(长按识别上方二维码,报名第29届IEEE IV大会 )
我们的世界变得越来越数字化,越来越多的使用设备被网络连接起来。但是,这些快速变化也会带来了风险。在过去的几年里,像福特,吉普,日产和丰田这样的汽车制造商都曾遭遇过汽车黑客漏洞。而最近一项研究发现,某些大众汽车中车载信息娱乐系统(IVI)可能会被远程黑客入侵。
这个漏洞是Daan Keuper与Thijs Alkemade两位研究人员发现的,他们发现大众及奥迪某些车型存在安全漏洞,车载信息娱乐系统与车载网络易遭黑客攻破。该漏洞在2015年生产的大众高尔夫GTE和奥迪3系车中都有发现。计算机研究人员Daan Keuper和发现该缺陷的Thijs Alkemade说,在某些情况下,IVI漏洞能让攻击者能够指挥车载麦克风并监听司机的谈话,打开和关闭麦克风,以及访问系统的完整地址簿和对话历史记录。他们表示,在任何时候,黑客都有可能通过导航系统跟踪汽车。
高访问级别的漏洞
研究人员表示,他们能够利用哈曼制造的模块化信息娱乐(MIB)平台中未公开的漏洞通过Wi-Fi远程访问IVI系统。然后,利用暴露的端口访问系统的管理软件。两位研究人员公布了其研究报告,报告中称“我们可以远程侵入MIB IVI系统,并从那里向IVI CAN 总线上发送任意CAN 消息……因此,我们可以控制中央屏幕,扬声器和麦克风,这已经是很高的访问级别。”
最初,他们使用该漏洞从磁盘读取任意文件,但很快他们发现可以将其扩展为完全远程代码执行。访问并不止步于此,Computest的研究人员通过这个漏洞发现,他们可以访问IVI系统的多媒体应用单元(MMX)主处理器,该处理器负责屏幕合成和多媒体解码等任务。从那里,他们能够控制无线电和汽车控制单元(RCC)。报告称:“下一步将是通过总线发送任意CAN消息,以了解我们是否能够接触任何安全关键组件。”
但是,向CAN总线发送任意的CAN消息将涉及到黑客直接连接到网关的芯片,并且用于在不同的CAN总线之间防火墙消息。在这一点上,Computest的研究人员表示,他们决定放弃他们的研究,因为它需要使用物理矢量从芯片中提取固件。
“经过慎重考虑,我们决定在这一点上停止研究,因为这可能会损害制造商的知识产权并可能违反法律,”Computest研究人员说。
漏洞不可通过OTA进行修复
Computest于2017年夏季将其研究工作纳入大众汽车。Keuper表示,2018年4月,大众汽车向Computest提供了一封确认这些漏洞的信件,并声明他们已经修复了信息娱乐系统的软件更新。
尽管大众汽车已经修复了目前正在生产的汽车,但Computest的研究人员强调,他们不会透露更多有关该漏洞的细节,因为这些更新无法通过无线(OTA)进行修复; 因此,受影响的车主可能要与他们的经销商当面解决漏洞问题。
智能网联给汽车带来的漏洞
目前,由于智能网联技术的发展,车变得更智能,同时也出现了很多风险。在过去,汽车主要是机械车辆,它们依靠机械来实现转向和制动等功能操作。现代汽车主要依靠电子来控制这些系统。通过线控,与传统的机械方法相比,有很多优点。由于组件是由计算机控制的,所以可能有多种安全功能。例如,如果前方雷达检测到障碍物,认为碰撞是不可避免的,车辆会自动刹车。通过线控也可用于自动停车等,远程驾驶等。
所有这些新功能都是可以实现的,因为现代汽车中的每个组件都连接到中央总线,由它来交换消息,最常见的总线系统是CAN总线。 CAN协议本身相对简单,在基础上,每条消息都有一个仲裁ID和一个有效载荷。那里没有身份验证,授权,签名,加密等。一旦进入总线,就可以发送任意消息,被连接到同一总线的所有方都可以接收到。每个组件可以自行决定是哪些特定的消息适用于他们。
CAN协议原理图
理论上,这意味着如果攻击者能够访问车辆的CAN总线,就能控制汽车。例如,他们可以冒充前方雷达,指示制动系统紧急停车。攻击者只需要找到一种方法来实际访问连接到CAN总线的组件,而无需物理访问。而且有很多远程攻击面可供选择,其中一些需要靠近汽车,而另一些可从全球任何地方控制。一些需要与用户互动的媒介可能会在不知不觉中袭击乘客。
例如,现代汽车有一个监测轮胎压力的系统,称为TPMS(轮胎压力监测系统),如果其中一层的压力低,它将通知驾驶员。这是一个无线系统,轮胎将通过无线电信号或蓝牙与汽车内的接收器通信。该接收器将通过CAN总线上的消息反过来通知其他组件。组合仪表将收到此消息,并作为响应打开相应的警示灯。另一个例子是钥匙链,它与汽车内的接收器进行无线通信,而钥匙链又与车门锁和发动机中的防盗锁通信。所有这些组件都有两个共同点:它们都连接到CAN总线,并具有远程攻击面(即接收器)。
现代汽车有两种防止恶意CAN消息的主要方式。首先是汽车所有部件的防御行为。每个组件都设计了始终选择最安全的选项,以防止可能出现故障。例如,自动停车的自动转向可能会在默认情况下禁用,只有在汽车倒车时和低速时才能启用。如果公交车上的另一个恶意设备冒充前方雷达,试图触发紧急停车,那么真正的前方雷达将继续发送信息。
第二种保护机制是现代汽车具有多个CAN总线,它将安全关键设备与便利设备分开。例如,制动器和发动机连接到高速CAN总线,而空调和挡风玻璃刮水器连接到分离的(并且最有可能的是低速)CAN总线。理论上一些车是完全可以分开的,但实际上它们通常通过所谓的网关连接。这是因为有些情况下数据必须从低速CAN总线流向高速CAN总线。例如,门锁必须能够与发动机通信来启用和禁用防盗锁,并且IVI系统从发动机接收状态信息和错误代码以显示在中央显示器上。对这些消息进行防火墙是网关的责任,它将监控每条总线上的每条消息并决定允许哪些消息通过。
具有蜂窝连接的IVI系统连接到低速CAN总线,高速CAN总线由网关保护
在过去的几年里,我们看到了智能网联汽车的增加,甚至看到过两个蜂窝网络连接的汽车。例如,IVI系统可以使用此连接来获取诸如地图数据之类的信息,或者提供诸如互联网浏览器或Wi-Fi热点之类的功能,或者可以通过APP来控制某些功能。例如,远程启动集中供热以预热汽车,或通过远程锁定/解锁汽车。在所有情况下,具有蜂窝连接的设备也要连接到CAN总线,这种远程理论上可能危害车辆。其中一些是有可能受到攻击的,因为蜂窝连接没有受到防火墙的阻挡,而其他攻击则依赖于用户访问车内浏览器上网页产生的漏洞。
智能网联汽车让未来汽车更智能和便利,但是由电控取代机械控制将会引入新的安全风险。未来,在发展智能网联汽车技术的同时,也要兼顾网联安全性研究,设置更多的加密机制来确保车辆的出行安全。
领取专属 10元无门槛券
私享最新 技术干货