隨著汽車產(chǎn)業(yè)正在不斷的發(fā)展，汽車中增加了更多的便利和個(gè)性化的駕駛體驗(yàn)。消費(fèi)者希望汽車和生活不斷地加以連接，這也推動(dòng)了汽車制造商增加車輛和個(gè)人設(shè)備之間的整合，如和智能手機(jī)等。

以前汽車是孤立、物理隔離的，因此黑客很難遠(yuǎn)程入侵汽車內(nèi)部控制器，除非進(jìn)行物理入侵——這需要很高的犯罪成本。隨著互聯(lián)網(wǎng)的進(jìn)化，當(dāng) TSP 這樣的車聯(lián)網(wǎng)產(chǎn)品通過(guò) T-BOX 與汽車內(nèi)部網(wǎng)絡(luò)聯(lián)網(wǎng)之后，汽車受到的遠(yuǎn)程網(wǎng)絡(luò)攻擊就不再是猜想。

可以預(yù)見(jiàn)， 一旦車聯(lián)網(wǎng)產(chǎn)品普及，關(guān)于汽車被攻擊的現(xiàn)實(shí)案例就會(huì)出現(xiàn)并越來(lái)越多?！?60 智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室

最近，360 集團(tuán)在北京總部發(fā)布《2017 智能網(wǎng)聯(lián)汽車信息安全年度報(bào)告》，從智能網(wǎng)聯(lián)汽車信息安全規(guī)范、智能汽車 CVE 漏洞分析、破解案例分析三方面，介紹了 2017 年智能網(wǎng)聯(lián)車聯(lián)信息安全的發(fā)展歷程。報(bào)告指出，車聯(lián)網(wǎng)的漏洞會(huì)給用戶帶來(lái)財(cái)產(chǎn)安全風(fēng)險(xiǎn)，甚至物理傷害，這些漏洞升級(jí)到 TSP 平臺(tái)、App 應(yīng)用、Telematics(T-BOX) 上網(wǎng)系統(tǒng)、車機(jī) IVI 系統(tǒng)、CAN-BUS 車內(nèi)總線等相關(guān)安全威脅風(fēng)險(xiǎn)。

目前，2017 年被研究人員發(fā)現(xiàn)的 TCU 和安全氣囊等漏洞，已經(jīng)分別獲得了 CVE 漏洞編號(hào)，這意味著汽車信息安全進(jìn)入刷漏洞的時(shí)代。因此，360 智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室指出，汽車廠商應(yīng)該配備自己的信息安全團(tuán)隊(duì)，持續(xù)監(jiān)測(cè)漏洞，以防被「刷漏洞」攻擊。

獲得 CVE 漏洞編號(hào)的漏洞案例：TCU 和安全氣囊

什么是 CVE 漏洞編號(hào)？

CVE 的英文全稱是「Common Vulnerabilities & Exposures」，直譯為「公共漏洞和暴露」，它為廣泛認(rèn)同的信息安全漏洞或者已經(jīng)暴露出來(lái)的弱點(diǎn)給出一個(gè)共同的名稱，可以幫助用戶在各自獨(dú)立的各種漏洞數(shù)據(jù)庫(kù)、漏洞評(píng)估工具中共享數(shù)據(jù)。所以如果漏洞報(bào)告中指明的一個(gè)漏洞有 CVE 名稱，你就可以快速地在任何其它 CVE 兼容的數(shù)據(jù)庫(kù)中找到相應(yīng)修補(bǔ)的信息，解決安全問(wèn)題。

因此，已經(jīng)獲得 CVE 漏洞編號(hào)的 TCU 和安全氣囊漏洞，可以說(shuō)是廣泛存在并且較被關(guān)注的問(wèn)題。

第一，TCU 漏洞。

2017 年，三名研究人員發(fā)現(xiàn)福特、寶馬、英菲尼迪和日產(chǎn)汽車的 TCU（遠(yuǎn)程信息處理控制單元）中存在漏洞。這些 TCU 都是由大陸集團(tuán)（Continental AG）生產(chǎn)的。漏洞影響的是 S-Gold 2（PMB 8876）蜂窩基帶芯片。

