黑客攻擊汽車的漏洞在哪兒

　　隨著聯(lián)網(wǎng)功能、近場通訊手段的愈加增多，汽車上可被攻擊的地方也越來越多。要攻破一輛汽車的防線，能從哪些方面入手？汽車制造商和供應(yīng)商們又該怎么防止入侵呢？在逐個分析完破解案例之后，下面進入總結(jié)篇。

　　汽車被入侵事件似乎告一段落，但是其背后暴露出的問題卻遠遠沒有。

　　在今年發(fā)生的案例中，ModelS被KevinMahaffey、MarcRogers揭發(fā)漏洞、比亞迪在360要公開演示破解過程時候，發(fā)布公告的內(nèi)容中，都不約而同的提到了一個相當重要的前提，那就是“物理接觸”。因為對于汽車而言，只有遠程且可復(fù)制的攻擊才會真正帶來威脅。

　　原因顯而易見。物理接觸類攻擊雖然最終造成的危害大，但是實施難度卻很高，費時費力，對于追求收益的真正黑客們來說，付出回報比太大。遠程攻擊則靈活可期，而且被抓個現(xiàn)行的概率要降低多了。

　　必須要申明的一點是，這里的物理接觸攻擊與遠程攻擊是指在攻擊時采用的手段。在研究漏洞時，物理接觸是個必不可少的過程，并不能夠以“物理接觸過”為由來證明車輛無法被遠程攻擊。

　　從互聯(lián)網(wǎng)角度來說，有漏洞并不可怕，因為截至到目前，還并沒有哪一個系統(tǒng)能夠稱得上是絕對安全。有漏洞自然有措施來堵上漏洞、保護漏洞，以及如何減少漏洞的存在。

　　那么，在今年的案例中，車輛暴露出來的漏洞都有哪些呢？咱么挨個案例來看看其罪魁禍首。

　　克萊斯勒事件

　　在克萊斯勒被遠程控制事件之中，Uconnect最終成了背鍋的所在，成為了Miller與Valasek接管車輛控制系統(tǒng)的入口。但是導(dǎo)致車輛剎車、傳動被控制的真正原因，并不只是Uconnect一個。這一點，在之前的文章中也有點名：

　　為了防止黑客通過接入一條非重要網(wǎng)絡(luò)，進而“竄入”系統(tǒng)關(guān)鍵網(wǎng)絡(luò)內(nèi)部搗亂，一般安全專家會在兩條線路之間安裝一個「安全隔離網(wǎng)閘」 （airgap）。然而在被“黑”的Jeep切諾基上，控制車輛運行的系統(tǒng)間并沒有網(wǎng)閘存在。因此，結(jié)合找到的其他幾處安全漏洞，查理和克里斯發(fā)現(xiàn)了車輛控制系統(tǒng)和Uconnect系統(tǒng)（支配儀表娛樂單元）之間的聯(lián)系。一張SIM卡存在的漏洞，加之“黑客”的其他攻擊，將原本理論上才可能出現(xiàn)的遠程控制變成了赤裸裸的現(xiàn)實?？梢钥偨Y(jié)得出，導(dǎo)致這次事件的原因有二：一是Uconnect為無線接入車輛提供了接口，二是在Uconnect信息娛樂系統(tǒng)與車輛控制系統(tǒng)之間沒有進行隔離，進入Uconnect之后，就相當于魚入大海，暢通無阻。

　　在漏洞爆出之后，因為無法進行遠程更新，克萊斯勒無奈只能選擇了召回處理。好處在于漏洞事件的嚴重性引起了NHTSA的注意，或許對于信息安全標準的更改，有促進作用。

　　小結(jié)：弊端在于信息娛樂系統(tǒng)安防不到位、車輛不同系統(tǒng)之間隔離不到位、無法遠程更新修復(fù)漏洞，提供OTA升級、車輛內(nèi)部控制系統(tǒng)與信息娛樂系統(tǒng)之間設(shè)置隔離網(wǎng)關(guān)，加強驗證手段以及信息娛樂系統(tǒng)本身的安防手段，都是可用的手段。

