智能网联汽车威胁建模及威胁分析课件.pptx

1、第4章智能网联汽车威胁建模及威胁分析智能网联汽车威胁建模及威胁分析智能网联汽车威胁建模及威胁分析4.1智能网联汽车威胁建模概述及设计智能网联汽车威胁建模概述及设计4.2LEVEL0级：级： 智能网联汽车整车级威胁分析智能网联汽车整车级威胁分析4.3LEVEL1级：级： 智能网联汽车通信系统级威胁分析智能网联汽车通信系统级威胁分析4.4LEVEL2级：级： 车内通信应用模块威胁分析车内通信应用模块威胁分析4.5LEVEL2级：级： 近程通信应用模块威胁分析近程通信应用模块威胁分析4.6LEVEL2级：级： 远程通信应用模块威胁分析远程通信应用模块威胁分析第4章智能网联汽车威胁建模及威胁分析4.1

2、智能网联汽车威胁建模概述及设计智能网联汽车威胁建模概述及设计如图 41 所示,本书将智能网联汽车的威胁模型分为三级: LEVEL0 、 LEVEL1 和LEVEL2 ,从智能网联汽车整车级、智能网联汽车通信系统级、智能网联汽车应用模块级三个层级构建威胁模型,将威胁分析聚焦到具体应用单元及零部件,细化智能网联汽车面临的安全威胁和风险。第4章智能网联汽车威胁建模及威胁分析图 41 智能网联汽车威胁模型第4章智能网联汽车威胁建模及威胁分析4. 2 LEVEL0 级级: 智能网联汽车整车级威胁分析智能网联汽车整车级威胁分析图 42 所示为智能网联汽车整车级威胁建模框架,从通信角度把智能网联汽车面临的威

3、胁分为 3 大类 16 个子类的单元及模块,全面覆盖智能网联汽车的各个风险点,通过深入分析可以得到智能网联汽车面临威胁的细粒度全貌。第4章智能网联汽车威胁建模及威胁分析图 42 智能网联汽车威胁建模框架第4章智能网联汽车威胁建模及威胁分析4.3LEVEL1级：级： 智能网联汽车通信系统级威胁分析智能网联汽车通信系统级威胁分析智能网联汽车离不开各种通信系统的协调配合,智能网联汽车面临的威胁也以这些通信系统面临的威胁为基础,对于智能网联汽车的 LEVEL1 级威胁,本书主要从车内通信、近程通信、远程通信三个角度进行分析,全面覆盖智能网联汽车的通信系统级威胁。第4章智能网联汽车威胁建模及威胁分析4.

4、 3. 1 车内通信威胁分析车内通信威胁分析车内通信是指车载端与车内总线以及电子电气系统之间的通信。由于车内通信要满足数据交换的需求,所以无法做到外部威胁与内部网络之间的安全隔离,无法保证车载端向内部关键电子电气系统发送伪造、重放等攻击方式的指令和数据,进而威胁到车内子系统和数据的保密性、完整性等。如图 4 3 所示,车内通信主要涉及 CAN 总线、 GW 、 IVI 、T BOX 、各种 ECU 、 USB 、 OBD 等子模块。第4章智能网联汽车威胁建模及威胁分析图 43 车内通信攻击示意图第4章智能网联汽车威胁建模及威胁分析4. 3. 2 近程通信威胁分析近程通信威胁分析汽车近程通信技术

5、是从无接触式的认证和互联技术演化而来的短距离通信技术。随着多种近程通信技术的广泛应用,车辆需要部署多个近程通信模块,实现 WiFi 、蓝牙、Radio 、 TPMS 、 Keyless 等多种通信功能。近程通信攻击如图44 所示。近程通信面临的安全威胁主要包括通信协议本身面临的威胁、通信过程面临的威胁、通信模块面临的威胁等,具体涉及协议逆向破解、嗅探窃听、数据破坏、中间人攻击、拒绝服务攻击等。第4章智能网联汽车威胁建模及威胁分析图 44 近程通信攻击示意图第4章智能网联汽车威胁建模及威胁分析4. 3. 3 远程通信威胁分析远程通信威胁分析汽车远程通信包括车载端与蜂窝网络的通信、与移动终端间的通

