随着2015年7月两位著名白帽黑客查理·米勒以及克里斯·瓦拉塞克入侵了一辆Jeep自由光行驶过程的经典案例曝光,大家对汽车的安全性能提出了大大的问号。两位黑客侵入克莱斯勒公司出品的Uconnect车载系统,远程通过软件向该系统发送指令,启动车上的各种功能。 此外,宝马ConnectedDrive数字服务系统遭入侵事件,黑客能够利用该漏洞以远程无线的方式侵入车辆内部,并打开车门。 特斯拉Model S遭入侵事件,研究人员通过Model S存在的漏洞打开车门并开走,同时还能向Model S发送“自杀”命令,在车辆正常行驶中突然关闭系统引擎。 此外,奥迪、保时捷、宾利和兰博基尼等大众旗下品牌的MegamosCrypto防护系统也遭到攻破。因此,一旦别有用心的人攻击了私人车辆,不仅仅是造成车内财物丢失或者车辆被盗,并且极有可能危及到司机和乘客的生命安全。 TSP安全威胁分析 TSP(Telematics Service Provider)汽车远程服务提供商。在 Telematics 产业链中居于核心地位,上接汽车、车载设备制造商、网络运营商,下接内容提供商。Telematics 服务集合了位置服务、Gis 服务和通信服务等现代计算机技术,为车主和个人提供强大的服务:导航、娱乐、资讯、安防、SNS、远程保养等服务。TSP系统在车联网架构当中起到的是汽车和手机之间通讯的跳板,为汽车和手机提供内容和流量转发的服务,并且承担着汽车与服务商之间最重要的一环。TSP被视为车联网产业链最核心的环节之一, 是整车厂车联网项目的关键,下图中红框所示部分就是TSP所处的位置及承担的职能。 可以看到,TSP角色涵盖了Telematics Services Platform提供商(逻辑上应该包括平台设计、开发、运营等)、呼叫中心、内容聚合、云平台、数据中心等。理论上其中任何一方都可以凭借自身的优势比如呼叫中心、云平台等,成为TSP去整合其他参与者(包括对CP和SP的整合)。 就车联网TSP 平台而言,漏洞可能来自软件系统设计时的缺陷或编码时产生的错误,也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。这些缺陷、错误或不合理之处可能被有意或无意地利用,从而对整个车联网的运行造成不利影响。例如系统被攻击或控制、重要资料被窃取、用户数据被篡改、甚至冒充合法用户对车辆进行控制。根据车联网TSP 平台认证系统的实际情况并结合Web 系统的常见安全漏洞,现在分析一下TSP平台软件常见安全漏洞的种类: 1. SQL 注入和XSS攻击 由于程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。可以提交一段数据库查询代码,根据程序返回的结果获得某些想要得知的数据。XSS,跨站脚本攻击。恶意攻击者往Web 页面里插入恶意html 代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而达到恶意攻击用户的目的。 2.越权漏洞和暴力破解 越权漏洞是指由于应用程序未正确实现授权功能,造成用户可以执行其没有资格执行的操作,包括可以查看或修改他本身没资格查看或修改的资源,以及可以执行用户本身没有的功能。暴力破解是一种针对于密码的破译方法,将密码进行逐个推算直到找出真正的密码为止。攻击者利用该漏洞可以破解存在该漏洞的应用程序的用户密码。 3.文件上传漏洞和CSRF 文件上传漏洞是由于对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上传可执行的动态脚本文件。恶意攻击者利用该漏洞可以直接向服务器上传ASP 木马、PHP 木马等,从而控制TSP服务器。跨站请求伪造(CSRF)攻击发起的目标都是通过伪造一个用户请求,该请求不是用户想发出去的请求,而对服务器或服务来说这个请求是完全合法的请求,但是却完成了攻击者所期望的操作。 此外,在 TSP 后台的应用领域,还要考虑如何应对 OTA 安全风险的方法。