　　通用Onstar及其它有相同漏洞的車聯(lián)網(wǎng)服務(wù)App

　　SamyKamkar用Ownstar盒子打開了4家車企與一家后裝廠商的車聯(lián)網(wǎng)服務(wù)App的漏洞所在。原理我們已經(jīng)清楚，Ownstar 會掃描手機曾經(jīng)連接過的WiFi網(wǎng)絡(luò)并偽裝成其中一個，一旦手機連接上此WiFi網(wǎng)絡(luò)，就可以讀取到App的驗證信息，并借著驗證信息使用車聯(lián)網(wǎng)服務(wù) APP所提供的所有功能，鎖車解鎖、車輛定位、遠程啟動等等。

　　在這個過程中，漏洞點在于：

　　1.手機連接過的WiFi網(wǎng)絡(luò)可被任意掃描并讀取，自動連接相同名字的WiFi（手機存在的問題）

　　2.只有一次驗證信息，在通過驗證之后，并沒有二次驗證，并且驗證信息不會更新，一次獲取終身受益

　　這與之前車云菌親眼目睹的360破解汽車事件可以歸屬于同一案例，同樣是驗證手段的缺乏。至于這個方式能夠破獲更多云服務(wù)權(quán)限，乃至讓云端命令優(yōu)先級大于本地服務(wù)，Kamkar并沒有試，俺們也不得而知。

　　與克萊斯勒事件的不同點在于，App提供的不僅僅是入口。因為服務(wù)內(nèi)容的原因，App本身就可以與車輛的部分控制系統(tǒng)進行通訊并獲取控制權(quán)限，所以一旦App在權(quán)限設(shè)置、驗證手段上出現(xiàn)問題，這些控制權(quán)限就是白送的。

　　這個問題還可以進行擴展，比如現(xiàn)在已經(jīng)開始有車輛支持從智能手表進行基礎(chǔ)功能的遠程控制。

　　小結(jié)：這些車聯(lián)網(wǎng)服務(wù)本身并沒有問題，確實給消費者帶來了方便，不能因噎廢食就此解除服務(wù)，所以關(guān)鍵在于加強App的安防措施：加密方式的加強、增加驗證手段如短信驗證以及嚴格的權(quán)限設(shè)置。

　　用OBD控制雪佛蘭科爾維特

　　與克萊斯勒事件相同，在這起案例中，“犯人”有兩個，一個是MobileDevices的OBD設(shè)備，一個是科爾維特的車輛CAN總線。

　　MobileDevices的OBD問題一是開發(fā)者模式與使用同樣的密鑰讓黑客們可以輕松獲取最高權(quán)限，二是通過短信方式下發(fā)指令，短信不用經(jīng)過任何驗證的手段給黑客大開方便之門。不過解決方式也并沒有那么難，都可以通過OTA完成更新，一個是更改權(quán)限設(shè)置，二則是增加短信控制的白名單，只能經(jīng)由指定的手機號發(fā)送命令才能生效。

　　小結(jié)：從根本上來說，OBD所存在的漏洞與克萊斯勒的Uconnect性質(zhì)十分類似，因為它們的可以聯(lián)網(wǎng)且存在安防漏洞，給了黑客可乘之機，但是根源同樣在于CAN總線的安全策略設(shè)置之上，對于車輛控制功能沒有增加驗證的關(guān)卡，才得以讓黑客長驅(qū)直入。

　　無線鑰匙解鎖車門

　　RollJam破車門而入的方式我們都知道了，通過監(jiān)聽并存儲無線鑰匙用來解鎖的密碼，就可以將其用來開門。

　　在360的Hackpwn上，車云菌咨詢過關(guān)于SamyKamkar關(guān)于解鎖與鎖閉車門所使用密碼不同如何處理的問題。Kamkar的解釋是，有些車輛使用的是同樣的密碼，只不過有不同的命令，讓汽車知道是解鎖還是鎖閉，而有的車輛則是分別使用了不同的密碼。RollJam可以識別出密碼與對應(yīng)的命令，只會存儲用于解鎖的密碼。而且，存儲密碼的數(shù)量是可以自由設(shè)定的，可以存儲1個，也可以存儲4個。

　　這一漏洞最終被SamyKamkar歸結(jié)到了芯片問題。因為在他使用RollJam攻擊凱迪拉克新款汽車沒有成功，就是在于這款汽車使用的 Keelop芯片上有一種密鑰系統(tǒng)，給密鑰設(shè)定了一個很短的有效期，時間一過，密鑰即會時效，便可以阻擋這類竊聽存儲密碼式的攻擊。