6、信以及与其他车辆和路侧设施的通信。由于汽车远程通信要满足不同应用场景对通信和数据交换的需求,因而存在信号嗅探、中间人攻击、重放等多种针对通信的安全威胁,无法保证数据的保密性、完整性及通信质量。车外通信威胁也包括通信协议本身面临的威胁、通信过程中面临的威胁、通信模块面临的威胁等,主要涉及车联网 TSP 平台、远程控车 App 、 OTA 远程升级、 GPS通信等,如图 45 所示。第4章智能网联汽车威胁建模及威胁分析图 45 远程通信攻击示意图第4章智能网联汽车威胁建模及威胁分析4. 4 LEVEL2 级级: 车内通信应用模块威胁分析车内通信应用模块威胁分析4. 4. 1 CAN 总线威胁分析总

7、线威胁分析1. 概述概述CAN 是 ControllerAreaNetwork 的缩写,是 ISO 国际标准化的串行通信协议。 CAN总线相当于汽车的神经网络,连接车内各控制系统,其通信采用广播机制,各连接部件均可收发控制消息,通信效率高,可确保通信实时性。析第4章智能网联汽车威胁建模及威胁分析如今的汽车包含很多不同的电子组件,这些组件通过 CAN 总线连接,构成了一个负责监视和控制汽车的车内网络,大多数针对汽车的攻击最终都要通过 CAN 总线来实现。由于CAN 总线本身只定义 ISO / OSI 模型中的物理层和数据链路层,通常情况下 CAN 总线网络都是独立的网络,所以没有网络层。 CAN

8、 总线的基本拓扑结构如图46 所示。第4章智能网联汽车威胁建模及威胁分析图 46 CAN 总线的基本拓扑结构第4章智能网联汽车威胁建模及威胁分析2. 威胁分析威胁分析从机密性角度, CAN 总线中报文是通过广播方式传送,所有的节点都可以接收总线中发送的消息,使得总线数据容易被监听和获取。从完整性角度, CAN 总线协议中的 ID 只是代表报文的优先级,协议中并没有原始地址信息,接收 ECU 对于收到的数据无法确认是否为原始数据,即接收报文的真实性在现有的机制下无法确认,这就容易导致攻击者通过注入虚假信息对 CAN 总线报文进行伪造、篡改等。第4章智能网联汽车威胁建模及威胁分析从可控性角度,汽车

9、总线数据帧发送和接收过程中通过“挑战”与“应答”机制进行诊断和保护 ECU ,由于计算资源限制,当前 ECU 访问的密钥通常是固定不变的,这就为黑客向总线发送报文进行破解和改写提供可能。第4章智能网联汽车威胁建模及威胁分析3. 案例分析案例分析:物理接触攻击物理接触攻击 CAN 总线总线2010 年,华盛顿大学的研究人员通过物理接触入侵了汽车 CAN 总线,研究人员利用连接在 OBD 接口上的笔记本电脑实现了对汽车的控制,如图 47 所示。第4章智能网联汽车威胁建模及威胁分析图 47 接触式攻击原理图第4章智能网联汽车威胁建模及威胁分析4. 4. 2 OBD 威胁分析威胁分析1. 概述概述OB

10、D 的全称是 OnBoardDiagnostics ,翻译成中文是:车载诊断系统。“ OBD ”又称为 OBD2 ,是 型车载诊断系统的缩写。第4章智能网联汽车威胁建模及威胁分析本书讨论的有关 OBD 的内容,既包括 OBD 接口,又包括 OBD 盒子。 OBD 接口是车载诊断系统接口,是智能网联汽车外部设备接入 CAN 总线的重要接口,可下发诊断指令与总线进行交互,进行车辆故障诊断、控制指令收发等,一般在汽车驾驶室的油门踏板上方。 OBD 盒子也叫 OBD 诊断仪,一般由第三方厂家生产,功能大同小异,大多OBD 盒子可以实现远程检测、跟车导航(路况通畅、定位、报警)、行车分析(某一段路程的用

