簡(jiǎn)述黑客攻克自動(dòng)駕駛汽車的途徑、方式及危害

/ 導(dǎo)讀 /

因?yàn)?a href="http://wenjunhu.com/v/tag/1247/" target="_blank">電腦容易受到網(wǎng)絡(luò)攻擊，所以自動(dòng)駕駛車輛（AVs）也容易受到網(wǎng)絡(luò)攻擊也就不足為奇了。本文討論了黑客可以用來(lái)攻克自動(dòng)駕駛車輛的方法。當(dāng)人們把一個(gè)相互通信的AV車隊(duì)想象成一個(gè)運(yùn)行中的計(jì)算機(jī)網(wǎng)絡(luò)時(shí)，汽車被黑客攻擊所帶來(lái)的危險(xiǎn)就更加復(fù)雜了。這使得AVs可能更容易受到攻擊，而攻擊的規(guī)模和可能造成的損害規(guī)模都有可能擴(kuò)大。

攻擊者將有機(jī)會(huì)最大限度地發(fā)揮其行動(dòng)的影響。在最近的一次金融系統(tǒng)黑客攻擊中，孟加拉國(guó)央行在美國(guó)紐約聯(lián)邦儲(chǔ)備銀行的賬戶遭黑客攻擊， 被竊 8100 萬(wàn)美元。當(dāng)攻擊者獲得精確控制權(quán)，即使僅是一輛車，最終損害結(jié)果也可能是相當(dāng)嚴(yán)重的。

規(guī)模擴(kuò)大（Scaling out）指的是另一種現(xiàn)象。在攻擊中被利用的AV系統(tǒng)中的缺陷有可能在軟件和硬件中被廣泛復(fù)制。因此，一旦被發(fā)現(xiàn)，它們可以顯著放大后果。在某些情況下，受到黑客攻擊的組件可能與自動(dòng)駕駛或網(wǎng)聯(lián)沒(méi)有直接關(guān)系——例如，黑客攻擊無(wú)線鑰匙來(lái)開(kāi)鎖。在其他情況下，可以利用互聯(lián)功能，例如通過(guò)智能手機(jī)監(jiān)控或召喚汽車的能力。最令人擔(dān)憂的是硬件中固有的缺陷，這些缺陷可能會(huì)被廣泛復(fù)制，難以修補(bǔ)，從而對(duì)整個(gè)系統(tǒng)帶來(lái)影響。

一為什么車輛可能受到攻擊？

原因在于目前車輛各部件之間通信的設(shè)計(jì)和實(shí)現(xiàn)方式采用CAN協(xié)議，而CAN協(xié)議的設(shè)計(jì)和實(shí)施決策過(guò)程中存在一些缺點(diǎn)，亦可稱其為“CAN協(xié)議的弱點(diǎn)”。

第一個(gè)缺點(diǎn)是，使用CAN協(xié)議發(fā)送的消息會(huì)廣播到連接到CAN總線的所有設(shè)備。因此，任何連接到CAN的設(shè)備都可以接收使用該協(xié)議發(fā)送的每條消息。這可以使惡意設(shè)備或受損設(shè)備捕獲發(fā)送到其他設(shè)備的消息，對(duì)其進(jìn)行重新設(shè)計(jì)，并將惡意消息發(fā)送到另一個(gè)設(shè)備，指示其采取不必要的操作。

第二個(gè)弱點(diǎn)是CAN協(xié)議易受DoS攻擊。在這種情況下，實(shí)體可以通過(guò)CAN不間斷地發(fā)送消息，從而拒絕連接到網(wǎng)絡(luò)的其他設(shè)備使用CAN。

第三個(gè)缺點(diǎn)是由于沒(méi)有指定的驗(yàn)證字段，因此無(wú)法對(duì)通過(guò)CAN發(fā)送的消息進(jìn)行身份驗(yàn)證。這意味著任何可以訪問(wèn)CAN的惡意設(shè)備都可以假裝是其他設(shè)備并通過(guò)CAN發(fā)送消息。對(duì)于通過(guò)CAN接收到的此類未經(jīng)授權(quán)的消息，應(yīng)由連接的組件進(jìn)行防護(hù)。

第四個(gè)弱點(diǎn)是通過(guò)CAN支持診斷和測(cè)試，惡意攻擊者可以利用這些功能對(duì)連接到CAN的一個(gè)或多個(gè)組件發(fā)起攻擊。