　　小結(jié)：設(shè)置密碼的時效性，讓人拿到了密碼也無計可施。

　　汽車點火防盜系統(tǒng)

　　與無線鑰匙解鎖不同，點火防盜系統(tǒng)的問題在于密碼組成被破譯，而且這個密碼的設(shè)置方式，讓人能夠輕松對密碼的內(nèi)容進行讀寫操作。

　　這個除了更換新的密碼協(xié)議，就沒有別的辦法了。好消息是在新款車型中，越來越多的用到了無鑰匙啟動的方式。當然，無鑰匙啟動也有無鑰匙啟動的漏洞需要注意了。

　　小結(jié)：

　　從以上這些案例中，可以看出汽車能夠被攻擊的點在于：一是入口，二是內(nèi)部安全策略。OBD、Uconnect、或者App本身都只是提供了一個入口而已。入口本身安全措施不足、開放的權(quán)限太大給了黑客們機會，而車輛內(nèi)部安全策略的設(shè)置則是根本所在，也是需要車企們花費心思去考慮的。

　　但是你以為車輛可被遠程控制的入口只有這些而已么，那就tooyoungtoosimple啦。

　　隨著聯(lián)網(wǎng)功能、近場通訊手段的愈加增多，汽車上可被攻擊的地方也越來越多。要攻破一輛汽車的防線，能從哪些方面入手？汽車制造商和供應(yīng)商們又該怎么防止入侵呢？在逐個分析完破解案例之后，下面進入總結(jié)篇。上回的總結(jié)篇中，我們說到今年這里案例里頭，黑客們都用了什么方式去進行破解汽車，以及其中表現(xiàn)出來的安全問題所在。

　　當然，最后俺們說到，這些攻擊方式和漏洞并不是僅有的。那在汽車上還有哪些？

　　其實早在2011年，來自UCSD（加州大學(xué)圣地亞哥校區(qū)）和華盛頓大學(xué)的兩個研究團隊就以“汽車安全攻擊綜合分析”為題進行了實驗與驗證，并從威脅類型、具體漏洞分析以及威脅評估三個方面進行了分別論述與實驗。在這一份調(diào)研報告中，被研究的主體是安裝在汽車中那一塊塊功能各異的ECU。

　　三年之后，CharlieMiller與ChrisValasek又重新進行了這個工作。他們的目的同樣是想搞清楚如果要對汽車發(fā)起攻擊，哪些有可能入手。

　　欲善其事，必利其器

　　這個研究的關(guān)鍵在于兩位研究員的思路。

　　需要再次重申的原則是，這次的攻擊依然是圍繞遠程可復(fù)制攻擊，而重點關(guān)注的是哪些會引起安全事故的攻擊，也就是他們今年對克萊斯勒發(fā)起的這類攻擊：遠程操控汽車的轉(zhuǎn)向、剎車或者加速功能，讓車輛脫離駕駛員的掌控，進入不安全狀態(tài)。圍繞鑰匙、防盜等車輛偷竊類攻擊就不再考慮之類了。

　　第二步思路是，如果要得到這個結(jié)果，需要怎么做？

　　最關(guān)鍵的一點是，黑客需要能夠?qū)@些控制車輛轉(zhuǎn)向、剎車或加速的ECU下達命令，那就是說，必須拿到與車輛內(nèi)部CAN總線通訊的方式，而CAN總線并不止一條線路，這些核心控制功能在更加底層的地方。遠程攻擊不可能直接與其接觸，那么就需要「橋梁」。

　　這個橋梁就是并不處于核心位置的、大多是承擔(dān)接收和處理無線電信號的這一批ECU，他們都具有兩個特征：

　　1.能夠接受外部信息

　　2.這個信息有可能通過CAN總線傳遞給那些控制核心功能的ECU

　　所以，思路就是找到這些ECU之后，先把他們黑掉，再以之為跳板，向核心功能ECU發(fā)布假消息?？梢园堰@類ECU想象成古代戰(zhàn)場上傳令的小兵，如果其能陣前倒戈，傳遞敵方給予的假命令，打勝仗也是手到擒來。