11、时及油耗)、油耗管理等功能。图48 所示为 OBD 盒子和 OBD 接口。第4章智能网联汽车威胁建模及威胁分析图 48 OBD 盒子(左)和 OBD 接口(右)第4章智能网联汽车威胁建模及威胁分析2. 威胁分析威胁分析OBD 接口对接入的设备没有任何访问验证授权机制,再加上 CAN 总线系统中的消息采用明文传输,因此任何人都可以使用 OBD 诊断设备接入车辆进行操作。通过 OBD 接口对 CAN 总线操作主要分三种情况:一是 OBD 对 CAN 总线数据可读可写,此类安全风险最大;二是 OBD 接口对 CAN 总线可读不可写;三是 OBD 接口对 CAN 总线可读,但消息写入需遵循 J1939

12、 协议,后两者安全风险较小。第4章智能网联汽车威胁建模及威胁分析3. 案例分析案例分析: OBD 诊断设备漏洞诊断设备漏洞移动设备 C4OBD2 分析仪已经被用在共享汽车业务上,如 Metromile 的共享汽车业务。该诊断设备本身包含一个 GPS 接收器、蜂窝芯片和板载微处理器,通过蜂窝网络与服务提供商通信,以共享车辆操作的数据。研究人员发现,利用该设备的漏洞(主要为三个CVE 漏洞),可通过 OBD 端口向 CAN 总线注入消息控制车辆 。图 49 所示为 CVE2015 2906 的相关信息。第4章智能网联汽车威胁建模及威胁分析图 49 CVE 2015 2906第4章智能网联汽车威胁建

13、模及威胁分析该设备支持一些默认启用的服务( Telnet 、 SSH 、 HTTP ),这些服务可以远程访问,可能用于调试目的。该设备与服务器通信需要 6 个 SSH 私钥(用于 root 账户、更新服务器和设备),这些密钥在所有 C4OBD2 设备中都是相同的,如果一个密钥被攻击者提取,那么其他设备也可能受到攻击。图 410 所示为 CVE 2015 2907 的相关信息。第4章智能网联汽车威胁建模及威胁分析图 410 CVE 2015 2907第4章智能网联汽车威胁建模及威胁分析设备的用户名和密码被硬编码,并且所有设备都共享同一个 SSH 用户名,攻击者使用硬编码的 SSH 用户名和密码能

14、够访问任何 C4OBD2 分析仪设备。图 411 所示为 CVE2015 2908 的相关信息。第4章智能网联汽车威胁建模及威胁分析图 411 CVE 2015 2908第4章智能网联汽车威胁建模及威胁分析4. 4. 3 GW 威胁分析威胁分析1. 概述概述GW ,即 Gateway ,网关。汽车网关是汽车内部通信局域网的核心模块,与各 ECU 通过 CAN 协议或其他协议进行通信。网关其作为整车网络的数据交互枢纽,可将 CAN 、 LIN 、 MOST 、 FlexRay 等网络数据在不同网络中进行路由。汽车网关主要有以下三个功能:第一,报文路由,网关具有转发报文的功能,并对总线报文状态进行

15、诊断;第二,信号路由,实现信号在不同报文间的映射;第三,网络管理,监测网络状态,进行错误处理、休眠唤醒等。图 412 所示为 GW 的通信拓扑图。第4章智能网联汽车威胁建模及威胁分析图 412 GW 的通信拓扑图第4章智能网联汽车威胁建模及威胁分析2. 威胁分析威胁分析网关作为汽车内部网络的枢纽,其面临的威胁可概括为两个层面。第一,攻击者可利用网关通过总线网络向各 ECU 发送恶意控制信息。第二,对于具备远程通信功能的汽车网关( TGU , TelematicsGatewayUnit ),攻击者可以远程控制网关,进而控制汽车。第4章智能网联汽车威胁建模及威胁分析3. 案例分析案例分析:安装有安

16、装有 TGU 模块的汽车可被黑客跟踪模块的汽车可被黑客跟踪2016 年 3 月,来自研究机构 EyeOS 的研究人员 JoseCarlosNorte 发现,用于接收汽车远程命令的 TGU 在网上保持开放状态,黑客能够利用这些 TGU 跟踪汽车 。这些存在安全风险的 TGU 名叫 C4Max ,由法国公司 obileDevices 制造,实物如图 413 所示。第4章智能网联汽车威胁建模及威胁分析图 413 C4Max第4章智能网联汽车威胁建模及威胁分析Norte 表示能够通过利用搜索工具 Shodan 找到大批量的 C4Max 设备,许多设备都没有对 Telnet 会话和设备的 Web 访问进