二攻擊者如何訪問(wèn)車內(nèi)網(wǎng)絡(luò)？

討論攻擊車輛這一問(wèn)題必須首先假設(shè)攻擊者已經(jīng)確保了對(duì)車內(nèi)網(wǎng)絡(luò)的訪問(wèn)，并且能夠發(fā)起攻擊。通過(guò)回顧一些已經(jīng)進(jìn)行的實(shí)驗(yàn)研究，來(lái)確認(rèn)攻擊者是否可以訪問(wèn)車內(nèi)網(wǎng)絡(luò)。

有關(guān)未經(jīng)授權(quán)進(jìn)入CAN總線網(wǎng)絡(luò)的文獻(xiàn)很少，一些研究在深入分析各種車輛ECU的內(nèi)部組織（和互連）的基礎(chǔ)上提出了合理的推測(cè)。米勒和瓦拉塞克在2014年拉斯維加斯舉行的黑帽會(huì)議上提交了一份研究報(bào)告，從報(bào)告中的分析來(lái)看，顯然連接到CAN的ECU沒(méi)有很多被黑客攻擊的記錄，并且在許多情況下，有被黑客攻擊歷史的ECU并沒(méi)有連接到CAN。

這可以解釋為什么黑客入侵車輛以訪問(wèn)其車內(nèi)網(wǎng)絡(luò)并不是一種常見(jiàn)現(xiàn)象。然而他們的分析確實(shí)發(fā)現(xiàn)了一些易受攻擊的ECU與CAN總線網(wǎng)絡(luò)相連的車輛。從理論上講，通過(guò)對(duì)其中一個(gè)ECU進(jìn)行黑客攻擊，攻擊者可以獲得對(duì)CAN總線的未經(jīng)授權(quán)的訪問(wèn)，然后可以通過(guò)CAN執(zhí)行攻擊。

藍(lán)牙ECU、蜂窩網(wǎng)絡(luò)遠(yuǎn)程通信ECU和信息娛樂(lè)系統(tǒng)ECU存在黑客入侵的可能。在2016年以色列網(wǎng)絡(luò)安全公司Checkpoint提出了高通公司生產(chǎn)的某些芯片的四個(gè)缺陷，可以利用這些缺陷完全訪問(wèn)安裝芯片的設(shè)備。許多先進(jìn)的信息娛樂(lè)系統(tǒng)安裝了許多不同的應(yīng)用程序，如互聯(lián)網(wǎng)瀏覽器和媒體播放器，這類軟件以易受攻擊而聞名。這表明攻擊者可以侵入其中一個(gè)ECU以獲得對(duì)車內(nèi)網(wǎng)絡(luò)的未經(jīng)授權(quán)訪問(wèn)，這至少在理論上是可能的。

三黑客攻擊自動(dòng)駕駛車輛的主要途徑

我們發(fā)現(xiàn)了黑客可以用來(lái)控制AVs的三個(gè)主要途徑。

接入車輛的方式（圖片來(lái)源：網(wǎng)絡(luò)）

1） 利用軟件漏洞攻擊自動(dòng)駕駛汽車惡意行為人可以通過(guò)侵入車輛的許多電子部件中的一個(gè)來(lái)獲得對(duì)AV的未經(jīng)授權(quán)的訪問(wèn)。已知在過(guò)去被黑客入侵的電子元件包括信息娛樂(lè)系統(tǒng)、藍(lán)牙和蜂窩網(wǎng)絡(luò)連接。

2） 通過(guò)插入惡意設(shè)備對(duì)自動(dòng)駕駛車輛進(jìn)行物理黑客攻擊Koscher等人（2010）已經(jīng)證明，通過(guò)將筆記本電腦接入車載診斷–II（OBD-II）端口，可以訪問(wèn)車輛內(nèi)部網(wǎng)絡(luò)的核心部分（［CAN］，控制器局域網(wǎng)）。一旦攻擊者獲得對(duì)CAN網(wǎng)聯(lián)的未經(jīng)授權(quán)的訪問(wèn)，黑客就可以發(fā)起許多不同的攻擊。