　　不過這是理想狀態(tài)，如果被發(fā)現(xiàn)是假命令呢？

　　雖然橋梁ECU們能夠作為入口向內(nèi)部發(fā)送消息，但是這個消息并不是想發(fā)就發(fā)的，在不同的ECU之間，可能存在網(wǎng)關(guān)，攔截非法消息;核心 ECU上，可能有安全策略設(shè)置，某些動作只能在特定的行駛狀態(tài)下才能實現(xiàn)，或者只聽從指定的命令。要想達成目的，或者偽裝成合法的，那么就要知道通訊協(xié)議;或者繞過網(wǎng)關(guān)，需要知道通過密碼;或者把網(wǎng)關(guān)也黑掉，讓其為自己所用……等等，不一而足。

　　因而，黑客要做的工作有三：

　　1.找到遠程接入的入口——帶有橋梁ECU的功能模塊，比如上篇里頭的車載Wi-Fi、OBD、云服務(wù)App，還包括與手機同步的藍牙功能、瀏覽器等車內(nèi)應(yīng)用等等，所有兼顧外部消息接收與內(nèi)部通訊功能的，都存在可能性，都可以以此展開研究

　　2.找到從橋梁ECU到核心功能ECU之間的通訊道路

　　3.解決通訊道路上的各式攔路馬

　　“等等”的內(nèi)容并不止于通訊模塊

　　上面提到的入口，也就是橋梁，起到溝通內(nèi)外的作用，一般大家想到的就是車輛通訊模塊。但其實，并不止于此，還有一部分比較特殊功能的ECU，他們也起到相同的作用，但卻是為了完全不同的目的——ADAS（高級駕駛輔助）。

　　現(xiàn)在的ADAS，常見的比如車道保持、防碰撞系統(tǒng)，還有受到很多新手司機歡迎的泊車輔助技術(shù)。這些功能最終都會為了保證車輛處于車道之上、保證不發(fā)生碰撞或降低碰撞產(chǎn)生傷害、泊車而對車輛進行轉(zhuǎn)向、剎車等功能。還有ACC，在轉(zhuǎn)向、剎車之后，還有自動加速功能。

　　也就是說，這些ADAS系統(tǒng)的ECU會根據(jù)傳感器的數(shù)據(jù)，對核心控制功能ECU發(fā)出命令，在特定的時候讓其工作，同樣可以作為橋梁使用。當然，毋庸置疑的是，這些系統(tǒng)的目的是為了輔助駕駛和提高安全性能，所以本身也會設(shè)置到限定速度之下?？赡鼙容^謹慎的車企，還會多設(shè)置幾道關(guān)卡來保證系統(tǒng)功能。

　　之所以提到這些系統(tǒng)，并不說他們不安全，而是因為他們給黑客攻擊汽車帶來了一個可能性。因為與核心控制功能有信息交互，那么就存在一種可能性，以他們?yōu)闃蛄喊l(fā)出假消息。需要評估的是，這個可能性有多大。

　　因而，遵循這個三步法則，兩位研究員開始了研究。

　　俺們知道，車輛的CAN總線是個很復(fù)雜的東西，會隨著車輛上技術(shù)、功能的增減而改變，在不同的制造商之間、同一制造商不同車型之間、同一車型不同年款之間，都會有差別。因而他們以2014年款為主，挑了13款車型，同時也挑了這些車型的2006年款或者2010、2015年款作為對比研究。

　　研究主要圍繞三個方面：

　　1.存在多少種不同的入口以及入口的安全性

　　有些橋梁ECU與核心ECU通訊的可能性有，但是很小，因而可以認為安全性較高，比如ADAS，雖然可以直接與核心功能ECU通訊，但是安全策略與門檻會較多。而藍牙、Wi-Fi通訊則因為作用距離、可實現(xiàn)功能與安全策略的問題，導(dǎo)致安全性較低。如果這類入口較多，則評估得到的威脅程度會高。

　　2.車輛的內(nèi)部網(wǎng)絡(luò)拓撲圖

　　一方面，通過同一車型不同年款來對比分析車輛內(nèi)部網(wǎng)絡(luò)隨著時間發(fā)展的狀況;另一方面，也是想進行驗證，對于車內(nèi)網(wǎng)絡(luò)的攻擊，是否因為差異性巨大而難以直接復(fù)制。

