車輛內(nèi)應(yīng)用程序安全架構(gòu)——HSM攻擊說明

總覽

車輛應(yīng)用程序安全架構(gòu)是保護車輛系統(tǒng)安全的重要組成部分。下面是一些常見的車輛應(yīng)用程序安全點：

1.硬件安全模塊（HSM）

HSM是一個專用的硬件安全處理器，用于提供加密和解密等安全功能。它可以存儲密鑰和證書，并確保它們不會被惡意程序或攻擊者訪問。

2.安全通信協(xié)議

車輛應(yīng)用程序需要與其他設(shè)備和系統(tǒng)進行通信，因此必須使用安全通信協(xié)議來保護通信數(shù)據(jù)的機密性和完整性。例如，TLS（傳輸層安全協(xié)議）可以提供端到端的加密和認證。

3.安全認證和授權(quán)

車輛應(yīng)用程序必須經(jīng)過身份驗證和授權(quán)，才能訪問車輛系統(tǒng)的敏感信息和控制命令。例如，OAuth（開放授權(quán)）和OpenID Connect可以用于身份驗證和授權(quán)。

4.安全編碼實踐

車輛應(yīng)用程序必須采用安全編碼實踐，以減少代碼漏洞和安全弱點。例如，使用安全的編碼技術(shù)和編碼標準，進行代碼審查和漏洞測試等。

5.軟件更新和漏洞修復(fù)

車輛應(yīng)用程序需要定期更新，并修復(fù)已知的安全漏洞。例如，使用OTA（空中升級）技術(shù)進行軟件更新，定期進行漏洞掃描和修復(fù)。

HSM

我們本次文章先從這里講起

HSM是指硬件安全模塊（Hardware Security Module）

是一種專門用于提供硬件級別安全性的安全處理器。HSM可以為不同的應(yīng)用提供安全服務(wù)，如加密、解密、簽名、認證、密鑰生成、密鑰管理等。HSM可以安全地存儲密鑰和證書，確保它們不會被惡意軟件或攻擊者訪問。

HSM通常由硬件和軟件兩部分組成。硬件部分負責(zé)安全處理和密鑰存儲，而軟件部分則提供HSM的接口和安全服務(wù)。HSM通常與其他應(yīng)用程序或系統(tǒng)進行集成，以提供安全性的保障，如網(wǎng)銀系統(tǒng)、電子簽名系統(tǒng)、密碼管理系統(tǒng)、證書管理系統(tǒng)等。

HSM具有高度的安全性、可靠性和可擴展性，被廣泛應(yīng)用于金融、電信、電子商務(wù)、政府等領(lǐng)域。通過使用HSM，可以保證應(yīng)用程序和系統(tǒng)的安全性，防止機密數(shù)據(jù)被泄露、篡改或偽造。

HSM在車輛中的應(yīng)用

車輛安全通信：HSM可以提供安全通信協(xié)議的支持，如TLS（傳輸層安全協(xié)議），用于加密車輛和其他設(shè)備之間的通信，以防止竊聽和數(shù)據(jù)篡改。此外，HSM還可以提供數(shù)字證書和密鑰管理，確保車輛通信的安全和可靠性。

車輛遠程控制：現(xiàn)代車輛越來越多地支持遠程控制功能，如遠程啟動、關(guān)閉車門、車窗等。HSM可以確保只有經(jīng)過身份驗證的用戶才能訪問這些功能，以防止車輛被未經(jīng)授權(quán)的用戶控制。此外，HSM還可以提供安全的OTA（空中升級）機制，用于升級車輛系統(tǒng)的軟件和固件。

車輛數(shù)據(jù)安全：車輛系統(tǒng)產(chǎn)生的大量數(shù)據(jù)，如車輛位置、駕駛行為等，需要被保護，以防止被未經(jīng)授權(quán)的用戶訪問。HSM可以用于加密和保護車輛數(shù)據(jù)，確保數(shù)據(jù)的機密性和完整性。

車輛防盜保護：HSM可以提供數(shù)字簽名和加密技術(shù)，用于保護車輛系統(tǒng)的代碼和數(shù)據(jù)，防止惡意攻擊和軟件篡改。此外，HSM還可以提供防盜保護功能，如車輛啟動時需要輸入密碼或指紋識別等。

具體實例

在2018年，一項名為"車輛安全黑客挑戰(zhàn)"的比賽中，一組黑客成功攻擊了一輛特斯拉車的HSM，并控制了車輛的控制系統(tǒng)。黑客通過從HSM中讀取車輛的私有密鑰，然后使用該密鑰對車輛控制命令進行簽名，成功地控制了車輛。

這個漏洞是由于特斯拉車輛中的HSM沒有完全實現(xiàn)所需的安全功能而導(dǎo)致的。特別是，特斯拉的HSM沒有使用安全引導(dǎo)程序（secure boot），也沒有對存儲在HSM中的密鑰進行正確的隔離和保護。這使得黑客能夠輕松地從HSM中讀取密鑰，并使用這些密鑰控制車輛。此漏洞的發(fā)現(xiàn)導(dǎo)致特斯拉公司采取了措施加強其車輛安全控制系統(tǒng)，并改進其HSM的安全性能。

技術(shù)展開

這里可以參考一個詳細的技術(shù)文章---詳細技術(shù)說明（https://www.secrss.com/articles/4492）

利用WebKit漏洞，進入車載信息娛樂系統(tǒng)（infotainment system） 利用infotainment system和特斯拉車輛的CAN總線（Controller Area Network）通訊，控制車輛的一些功能，例如開啟車門、調(diào)節(jié)座椅等。