3） 入侵自主車輛生態(tài)系統(tǒng)的組成部分

自動(dòng)駕駛車輛生態(tài)系統(tǒng) 在AV生態(tài)系統(tǒng)中，V2I和V2V通信可被利用來(lái)發(fā)起網(wǎng)絡(luò)攻擊。V2I和V2V通信可能使用專用短程通信（DSRC）協(xié)議進(jìn)行，該協(xié)議允許中短程無(wú)線通信，但眾所周知一些DSRC協(xié)議易受各種類型網(wǎng)絡(luò)攻擊的攻擊，包括拒絕服務(wù)（DoS）攻擊、全球定位系統(tǒng)（GPS）欺騙、重新定義和位置跟蹤導(dǎo)致的隱私損失。

5G作為支持V2X通信的一種手段，也可能同樣脆弱，因?yàn)樗蕾囉谝恍╊愃频倪\(yùn)行概念?；谠频奶幚砗蛿?shù)據(jù)存儲(chǔ)提供了另一組可能漏洞。與車輛通信的每種方式的特定漏洞都會(huì)有所不同，但每個(gè)通信方式都有可能產(chǎn)生漏洞。

黑客攻擊AV生態(tài)系統(tǒng)的例子可能包括針對(duì)電動(dòng)汽車充電站的網(wǎng)絡(luò)攻擊，尋求未經(jīng)授權(quán)訪問(wèn)正在充電的AV。同樣，診斷和維護(hù)站也可能遭到破壞并被用作攻擊的手段。

現(xiàn)有的研究還討論了危害AV制造商使用的OTA更新機(jī)制的攻擊。如果這個(gè)機(jī)制被破壞，那么所有接收到這些更新的AV都將容易受到攻擊。這一廣泛的漏洞擴(kuò)展了易受攻擊車輛及所帶來(lái)的危害程度。

攻擊者可能會(huì)破壞AVs及其部件的供應(yīng)鏈，或者利用zero-day漏洞，這是一種存在于軟件中的缺陷，當(dāng)發(fā)現(xiàn)漏洞時(shí)沒(méi)有時(shí)間進(jìn)行攻擊預(yù)防。因?yàn)檫@些部件將是AV的重要組成部分，所以每臺(tái)自動(dòng)駕駛車輛都是易受攻擊的，這是一個(gè)規(guī)模擴(kuò)大（Scaling out）的有力例子。

四黑客攻擊可能的具體方式

基于文獻(xiàn)中討論的不同攻擊模式，識(shí)別出了針對(duì)自動(dòng)駕駛車輛的四種可能的黑客攻擊方式?？紤]到這些系統(tǒng)的進(jìn)化特性以及黑客對(duì)這些變化的適應(yīng)性，很難明確所有可能的攻擊。

自動(dòng)駕駛車輛組件

1） 禁用攻擊各種文獻(xiàn)中討論了多種攻擊方式，如關(guān)閉發(fā)動(dòng)機(jī)、重新配置發(fā)動(dòng)機(jī)氣缸的點(diǎn)火正時(shí)以干擾其工作、不斷啟動(dòng)點(diǎn)火鎖等。所有這些攻擊都會(huì)禁用一個(gè)或多個(gè)AV系統(tǒng)。攻擊造成的實(shí)際損害取決于其發(fā)生的時(shí)點(diǎn)。如果在一輛車停在車位的時(shí)候關(guān)閉了點(diǎn)火開(kāi)關(guān)，除了司機(jī)感到不方便之外，對(duì)任何人來(lái)說(shuō)都不是問(wèn)題。如果汽車在攻擊發(fā)生時(shí)正在市內(nèi)導(dǎo)航行駛，那么潛在的危害性就會(huì)增加。這種可變性說(shuō)明了在評(píng)估被黑客攻擊的AV的影響時(shí)需要探索場(chǎng)景范圍。

2） 過(guò)度提供服務(wù)攻擊過(guò)度提供服務(wù)攻擊采取與禁用攻擊相反的方法，它使AV提供服務(wù)或在沒(méi)有要求服務(wù)或任何行動(dòng)需要時(shí)采取行動(dòng)。此類攻擊的例子包括超速、制動(dòng)或不制動(dòng)、轉(zhuǎn)向或不轉(zhuǎn)向。類似與這種攻擊的一個(gè)例子是對(duì)網(wǎng)站的拒絕服務(wù)攻擊。在這種攻擊中，數(shù)以百萬(wàn)計(jì)的服務(wù)請(qǐng)求被發(fā)送到服務(wù)器，目的是使該服務(wù)器超負(fù)荷，使其無(wú)法響應(yīng)任何請(qǐng)求。這些攻擊造成的損害也取決于時(shí)間和地點(diǎn)。