其中一個(gè)漏洞是 TCU 中處理 AT 命令的組件存在緩沖區(qū)溢出漏洞（漏洞編號(hào) CVE-2017-9647），這些命令中有很多事蘋(píng)果在 2015 年修復(fù)的 iPhone 漏洞，它們包括 AT+STKPROF, AT+XAPP, AT+XLOG 和 AT+FNS，不過(guò)攻擊者只有對(duì)汽車有物理權(quán)限才能執(zhí)行這個(gè)攻擊。

另一個(gè)漏洞則是攻擊者可以利用 TMSI（臨時(shí)移動(dòng)用戶識(shí)別碼）來(lái)入侵并且控制內(nèi)存（漏洞編號(hào) CVE-2017-9633），這個(gè)漏洞可以被遠(yuǎn)程利用。

第二，安全氣囊漏洞（CVE-2017-14937-OBD）。

安全氣囊漏洞通過(guò) OBD 連接器或車內(nèi) CAN 網(wǎng)絡(luò)發(fā)送指令。它有兩個(gè)攻擊條件：1) 車輛點(diǎn)火且車輛的速度必須小于 6 公里/小時(shí)；2) 通過(guò)獲得 CAN 總線訪問(wèn)權(quán)限以及 OBD 接口向車內(nèi)網(wǎng)絡(luò)發(fā)送惡意構(gòu)造的 UDS 對(duì)安全氣囊進(jìn)行攻擊。這個(gè)漏洞影響到了 2014 年起生產(chǎn)的乘用車，可以對(duì)車內(nèi)的乘客造成物理傷害。

四個(gè)案例：斯巴魯、馬自達(dá)、特斯拉、海豚音

此外，在報(bào)告中還舉出了四個(gè)利用信息安全漏洞，破解智能汽車的案例。360 智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室嚴(yán)敏睿給我們進(jìn)行了簡(jiǎn)要介紹。

第一個(gè)案例是斯巴魯汽車，它存在遙控鑰匙系統(tǒng)漏洞，還有車載娛樂(lè)系統(tǒng)漏洞。

斯巴魯汽車的遙控鑰匙系統(tǒng)漏洞是荷蘭電子工業(yè)設(shè)計(jì)師 Tom Wimmenhove 發(fā)現(xiàn)的，它屬于嚴(yán)重的安全設(shè)計(jì)缺陷，存在于多款斯巴魯汽車。這個(gè)漏洞會(huì)導(dǎo)致斯巴魯汽車被劫持，已確認(rèn)廠商目前還沒(méi)有修復(fù)漏洞。

這里的問(wèn)題在于，某些型號(hào)的斯巴魯汽車采用的鑰匙系統(tǒng)在對(duì)車輛進(jìn)行上鎖、解鎖等操作時(shí)，使用的是序列碼，也叫做滾動(dòng)代碼或跳躍代碼。當(dāng)用戶通過(guò)鑰匙系統(tǒng)按鍵控制汽車時(shí)，攻擊者只需要在信號(hào)范圍內(nèi)就可以捕捉到鑰匙系統(tǒng)發(fā)出的數(shù)據(jù)包，并通過(guò)它預(yù)測(cè)下一次序列碼，做到上鎖、解鎖車輛，關(guān)閉車輛的聲音警報(bào)系統(tǒng)。

而斯巴魯汽車的車載娛樂(lè)系統(tǒng)漏洞是來(lái)自加州的汽車信息安全研究院 Aron Guzman 發(fā)現(xiàn)的，它發(fā)現(xiàn)自己的 2017 款斯巴魯 WRX STI 中有八個(gè)高危軟件漏洞。這個(gè)漏洞的原理是，按照正常開(kāi)發(fā)流程，當(dāng)車主通過(guò)手機(jī) App 控制車輛時(shí)會(huì)獲得一個(gè)短期內(nèi)會(huì)失效的認(rèn)證令牌，但是斯巴魯?shù)?Starlink 服務(wù)器并沒(méi)有設(shè)定失效時(shí)間，也沒(méi)有限制登陸者身份和登陸位置。因此通過(guò)竊取認(rèn)證令牌，攻擊者可以做到解鎖或關(guān)閉車門(mén)、對(duì)車輛鳴，以及通過(guò)斯巴魯網(wǎng)站獲取車輛位置記錄等。