OTA 技术即(Over-the-Air Technology)空中下载技术,通过移动通信(GSM 或 CDMA)的空中接口对 SIM 卡数据及应用进行远程管理,由于这一过程中包含了车辆与外界数据传输的整个流程,因此可能存在的风险较大,更需要有一个高安全性的 TSP 后台来进行数据安全的保障。 APP安全威胁分析 2016年,研究人员测试了多家主机厂的远程控制APP的安全性,测试结果显示,目前市面上大多数远程控制APP居然连最基础的软件防护和安全保障都不具备,这就意味着通过root用户的手机端或者诱导用户下载安装恶意程序,黑客可以很轻易地利用这些远程控制APP窃取用户个人信息及车辆的控制权,从而控制车辆开锁落锁,甚至启动引。上述情形只适用于具备手机APP远程控制功能的车型,而且目前也没有发现Android平台上有相关的恶意软件。不过黑市论坛上已经有叫卖车主隐私信息的卖家了,包括用户名及登录密码,车型及车辆识别码,PIN码等信息。 研究人员测试的APP大致解释了黑客常用的几种窃取车主信息的手段。因为目前基本上所有类似的远程控制APP的车主个人隐私信息都在不加密的状态下简单地储存在车主的手机中,对此,黑客可以通过root用户手机,作为根用户直接将用户信息发送到后台主机。或者可以诱导用户下载恶意程序,窃取登录信息。亦可以通过其他恶意软件进行“覆盖”攻击,在用户启动APP的同时创立一个伪造的登录界面诱导用户登录,从而窃取信息,此时黑客亦可以进行多重覆盖攻击,窃取用户其余所有的个人信息。 远程控制APP应该引入多重身份验证,指纹验证或者后台联合验证机制来防止黑客通过恶意代码诱导等手段进行攻击,同时车主信息应当进行加密或分散保存,从而真正提高使用安全性。网联汽车安全保障缺失的问题已经不是第一次被提及了,也并不仅仅是Android平台。早在2015年,安全人员Samy Kamkar就向公众演示了通过在车内安置一个小硬件来入侵车辆的远程控制APP的手法,实现车主信息窃取及车辆控制权窃取。通用安吉星,克莱斯勒UConnect,奔驰MBrace和宝马Remote均惨遭被黑。毫无疑问,随着车主通过手机远程控制功能更加丰富,安全风险也必然随着陡增。 T-Box安全威胁分析 T-Box系统是通过在汽车上集成的GPS定位,RFID(射频技术)识别,传感器、摄像头和图像处理等电子元件,按照通信协议和数据交互标准,进行无线通信和信息交换的大系统网络,也是实现智能化交通管理、智能动态信息服务和车辆智能化控制的基础网络。T-BOX网络的安全系数决定了汽车行驶和整个智能交通网络的安全,是车联网发展的核心技术之一。 从底层硬件到云端服务开发,再到资源调配,满足于车内多方的需求,车联网标准终端T-Box,其作用表现在三方面功能:远程控制功能、远程查询功能、安防服务功能。 与以往的软件漏洞、网站漏洞、无线攻击等传统的互联网安全思路不同,2016年,研究人员通过更加全面的技术对车联网核心控制系统T-Box进行了安全分析并成功破解,实现了对车辆的本地控制及其它车辆远程操作控制。为了破解T-Box,研究人员分析了T-Box的硬件结构、调试引脚、WIFI系统、串口通信、MCU固件、代码逆向、CAN总线数据、T-Box指纹特征等研究点,成功攻破了T-Box的软硬件安全系统,劫持了ARM和MCU单片机之间的串口协议数据(部分车机采用了这种结构),实现对协议传输数据的篡改,从而可以修改用户的指令或者发送伪造命令到CAN控制器中,实现了对车辆的本地控制和远程操作控制。 IVI安全威胁分析 IVI (In-Vehicle Infotainment 简称IVI),是采用车载专用中央处理器,基于车身总线系统和互联网服务,形成的车载综合信息娱乐系统。IVI能够实现包括三维导航、实时路况、IPTV、辅助驾驶、故障检测、车辆信息、车身控制、移动办公、无线通讯、基于在线的娱乐功能及TSP服务等一系列应用,极大的提升了车辆电子化、网络化和智能化水平。 IVI提供的攻击面比其他任何车辆部件都广,对IVI的攻击也可分为软件攻击和硬件攻击。