17、行身份验证,攻击者可以非常轻松地通过 Shodan 识别 C4Max 设备,并获取车辆信息,如 GPS 坐标、车速、电池状态等。图 414 所示为 C4Max 的 Telnet 会话。第4章智能网联汽车威胁建模及威胁分析图 414 C4Max 的 Telnet 会话第4章智能网联汽车威胁建模及威胁分析4. 4. 4 ECU 威胁分析威胁分析1. 概述概述ECU ( ElectronicControlUnit ,电子控制单元)是汽车专用微机控制单元,如图 415所示。第4章智能网联汽车威胁建模及威胁分析图 415 汽车上的各种 ECU第4章智能网联汽车威胁建模及威胁分析2. 威胁分析威胁分析EC

18、U 面临的安全威胁主要有三个:一是攻击者通过 OBD 接口直接获取 ECU 的有效信息或将 ECU 拆解下来读取固件,然后进行逆向分析;二是 ECU 固件应用程序因代码缺陷存在安全漏洞,可能导致拒绝服务攻击,进而导致汽车功能不能正常响应;三是 ECU 更新时没有对更新固件包进行安全校验或者校验方法被绕过,攻击者可以重刷篡改过的固件。第4章智能网联汽车威胁建模及威胁分析3. 案例分析案例分析:攻击安全气囊攻击安全气囊2015 年,一个由三位研究员组成的小组,演示了如何通过利用存在于第三方软件中的Oday 漏洞让奥迪 TT (及其他车型)的安全气囊及其他功能失效。图416 所示为 CVE2017

19、14937 的相关信息。第4章智能网联汽车威胁建模及威胁分析图 416 CVE 2017 14937第4章智能网联汽车威胁建模及威胁分析图 417 所示为安全气囊漏洞利用过程。图 417 安全气囊漏洞利用过程第4章智能网联汽车威胁建模及威胁分析4. 4. 5 T BOX 威胁分威胁分析析1. 概述概述TBOX 全称 TelematicsBOX 。车载 T BOX 一方面可与 CAN 总线通信,实现指令和信息的传递,另一方面用于和后台系统/手机 App 通信,实现手机 App 的车辆信息显示与控制,是车内外信息交互的枢纽。第4章智能网联汽车威胁建模及威胁分析TBOX 主要由 MCU 、蜂窝网通信

20、模块等组成。 MCU 主要负责整车 CAN 网络数据的接收与处理、信息上传、电源管理、数据存储、故障诊断以及远程升级等;蜂窝网通信模块主要负责网络连接与数据传递,为用户提供 WiFi 热点链接,为 IVI 提供上网通道,同时为T BOX 与服务器之间的信息传递提供传输通道。图 418 所示为 T BOX 的通信拓扑结构。第4章智能网联汽车威胁建模及威胁分析图 418 TBOX 的通信拓扑结构第4章智能网联汽车威胁建模及威胁分析2. 威胁分析威胁分析根据业界的 STRIDE 模型, TBOX 主要面临以下三方面的安全威胁。一是协议破解。控制汽车的消息指令是在 T BOX 内部生成的,并且使用 T

21、 BOX 的蜂窝网络调制解调器的扩展模块进行加密,相当于在传输层面加密,所以攻击者一般无法得到消息会话的内容,但是可以通过分析 T BOX 的固件代码,找到加密方法和密钥,确定消息会话的内容。二是信息泄露。有些 T BOX 出厂时是留有调试接口的,这样就不需要用吹焊机吹下芯片,攻击者通过 T BOX 预留调试接口就可以读取内部数据。三是中间人攻击。攻击者通过伪基站、 DNS 劫持等手段劫持 T BOX 会话,伪造通信内容,实现对汽车的远程控制。第4章智能网联汽车威胁建模及威胁分析 3. 案例分析案例分析: T BOX 漏洞案例漏洞案例2017 年,来 自 McAfee 的 三 名 研 究 人