　　自然還有第三個目的，那就是分析具體的拓撲結(jié)構(gòu)，以此來分析從橋梁ECU通往核心ECU之前道路通過的成功可能性有多大，來評估其帶來的威脅程度。

　　3.攻擊的反面就是防守

　　攻擊并不是最終目的，最終目的是為了更好的防守。從可攻擊路線發(fā)現(xiàn)可能漏洞所在，也就是可以加強防護的地方。

　　不同年不同車不同命

　　這個研究的最終結(jié)果，就十分有意思了。在他們最后公開的研究報告中，都進行了具體分析，因為篇幅所限，本文無法一一列出，感興趣的同學(xué)可以到這里去看原文。

　　對具體分析內(nèi)容不那么感興趣的，俺們一起來看結(jié)果。

　　他們一共分析了21款車，涉及到奧迪、寶馬、通用、福特、克萊斯勒、本田、豐田、英菲尼迪、路虎品牌及其旗下品牌車型，以2014年款為主，共13款，對比年款2006年款4個，2010年款3個，2015年款1個。具體易受攻擊程度見下圖（圖片來自CharlieMiller與 ChrisValasek的研究報告），表中只列出了20款車型，少了一個2006年款英菲尼迪G35。

　　20款車型易受攻擊列表（從--、-、+到++受攻擊程度依次提高，表格從左至右分別代表攻擊面、網(wǎng)絡(luò)架構(gòu)與核心功能）

　　從研究的內(nèi)容中，他們還得到了一些結(jié)論：

　　1.隨著時間推進，所有品牌車型都表現(xiàn)出ECU數(shù)量的增多，不僅是整體ECU數(shù)目，橋梁ECU數(shù)目更是大幅增加，功臣有兩個：車聯(lián)網(wǎng)與駕駛輔助技術(shù)的發(fā)展。也就意味著，車輛的被攻擊可能性、可選擇手段都在增加。

　　2.車內(nèi)網(wǎng)絡(luò)拓撲結(jié)構(gòu)的復(fù)雜性隨著ECU增多也在增加，被分割的網(wǎng)絡(luò)架構(gòu)越來越多。但是這些網(wǎng)絡(luò)架構(gòu)的分割并不都是以“將控制核心功能 ECU與其他類ECU分開”為目的。在2014年款中，有6款并沒有根據(jù)功能重要性不同進行隔離，而更多的，雖然隔離了，但是并不代表安全性就高。因為隔離之后并沒有設(shè)置網(wǎng)關(guān)或者安全邊界，沒有增加安全策略，而只是單純的分開。

　　3.盡管內(nèi)部結(jié)構(gòu)大不相同，但是大多數(shù)車輛都采用了類似PC的技術(shù)，比如瀏覽器和車內(nèi)App等，這些都是黑客們十分熟悉的東西，提供了與PC、移動端類似的攻擊方式

　　4.在所有入口中，胎壓監(jiān)測與無鑰匙進入是被遠程攻擊威脅性最大的橋梁ECU

　　5.同一地區(qū)的汽車制造商的內(nèi)部拓撲圖有著類似的結(jié)構(gòu)，日系車（豐田與英菲尼迪）、德系車（奧迪與寶馬）、美系車（通用與福特）之間都表現(xiàn)出來這個特性。兩位研究員認為可能是因為他們思考問題的方式比較類似，還有就是工程師的跳槽~

　　6.存在這些問題的車輛，都沒有OTA功能，發(fā)現(xiàn)問題只能召回處理。最終得出了兩個排名：

　　1.最容易被破解三甲：2014Jeep切諾基，2015凱迪拉克凱雷德、2014英菲尼迪Q50

　　2.最不容易被破解三甲：2014道奇蝰蛇，2014奧迪A8，2014本田雅閣

　　發(fā)現(xiàn)問題了么？為什么今年他們拿切諾基開刀，原來根源在這里。

　　小結(jié)：

　　其實研究到這里并沒有結(jié)束。兩位白帽黑客的雄心壯志在于想對所有車型進行分析并得出答案，無奈這些資料并不是那么好拿到的，因而只有這些款。而且，因為他們并不是這些車型都有，也沒有對每一款車進行具體實驗分析，以確定分割更多網(wǎng)絡(luò)等是否能夠成為黑客破解的障礙。不過，在去年出研究成果之后，今年對切諾基下手就證明了他們的研究并沒有停止，而是會繼續(xù)前行。