软件攻击方面可以通过软件升级方式获得访问权限,进入目标系统。 如果感觉攻击硬件比攻击软件更为得心应手,并且可将IVI从目标车辆拆下,那么也可以从硬件下手。 其中一个案例,2016年, Vulnerability实验室的安全研究人员公布了宝马车载娱乐系统的两个Web 0day漏洞。其中一个漏洞是VIN会话劫持,这是一个会话漏洞,恶意用户可以借此获取另一用户的VIN(车辆识别号)。VIN是车辆匹配用户账户的ID号,VIN码被用于将ConnectedDrive设置备份到他们自己的账户上。在Web网站上改变这些设置后,系统就会将改变同步到汽车和连入的移动APP里,通过绕过VIN会话验证,然后使用另一个VIN接入访问以编辑其他用户的汽车设置。具体的流程如下: Can-bus总线安全威胁分析 上图给出了汽车CAN总线的远程打击面。汽车电子元器件在车内都是通过CAN网络相连接的,电子元器件之间是通过CAN包进行通信的。OBD会经过CAN总线链接到ECU,然后利用ECU对每个传感器进行调用并分析出相关信息,通过CAN总线传送回OBD接口,汇总并整理好相关信息给手机App进行显示。 尽管CAN总线的数据链路层协议是确定的,但是在应用层,不同的汽车品牌甚至是不同的车型都有不同的定义。在应用层,CAN数据帧主要有两个部分值得我们关注:一方面是ID字段的意义,对于某一个ID的数据包,它的发送者和接收者是未知的;另一方面是数据段的含义,数据段不同部分代表的含义也不清楚。不同的汽车厂商会定义自己的CAN总线通信矩阵,这个矩阵定义了ID字段所对应的ECU,同时也定义了数据段所对应的实际含义。而这个通信矩阵汽车厂商只提供给其汽车部件生产者,不会告知给第三方。所以对于攻击者来说,若想获得汽车的控制权,研究如何通过逆向工程、模糊测试等方法获得其通信矩阵并破解汽车的应用层总线协议就显得至关重要。 随着汽车技术的发展,有越来越多的汽车都进使用了总线结构及电子化、智能化技术,近年来汽车破解事件日益突出。为了更好的研究汽车信息安全技术,360汽车信息安全实验室独立开发了一套汽车信息安全检测平台和框架--CAN-Pick,可以被安全研究人员和汽车行业/OEM的安全测试人员使用进行黑盒测试。本软件可以发现电子控制单元ECU、中间人测试攻击、模糊测试攻击、暴力破解、扫描监听CAN总线报文、被动的分析验证CAN总线报文中的校验和和时间戳。同时可以对于分析出来的报文可以通过可视化的方式分析出报文的变化量,从而确定控制报文的区间值。通时还可以在平台内共享可编程的汽车测试用例。之前我们通过演示对BYD汽车的总线数据的破解,来展示CAN-Pick工具的强大能力并且系统的介绍汽车总线协议的逆向分析方法,演示对于汽车总线的注入攻击,突破汽车总线安全设计。未来可以通过该工具做为中间人,在不增加汽车执行器的情况下实现对汽车的自动控制功能。 ECU安全威胁分析 ECU(Electronic Control Unit)电子控制单元,是汽车专用微机控制器,它和普通的单片机一样,由微处理器、存储器、输入/输出接口、模数转换器以及整形、驱动等大规模集成电路组成。电控单元的功能是根据其内存的程序和数据对空气流量计及各种传感器输入的信息进行运算、处理、判断,然后输出指令。一辆汽车通常有几十个甚至更多的电子控制器,其中许多被连成网络,相互进行通信。大多数汽车的电子控制模块具备一些防止其代码和操作遭到篡改的措施,这些措施的保护力度强弱不一。 ECU攻击也可分为这样三种不同的类别: 前门(front door)攻击:劫持原始设备制造商(OEM)的访问机制。第二代车载诊断系统标准规定,车辆可以通过OBD连接器进行重新编程,因此对原厂编程方法进行逆向工程是一种有保证的攻击方式。 后门(back door)攻击:使用更为传统的硬件黑客手段。汽车的电子控制模块也是嵌入式系统,因此可以对其运用常规硬件攻击手段。 漏洞利用:检测并发现非预期访问机制。通常而言,漏洞利用代码是基于bug或问题构建的。