第二個(gè)案例是馬自達(dá)車機(jī)娛樂(lè)系統(tǒng)。

據(jù)說(shuō)這個(gè) Bug 早在 2014 年 5 月就被 Mazda 3 Revolution 論壇用戶發(fā)現(xiàn)了，之后馬自達(dá)論壇的車主們一直在使用這些「黑客手段」定制汽車的信息娛樂(lè)系統(tǒng)、調(diào)整設(shè)置，或安裝應(yīng)用程序，馬自達(dá)整合調(diào)整安裝包 MZD-AIO-TI 就是其中最常用的工具之一。

2017 年，Bugcrowd 的 App 安全工程師 Jay Turla 搭建了一個(gè)叫做 mazda_getInfo 的系統(tǒng)，它能讓讓使用者在 U 盤(pán)上復(fù)制一組腳本，將其插入汽車的儀表板后即可在 MZDConnect 固件上執(zhí)行惡意代碼，讓整個(gè)「黑客」過(guò)程自動(dòng)化。由于 MZDConnect 基于多用戶、多任務(wù)的分時(shí)操作系統(tǒng) UNIX，因此任何人都可以創(chuàng)建腳本對(duì)汽車進(jìn)行入侵攻擊，包括在汽車儀表盤(pán)上顯示文本或終端命令等。

第三個(gè)案例是特斯拉汽車車聯(lián)網(wǎng)系統(tǒng)。

特斯拉在每輛特斯拉汽車上都內(nèi)置了一個(gè) WIFI TeslaService， 它的密碼是一個(gè)明文，保存在 QtCarNetManager 中，正常模式下不會(huì)自動(dòng)連接。當(dāng)用戶到特斯拉 4S 店或充電站時(shí)，會(huì)自動(dòng)連接站點(diǎn)提供的熱點(diǎn) TeslaGuest，因此攻擊者可以偽造相應(yīng)的 WIFI 熱點(diǎn)，在特斯拉車主用 CID 搜尋充電樁時(shí)，將 QtCarBrowser 的流量重定向到自己的域名，劫持流量。

360 方面稱，根據(jù)研究可以發(fā)現(xiàn) Tesla Model S 在車機(jī)系統(tǒng)存在瀏覽器安全、Linux 系統(tǒng)內(nèi)核安全、固件更新機(jī)制不合理和網(wǎng)關(guān)調(diào)試后門(mén)等安全問(wèn)題。攻擊者綜合利用后，讓遠(yuǎn)程控制形成一條通路，實(shí)現(xiàn)最終的破解。由于是基于瀏覽器網(wǎng)頁(yè)漏洞的攻擊，因此在不接觸車輛的情況下，攻擊者也可以遠(yuǎn)程攻擊，控制車上的剎車、油門(mén)、天窗、車門(mén)等。

第四個(gè)案例是利用海豚音攻擊，破解語(yǔ)音控制系統(tǒng)。

「海豚音」的攻擊原理是將語(yǔ)音命令聲音調(diào)制后加載到載波的超聲波上，因?yàn)槌鋈硕邮疹l率的范圍，無(wú)法被人聽(tīng)見(jiàn)，卻可以被手機(jī)、智能家居以及智能汽車等智能設(shè)備的語(yǔ)音控制系統(tǒng)接收到。由于麥克風(fēng)的非線性特性，會(huì)將原本被調(diào)制的語(yǔ)音命令聲音解調(diào)、恢復(fù)到調(diào)制之前的狀態(tài)，也就是有個(gè)放大器會(huì)把超聲波信號(hào)轉(zhuǎn)變成兩千赫茲一下認(rèn)可識(shí)別的信號(hào)，之后濾波器會(huì)過(guò)濾掉人耳不可聽(tīng)到的部分。這樣一來(lái)，遠(yuǎn)程發(fā)送的語(yǔ)音指令可以消無(wú)聲息的被語(yǔ)音識(shí)別系統(tǒng)識(shí)別到，最終實(shí)現(xiàn)攻擊。

360 智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室和浙江大學(xué)徐文淵教授團(tuán)隊(duì)，通過(guò)智能汽車榮威 eRX5 進(jìn)行了測(cè)試，通過(guò)「海豚音」攻擊，可以在車主聽(tīng)不到的情況下，通過(guò)對(duì)車載語(yǔ)音助手下指令，做到開(kāi)啟天窗、控制空調(diào)、導(dǎo)航等功能。