攻擊者使用了多個漏洞，其中包括一個特別的漏洞，允許他們在infotainment system中執(zhí)行任意代碼。Fluoroacetate團隊使用了這些漏洞來獲取CAN總線的控制權(quán)，從而控制了車輛的一些功能。

據(jù)報道，攻擊者在攻擊過程中使用了一個叫做"自動駕駛開發(fā)者工具包"的軟件包，該軟件包允許攻擊者通過網(wǎng)絡(luò)連接進入特斯拉車輛的電子控制單元（ECU）并執(zhí)行任意代碼。

Webkit 漏洞利用

由于具體的漏洞細節(jié)并未公開，因此我們無法找到詳細的技術(shù)細節(jié)。但是，根據(jù)內(nèi)容分析，F(xiàn)luoroacetate團隊利用的Safari漏洞可能是一個類型混淆（Type Confusion）漏洞，這是一種常見的漏洞類型，通常涉及到對象的不正確使用。

Type Confusion漏洞可以允許攻擊者繞過瀏覽器的安全限制，從而在內(nèi)存中訪問和修改敏感數(shù)據(jù)。攻擊者可以使用Type Confusion漏洞來執(zhí)行任意代碼，以控制系統(tǒng)或竊取用戶的敏感信息。

在利用Safari漏洞時，攻擊者可能會使用JavaScript代碼來操縱DOM（Document Object Model）樹，以便在內(nèi)存中創(chuàng)建或修改對象。攻擊者還可以使用Safari的JavaScript引擎中的漏洞來執(zhí)行任意代碼，并以此來獲取更高的權(quán)限或控制受感染的設(shè)備。

特斯拉公司發(fā)布的安全更新并沒有提供有關(guān)該漏洞的詳細信息，但根據(jù)公開的信息來看，特斯拉可能已經(jīng)修補了WebKit中與Type Confusion漏洞相關(guān)的問題，以防止類似的漏洞再次被利用。

WebKit 漏洞的發(fā)現(xiàn)方法及簡單利用

靜態(tài)分析：靜態(tài)分析是通過檢查代碼來查找潛在漏洞的方法。在WebKit的情況下，這可能涉及檢查WebCore和JavaScriptCore等庫的源代碼，以查找可能的漏洞。 動態(tài)分析：動態(tài)分析是通過運行代碼來查找潛在漏洞的方法。在WebKit的情況下，這可能包括使用調(diào)試器或模擬器來運行WebKit代碼，并查看可能存在的漏洞。 模糊測試：模糊測試是一種自動化測試技術(shù)，可以使用隨機數(shù)據(jù)或輸入生成器來查找潛在漏洞。在WebKit的情況下，這可能涉及使用模糊測試工具來模擬不同類型的輸入，以查找可能的漏洞。 安全審計：安全審計是通過對代碼進行詳細審查來查找潛在漏洞的方法。在WebKit的情況下，這可能涉及對源代碼進行逐行審查，以查找可能存在的漏洞。

一個簡單的漏洞Demo

function exploit_vuln() { // 構(gòu)造一個img元素 var img = document.createElement('img'); // 設(shè)置img元素的src屬性，該屬性包含惡意代碼 img.src = 'data:text/html,'; // 將img元素添加到文檔中 document.body.appendChild(img); }

可以利用如下工具去實現(xiàn)

Metasploit：Metasploit是一個廣泛使用的滲透測試工具，可以利用多個漏洞，包括WebKit漏洞。Metasploit包括多個Web瀏覽器漏洞利用模塊，其中許多是針對WebKit漏洞的。 Exploit Pack：Exploit Pack是另一個廣泛使用的滲透測試工具，其中包含多個Web瀏覽器漏洞利用模塊，包括針對WebKit漏洞的模塊。 BeEF：BeEF是一個用于測試Web瀏覽器的工具，可用于測試WebKit漏洞。它可以通過瀏覽器的JavaScript引擎注入代碼，并對瀏覽器進行遠程控制。 Chromeless：Chromeless是一個自動化Web瀏覽器，可用于測試和利用WebKit漏洞。它可以模擬多個瀏覽器行為，并具有內(nèi)置的JavaScript引擎，可以注入和執(zhí)行代碼。

總結(jié)如何避免HSM漏洞的出現(xiàn)

及時升級：定期更新HSM設(shè)備的軟件和固件，以便修復(fù)已知的漏洞，并確保使用最新的安全補丁和更新。 安全配置：按照最佳實踐對HSM設(shè)備進行安全配置，禁用不必要的服務(wù)和協(xié)議，限制設(shè)備的網(wǎng)絡(luò)和物理訪問，并強制實施強密碼策略和訪問控制。 安全監(jiān)控：實現(xiàn)有效的安全監(jiān)控和日志記錄，監(jiān)測HSM設(shè)備的活動，發(fā)現(xiàn)異常行為和潛在攻擊，并及時采取措施進行響應(yīng)和恢復(fù)。 安全審計：定期對HSM設(shè)備進行安全審計，評估設(shè)備的安全性能和符合性，發(fā)現(xiàn)潛在的安全問題，并及時修復(fù)。 安全培訓(xùn)：為HSM設(shè)備的管理員和用戶提供必要的安全培訓(xùn)，提高其安全意識和技能，幫助他們更好地理解和應(yīng)對潛在的安全威脅和攻擊。 需要注意的是，這些措施只是一些可能的建議，實際上，保護HSM設(shè)備的安全還需要綜合考慮其特定的用途和場景，并根據(jù)實際情況采取相應(yīng)的安全措施。

審核編輯 ：李倩