bug极有可能导致系统崩溃、重启或执行驾驶人员非预期的功能,其中的一些bug给了缓冲出溢出攻击的机会,通过非预期输入为控制受bug影响的设备打开一扇大门。构造巧妙的输入能够触发bug,导致设备执行攻击者提供的恶意代码,而不是触发常规故障状态。 下面以汽车发动机ECU为例,对ECU的固件进行逆向分析,ECU的本质和单片机一样,可以被外部设备进行固件的刷写,也可以通过外部设备将其固件提取出来进行分析。通过分析CAN总线数据,部分ECU功能和数据流是无法完全分析出来的,通过对ECU固件的逆向,分析ECU代码,可以获得其功能、指令集等。 同时,ECU能被刷写固件的特点也为攻击者提供了一个攻击难度较大,但是危害也较大的攻击入口。攻击者通过远程更新ECU固件,将恶意代码刷写入ECU便可以轻易的干扰整个车内网络,造成无法估计的损失。ECU 固件的读取和普通设备的固件读取类似,但是也有差别。相似之处就是都需要硬件设备支持,不同之处在于接口方式的不同。 当然有的需要将 ECU 拆解下来进行固件读取,而有的可以直接通过 OBD 口进行固件读取,通过 OBD 读取更加简单。固件信息提取时,首先通过二进制数据中的字符串来看看该 ECU 固件的有哪些信息,其次必须知道该固件的 MCU 类型,以便知道该 ECU 采用指令集类型。这里会用到 binwalk工具和Bosch Me7x 插件,通过该插件会成功找到了一些关键函数和 MAP 表。 为了识别出更多 MAP表,需要一个更加专业的工具-winols,该款工具可以很好的识别出 ECU 固件中 MAP 并且能够实现这些数据的 2D、 3D 展示,最强大的是可以实现 MAP 数据的编辑和校验,即便是加密处理过的数据也可以自行解密。 车间通信安全威胁分析 车联网是以车内网、车际网和车载移动互联网为基础,按照约定的通信协议和数据交互标准,在V-X(V:vehicle,X:车、路、行人及互联网等)之间,进行无线通讯和信息交换的系统网络。目前,全球还没有统一的车间通信标准。美国于1998年推出了DSRC作为车间通信标准,DSRC以IEEE 802.11p(WAVE)作为物理层标准,IEEE 802.11p由IEEE 802.11标准扩充,专门应用于车用环境的无线通信技术,采用5.850~5.925GHz中的75MHz频段作为通信频段,传输距离可以达到1000米。DSRC系统包含车载装置(On Board Unit, OBU)与路侧装置(Road Site Unit, RSU)两项重要组件,透过OBU与RSU提供车间与车路间信息的双向传输。 虽然大部分V2V技术和安全策略还未出台,但已知的是:蜂窝网、DSRC和混合通信的安全性均基于某种类似Web网站上SSL模型的公钥基础设施(PKI,Pubilc Key Infrastructure)模型。通过生成公钥和私钥对,用户可以使用PKI系统的加密和解密文件中创建数字签名并发送到网络上。公钥可以公开交换,用于对目的地之间的数据进行加密。一旦加密完成,只有私人秘钥可用于对数据进行解密,数据使用发件人的私钥签名是为了验证数据来源。 尽管在DSRC应用层上已有身份认证和传输加密措施,但是在链路层上的通信是没有加密的。攻击者可以通过购买具备DSRC功能的设备,或者使用软件定义的无线电,制作自己的DSRC接收器,就可以在接收器的有效距离内接收车辆的相关信息,如尺寸、位置、速度、方向以及最近300米内的行车路径,并使用这些信息跟踪目标车辆。例如,如果攻击者知道目标车辆的制造商和型号以及尺寸,他们就可以在目标人家的附近设置接收器,远程接收目标车辆何时驶出接收器的范围,这样攻击者可以获得车主离开住宅的时间。除此之外,在V2V系统的实现中还存在有其他的安全隐患:如攻击者阻止自己的车辆发送信息,从而隐藏自己的驾驶行为;收集某一车辆的信息,并利用它们来识别某个特定的驾驶员;攻击者伪造身份发送虚假消息等。车间通信不仅仅涉及到无线通信领域的信号窃取、信号干扰等固有安全问题,恶意行为人对车间通信的安全性影响也是不能忽视的。来源:车云网