3） 數(shù)據(jù)操縱攻擊數(shù)據(jù)操縱攻擊是將受損的數(shù)據(jù)提供給AV組件的攻擊。這可能導(dǎo)致組件、AV在實(shí)際需要操作時(shí)不采取任何操作，或在不需要操作時(shí)采取操作。例如攻擊者可以破壞AV的激光雷達(dá)單元，并有選擇地擦除數(shù)據(jù)，從而使AV被欺騙，認(rèn)為其行進(jìn)路徑中沒(méi)有障礙物，這可能會(huì)導(dǎo)致車輛無(wú)法剎車或轉(zhuǎn)向以避免撞上障礙物。對(duì)數(shù)據(jù)的操作可以采取選擇性地刪除、破壞或錯(cuò)誤地增加數(shù)據(jù)的形式。同樣地，數(shù)據(jù)中毒（data poisoning）能夠以微妙的方式篡改訓(xùn)練數(shù)據(jù)甚至物理信號(hào)，可能會(huì)更隱蔽地帶來(lái)風(fēng)險(xiǎn)。

4） 盜竊數(shù)據(jù)竊取有關(guān)用戶旅行模式的數(shù)據(jù)、使用座艙麥克風(fēng)竊聽(tīng)用戶的對(duì)話以及類似的攻擊都可以歸為這類攻擊。然而，自動(dòng)駕駛車輛本身并不是黑客唯一的攻擊對(duì)象，AV制造商、組件制造商、保險(xiǎn)公司或交通管理部門的數(shù)據(jù)中心都可能會(huì)遭到破壞，有關(guān)AVs運(yùn)行的所有信息都可能被盜。在大多數(shù)情況下，這類攻擊會(huì)導(dǎo)致隱私丟失。例如，當(dāng)Target和Equifax遭到黑客攻擊時(shí)，所有信用卡信息都被泄露，其結(jié)果就是客戶隱私的巨大損失。攻擊者可能會(huì)以AVs連接的服務(wù)器為目標(biāo)。

在許多情況下，汽車制造商將使用第三方云提供商來(lái)托管相關(guān)軟件和數(shù)據(jù)。這些第三方將成為利益相關(guān)者和潛在被告。

五針對(duì)自動(dòng)駕駛車輛的網(wǎng)絡(luò)攻擊

一些研究探索了對(duì)此類系統(tǒng)的潛在網(wǎng)絡(luò)攻擊，并提供了成功攻擊AVs組件的概念性證明，為深入了解AVs可能遭受的網(wǎng)絡(luò)攻擊提供了一個(gè)框架。

這個(gè)討論區(qū)分了被動(dòng)攻擊和主動(dòng)攻擊。被動(dòng)攻擊是指車輛被騙做出錯(cuò)誤決定的行為。主動(dòng)攻擊是指車輛被明確指示或被迫做出錯(cuò)誤決定的攻擊。

1. 主動(dòng)攻擊

Koscher等人（2010年）對(duì)當(dāng)代汽車的網(wǎng)絡(luò)安全進(jìn)行了實(shí)驗(yàn)分析。盡管他們的研究并不是針對(duì)AVs的安全性，但他們的實(shí)驗(yàn)結(jié)果仍然與AVs高度相關(guān)，因?yàn)榉治龅脑S多部件在大多數(shù)當(dāng)代車輛上都是通用的，包括自動(dòng)駕駛車輛。通過(guò)實(shí)驗(yàn)室實(shí)驗(yàn)和道路測(cè)試，作者證明了黑客有能力滲透到車輛的任何ECU（電子控制單元）中，可以繞過(guò)關(guān)鍵安全系統(tǒng)來(lái)控制車輛的許多功能。所有進(jìn)行的實(shí)驗(yàn)都假定攻擊者已經(jīng)利用漏洞進(jìn)入車輛部件。

Koscher等成功證明了針對(duì)幾個(gè)重要ECU的攻擊類型，包括對(duì)車身控制模塊（BCM）、發(fā)動(dòng)機(jī)控制模塊、負(fù)責(zé)控制車輛防抱死制動(dòng)系統(tǒng)（ABS）電子制動(dòng)控制模塊（EBCM）的攻擊等。