22、员 MickeyShkatov 、 Jesse Michael 和 OleksandrBazhaniuk 发现福特、宝马、英菲尼迪和日产汽车的远程信息处理控制单元(也即 T BOX )存在漏洞,这些 TBOX 都是由 ContinentalAG 公司生产的。图 419 所示为存在漏洞的 TBOX 。第4章智能网联汽车威胁建模及威胁分析图 419 存在漏洞的 TBOX第4章智能网联汽车威胁建模及威胁分析其中一个漏洞是该 TBOX 的 S Gold2 ( PMB8876 )蜂窝基带芯片中处理 AT 命令的组件存在缓冲区溢出漏洞(漏洞编号 CVE 2017 9647 ),如图 420 所示。另一个漏

23、洞是攻击者可以利用 TMSI (临时移动用户识别码)来入侵并控制内存(漏洞编号 CVE 2017 9633 ),这个漏洞可以被远程利用。第4章智能网联汽车威胁建模及威胁分析图 420 处理 AT 命令的组件存在缓冲区溢出漏洞第4章智能网联汽车威胁建模及威胁分析4. 4. 6 IVI 威胁分析威胁分析1. 概述概述IVI ( In-VehicleInfotainment ,车载信息娱乐系统)是采用车载专用中央处理器,基于车身总线系统和互联网服务,形成的车载综合信息娱乐系统。 IVI 能够实现包括三维导航、辅助驾驶、故障检测、车辆信息、车身控制、移动办公、无线通信、基于在线的娱乐功能等一系列应用。

24、图 421 所示为 IVI 的通信拓扑结构。第4章智能网联汽车威胁建模及威胁分析图 421 IVI 的通信拓扑结构第4章智能网联汽车威胁建模及威胁分析 2. 威胁分析威胁分析IVI 面临的主要威胁包括软件攻击和硬件攻击两方面:攻击者可通过软件升级的方式,在升级期间获得访问权限进入目标系统;攻击者可拆解 IVI 的众多硬件接口,包括内部总线、无线访问模块、其他适配接口(如 USB )等,通过对车载电路进行窃听、逆向等获取 IVI系统内信息,进而采取更多攻击。第4章智能网联汽车威胁建模及威胁分析 3. 案例分析:攻击 JeepCherokee首先, CharlieMiller 利用 CVE 201

25、5 5611 越狱了Uconnect 系统(一款车载 IVI ),发现该系统存在 D-BUS 服务,该服务允许匿名登录,登录后可以进入到系统底层。这款设备同时还使用了 Renesas 制造的 V850ES 微型控制器, CharlieMiller 和 ChrisValasek 发现 V850 芯片的固件更新没有验证签名,他们编译了一个经过特殊构造的固件,刷新到V850 芯片中去,可以实现通过 IVI 控制车身的功能。攻击流程如图 422 所示。第4章智能网联汽车威胁建模及威胁分析图 4 22 攻击 JeepCherokee 的流程第4章智能网联汽车威胁建模及威胁分析4. 4. 7 USB 威胁

26、分析威胁分析1. 概述概述USB ( UniversalSerialBus ,通用串行总线)是连接计算机系统与外部设备的一种串口总线标准,被广泛地应用于个人电脑和移动设备等信息通信产品。汽车上的 USB 接口可以用来插 U 盘、需要充电的移动设备、 USB 车载点烟器、电子狗、行车记录仪等。图 423所示为汽车上的 USB 接口。第4章智能网联汽车威胁建模及威胁分析图 423 汽车上的 USB 接口第4章智能网联汽车威胁建模及威胁分析 2. 威胁分析威胁分析USB 主要面临以下威胁:一是利用 USB 接口,攻击者可以在 IVI 上安装恶意软件或安装篡改后的 IVI 升级固件;二是利用 IVI

27、的 USB 协议栈漏洞进行渗透测试;三是插入恶意USB 设备,瞬时提高 IVI 的电压,从物理上损坏 IVI 系统。第4章智能网联汽车威胁建模及威胁分析 3. 案例分析案例分析:利用利用 U 盘入侵马自达盘入侵马自达2017 年,研究人员 Turla 发现仅靠插入一个装有特定代码的 U 盘就能黑进马自达信息娱乐系统( MZDConnect )。以下是已知配置了MZDConnect 的马自达车型: MazdaCX-3 、MazdaCX-5 、 MazdaCX-7 、 MazdaCX-9 、 Mazda2 、 Mazda3 、 Mazda6 、 MazdaMX-5 等。 Turla的 mazda