在智能網(wǎng)聯(lián)汽車信息安全建設(shè)上，車廠該做些什么？

根據(jù)過(guò)去一年中和廠商的安全實(shí)踐，對(duì)于 2018 年智能網(wǎng)聯(lián)汽車信息安全建設(shè)，360 智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室給車廠提出了以下四點(diǎn)建議：

1）組建自己的信息安全團(tuán)隊(duì)或組織；

360 智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室項(xiàng)目經(jīng)理郭斌指出，大多數(shù)的汽車廠商信息安全團(tuán)隊(duì)和組織都是分離的，由平臺(tái)部門(mén)和電子電器部門(mén)組成，對(duì)于公司內(nèi)部來(lái)講是跨組織跨架構(gòu)的。所以要做好信息安全工作，首先需要成立實(shí)體或者虛擬的團(tuán)隊(duì)，將后臺(tái)和前端放到一起，培養(yǎng)專職人員總體牽頭工作?！高@需要車廠自己解決，不能依賴第三方服務(wù)商或供應(yīng)商?！?/p>

2）控制上線前產(chǎn)品安全驗(yàn)收；

從以往破解案例可以看出，目前汽車領(lǐng)域的安全手段是滯后的，國(guó)際或者國(guó)內(nèi)沒(méi)有相關(guān)的安全標(biāo)準(zhǔn)可以指導(dǎo)汽車廠家去做正向開(kāi)發(fā)，廠家在汽車聯(lián)網(wǎng)、智能化的產(chǎn)品開(kāi)發(fā)設(shè)計(jì)之初就沒(méi)有考慮到信息安全問(wèn)題。現(xiàn)在大多廠家的做法是和第三方合作完成上線前產(chǎn)品安全驗(yàn)收。

360 智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室在 2014 年成立，目前在上線前產(chǎn)品安全驗(yàn)收方面，他們表示已經(jīng)服務(wù)了國(guó)內(nèi) 80%到 90%的自主品牌，也包括一些合資品牌。GeekCar 了解到，他們首輪測(cè)試時(shí)間是 45 到 60 個(gè)工作日，測(cè)試完成后會(huì)把所有問(wèn)題輸出一個(gè)報(bào)告給到車廠，車廠再分解問(wèn)題，和供應(yīng)商做單獨(dú)溝通解決?！冈谡姆矫妫噺S會(huì)權(quán)衡成本等自身情況，有的返場(chǎng)重新設(shè)計(jì)，有的會(huì)用一些措施提高攻擊門(mén)檻?！构笳f(shuō)。

3）進(jìn)行合理有效的威脅分析；

郭斌表示，在車廠運(yùn)維和后端運(yùn)維階段，或者說(shuō)產(chǎn)品運(yùn)行階段需要有一些合理、有效和安全的運(yùn)維平臺(tái)。這里包括一些安全的應(yīng)急響應(yīng)和安全應(yīng)急支撐的威脅分析，還包括安全能力的支持。

4）關(guān)注標(biāo)準(zhǔn)建設(shè)和法律法規(guī)。

報(bào)告中指出，目前，國(guó)際 ISO/SAE 在進(jìn)行 21434（道路車輛-信息安全工程）標(biāo)準(zhǔn)的制定，該標(biāo)準(zhǔn)主要從風(fēng)險(xiǎn)評(píng)估管理、產(chǎn)品開(kāi)發(fā)、運(yùn)行/維護(hù)、流程審核等四個(gè)方面來(lái)保障汽車信息安全工程工作的開(kāi)展。中國(guó)代表團(tuán)也積極參與此項(xiàng)標(biāo)準(zhǔn)的制定，國(guó)內(nèi)幾家汽車信息安全企業(yè)、整車場(chǎng)，也參與了該標(biāo)準(zhǔn)的討論，該標(biāo)準(zhǔn)將于 2019 年下半年完成，預(yù)計(jì)滿足該標(biāo)準(zhǔn)進(jìn)行安全建設(shè)的車型于 2023 年完成。

國(guó)內(nèi)標(biāo)準(zhǔn)制定方面，2017 全國(guó)汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)已經(jīng)組織兩次汽車信息安全工作組會(huì)議，全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)等各大國(guó)標(biāo)委，聯(lián)盟組織在積極研究汽車信息安全標(biāo)準(zhǔn)相關(guān)工作，加快汽車信息安全標(biāo)準(zhǔn)的制定進(jìn)度。