關(guān)空調(diào)、開關(guān)車門等服務(wù)。圖4．36所示為TSP平臺的通信拓撲結(jié)構(gòu)。圖4．36TSP的通信拓撲結(jié)構(gòu)

2.威脅分析

從眾多整車廠的調(diào)研結(jié)果來看,目前大多數(shù)TSP平臺的云端服務(wù)器使用公有云技術(shù),因此TSP平臺面臨云端的威脅。比如攻擊者可以通過虛擬機逃逸到宿主機,再從宿主機到達TSP平臺的虛擬機中,從而獲取TSP平臺的配置信息、密鑰、證書等,導致大量汽車被非法管控。其他安全威脅還涉及云數(shù)據(jù)安全、Web安全、邊界防護安全等。

3.案例分析:寶馬汽車被曝存安全漏洞

2015年2月,德國汽車協(xié)會(ADAC)發(fā)布報告稱,約220萬輛配備BMWConnectedDrive的汽車(包括勞斯萊斯幻影、MINI掀背車、i3電動汽車以及部分寶馬品牌產(chǎn)品)存在數(shù)字服務(wù)系統(tǒng)的安全漏洞,黑客可利用這些漏洞遠程打開車門。漏洞產(chǎn)生的原因之一是寶馬的TSP平臺和TBOX之間的通信數(shù)據(jù)沒有使用HTTPS進行加密傳輸,泄露了包括VIN號、控制指令等關(guān)鍵信息。黑客可以利用偽基站,讓寶馬汽車用戶注冊到一個假的TSP平臺,利用分析出來的有效信息給汽車下發(fā)控制指令,實現(xiàn)非法打開車門、啟動汽車的目的(細節(jié)會在第8章介紹)。圖4．37所示為ADAC的研究人員正在對存在漏洞的寶馬汽車進行安全測試。圖4．37研究人員對存在漏洞的寶馬汽車進行安全測試

4.6.2GPS威脅分析

1.概述

GPS(GlobalPositioningSystem,全球定位系統(tǒng))是由美國國防部研制建立的一種具有全方位、全天候、全時段、高精度的衛(wèi)星導航系統(tǒng),能為全球用戶提供低成本、高精度的三

維位置、速度和精確定時等導航信息。GPS車輛應(yīng)用系統(tǒng)一般分為兩大類:一類是GPS車輛跟蹤系統(tǒng),用于車輛防盜;另一類是GPS導航系統(tǒng),用于車輛導航。車載導航儀通過接

收衛(wèi)星信號,配合電子地圖數(shù)據(jù),適時掌握自己的方位與目的地。

2.威脅分析

GPS的安全威脅在于容易被干擾和欺騙。GPS衛(wèi)星通過不斷地廣播信號,告訴汽車GPS自己在什么位置,衛(wèi)星信號是單向的廣播信息,而且經(jīng)過從太空到地面這么遠的傳播,

信號已經(jīng)變得非常弱了。使用GPS模擬器,在接收機旁邊偽裝成衛(wèi)星,那么這個模擬器的信號很容易掩蓋真正的GPS信號,就可以很容易地欺騙汽車GPS接收模塊。圖4．38所示

為GPS欺騙攻擊示意圖。圖4．38GPS欺騙攻擊示意圖

3.案例分析:GPS欺騙攻擊

民用GPS易受到欺騙攻擊。GPS欺騙攻擊有兩個關(guān)鍵步驟:一是攻擊者會誘使受害者GPS接收器從合法信號轉(zhuǎn)移到欺騙信號,這一階段可以是暴力破解的,也可以是靜默執(zhí)行

的;二是攻擊者可以修改GPS接收器的信號到達時間或修改導航信息。2018年,來自弗吉尼亞理工大學和電子科技大學的研究人員提出了一種改進的方法,即在考慮道路布局的情

況下進行GPS欺騙攻擊。為進行攻擊,研究人員開發(fā)了一種近乎實時的算法,以及價格約為223美元的便攜式GPS欺騙設(shè)備,如圖4．39所示。圖4．39便攜式GPS欺騙設(shè)備

4.6.3App威脅分析

1.概述

汽車遠控App主要指安裝在智能手機或其他移動設(shè)備上的遠程控車應(yīng)用軟件。圖4．40所示為某款汽車遠控App。圖4．40某款汽車遠控App

汽車遠控App已經(jīng)成為眾多車企的選擇,很多汽車廠商均已有相關(guān)產(chǎn)品并擁有眾多用戶。就像互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)的關(guān)系,移動互聯(lián)網(wǎng)是互聯(lián)網(wǎng)的一部分,手機App是車聯(lián)網(wǎng)

的一部分,各汽車廠商的App提供的功能有所差異,主要包括但不限于以下功能:獲取汽車實時數(shù)據(jù)(含汽車故障數(shù)據(jù))、獲取當前地理定位數(shù)據(jù)(經(jīng)緯度信息)、獲取汽車基本信息(型號、牌號等)、信息綜合分析處理、展示車輛信息、將有價值信息批量發(fā)送給后臺云服務(wù)器、遠程解鎖車門或后備箱、遠程開啟或關(guān)閉發(fā)動機等。圖4．41所示為汽車遠控