一般來(lái)說(shuō)，還可利用逆向工程技術(shù)對(duì)其他模塊進(jìn)行了攻擊。研究人員指出，對(duì)這些模塊進(jìn)行逆向工程以找出要發(fā)送的指令和要處理的數(shù)據(jù)，從而實(shí)現(xiàn)成功的攻擊，是非常容易的，盡管這些攻擊需要比討論的其他攻擊更復(fù)雜的技術(shù)。 示例：對(duì)車身控制模塊的攻擊

車身控制模塊（BCM）屬于ECU，負(fù)責(zé)控制構(gòu)成車身的各種自動(dòng)部件的功能。電動(dòng)車窗、電動(dòng)門鎖、擋風(fēng)玻璃雨刮器、后備箱、制動(dòng)燈等部件的功能都由車身控制模塊控制。表A.1顯示了車身控制模塊上演示的不同類型的攻擊。

2. 被動(dòng)攻擊

Petit和Shladover（2015）提供了一份關(guān)于AVs的合理網(wǎng)絡(luò)攻擊的清單。使用類似于工程設(shè)計(jì)中的失效模式分析方法，檢核了AV的重要組成部分（以及它們?cè)谏鷳B(tài)系統(tǒng)中相互作用的其他組成部分），以評(píng)估一些看似有可能的網(wǎng)絡(luò)漏洞。下表描述了分析中發(fā)現(xiàn)的攻擊類型、可能的后果、后果的嚴(yán)重程度等。

這些攻擊本質(zhì)上大多是被動(dòng)的（讓車輛做出錯(cuò)誤的決定或誘使車輛做出錯(cuò)誤的決定），而不是Koscher等人描述的主動(dòng)攻擊（指揮或強(qiáng)迫車輛做出錯(cuò)誤的決定）。交通基礎(chǔ)設(shè)施可能被利用，基礎(chǔ)設(shè)施提供給車輛的數(shù)據(jù)可能被操縱，以使AVs采取通常不會(huì)采取的行動(dòng)。盡管這些攻擊對(duì)象不是車輛本身，但這是一類重要的攻擊，如果攻擊成功，可能會(huì)使法律責(zé)任分析復(fù)雜化。

電子元件上的致盲和欺騙攻擊很常見(jiàn)，當(dāng)這些攻擊在AVs上進(jìn)行時(shí)，可能會(huì)導(dǎo)致撞車，而不僅僅是違反交通法規(guī)。對(duì)全球定位系統(tǒng)的攻擊也是如此。另一類重要的攻擊是數(shù)據(jù)盜竊，這可能導(dǎo)致?lián)碛谢蚴褂肁V的個(gè)人失去隱私，這種攻擊可以通過(guò)竊取車載設(shè)備捕獲的數(shù)據(jù)來(lái)實(shí)現(xiàn)。

對(duì)自動(dòng)駕駛車輛組件及其他交通基礎(chǔ)設(shè)施的攻擊

六各種黑客攻擊行為的影響

自動(dòng)駕駛車輛黑客行為及后果列表補(bǔ)充了前面的討論，說(shuō)明了對(duì)AV各種組件的攻擊會(huì)如何影響汽車性能或功能。包括對(duì)發(fā)動(dòng)機(jī)、傳動(dòng)系、制動(dòng)系、轉(zhuǎn)向系、動(dòng)力、安全、穩(wěn)定性、車身等車輛組件的控制，以及對(duì)導(dǎo)航、激光雷達(dá)、攝像頭、V2V/V2I通訊、OTA升級(jí)、OBD等的操作及數(shù)據(jù)竊取等。

我們已經(jīng)確定了黑客控制自動(dòng)駕駛車輛的可能性，并初步討論了由此造成的物理和經(jīng)濟(jì)損失的可能性。這種危害會(huì)對(duì)AVs制造商、所有者和運(yùn)營(yíng)商的責(zé)任造成影響。

自動(dòng)駕駛車輛黑客行為及后果列表

七小結(jié)

本文對(duì)自動(dòng)駕駛車輛的網(wǎng)絡(luò)安全問(wèn)題的可能性、攻擊車輛的主要途徑和具體方式、攻擊后果的影響等進(jìn)行了初步的概念性討論，希望能夠引起自動(dòng)駕駛技術(shù)公司及車輛OEM廠商的重視，從而推動(dòng)自動(dòng)駕駛車輛技術(shù)及產(chǎn)品的開(kāi)發(fā)和應(yīng)用。

參考文獻(xiàn)：When Autonomous Vehicles Are Hacked， Who Is Liable？， RAND Corporation.- End -推薦閱讀