28、_ getInfo 项目在 GitHub 上开放,可让使用者在他们的 U 盘上复制一组脚本,将其插入汽车的 USB 接口即可在 MZDConnect 上执行恶意代码,如图 424 所示。第4章智能网联汽车威胁建模及威胁分析图 424 执行恶意代码第4章智能网联汽车威胁建模及威胁分析4.5LEVEL2级：级： 近程通信应用模块威胁分析近程通信应用模块威胁分析4. 5. 1 WiFi 威胁分析威胁分析1. 概述概述WiFi ,一种基于 IEEE802. 11 标准的无线局域网技术。汽车 WiFi 需要车载 WiFi 设备,一般是指装载在车辆上的通过 3G / 4G / 5G 转 WiFi 的技术,

29、提供 WiFi 热点的无线路由。WiFi 模块一般集成在汽车的 IVI 上,消费者能够在车载 WiFi 环境下使用各种智能移动设备,还可以利用 WiFi 实现车内软件的更新。第4章智能网联汽车威胁建模及威胁分析2. 威胁分析威胁分析当前车载 WiFi 主要面临以下威胁:一是攻击者连接车载 WiFi 接入车内网络,攻击车内网络模块,如攻击 IVI ;二是车载 WiFi 默认密码较简单,攻击者接入车内网络后嗅探攻击同局域网的用户;三是耗尽车载 WiFi 流量使之无法正常工作。第4章智能网联汽车威胁建模及威胁分析3. 案例分析案例分析:黑客利用黑客利用 WiFi 攻击三菱欧蓝德攻击三菱欧蓝德2016

30、 年 6 月,来自英国的黑客利用 WiFi 漏洞远程关闭了三菱欧蓝德汽车防盗报警器。三菱欧蓝德配备了 WiFi 接入点来代替 GSM 模块,用户需要断开其他 WiFi 连接,显式地连接汽车接入点才能控制各模块功能,并且用户只能在 WiFi 的有效范围内连接汽车。三菱欧蓝德将 WiFi 预共享密钥写在了用户手册中,且格式十分简短,欧蓝德汽车的 SSID 有较强的特征,攻击者可轻而易举地对汽车进行定位。获取 SSID 和相关的 PSK 后,攻击者借助中间人攻击,结合手机 App 重放发送到汽车的各种消息,成功开启或关闭车灯、关闭防盗报警器。图 425 所示为针对三菱欧蓝德的攻击示意图。第4章智能网

31、联汽车威胁建模及威胁分析图 425 针对三菱欧蓝德的攻击示意图第4章智能网联汽车威胁建模及威胁分析4. 5. 2 蓝牙威胁分析蓝牙威胁分析1. 概述概述蓝牙,一种无线通信技术,车载蓝牙系统中的蓝牙通信技术是从蓝牙技术延续而来的。车载蓝牙系统的主要功能是在车辆行驶中用蓝牙技术与手机连接进行通话,达到解放双手、降低交通肇事隐患的目的。蓝牙技术还用于汽车钥匙中(如结合移动 App ,在一定范围内控制汽车车门、车窗等)。图 426 所示为某品牌的蓝牙钥匙 App 。第4章智能网联汽车威胁建模及威胁分析图 426 某品牌的蓝牙钥匙 App第4章智能网联汽车威胁建模及威胁分析2. 安全威胁分析安全威胁分析

32、汽车蓝牙存在的安全威胁包含两部分。一是在汽车蓝牙使用了老旧的蓝牙版本的情况下,因旧版本的蓝牙存在大量的安全漏洞,如 PIN 码易受到窃听攻击,如果给予足够时间,窃听者能够收集所有的配对帧,破解出 LTK ,从而破解蓝牙链路层 AES CCM 加密的密文,获取数据包内的授权码、 UUID 等数据,对车主或者汽车带蓝牙功能的设备进行攻击;二是搭载蓝牙功能的设备实现蓝牙功能时因编码不当导致的安全风险,如 CVE 20170781 是最近爆出的 Android 蓝牙栈的严重漏洞,允许攻击者远程获取 Android 手机的命令执行权限。图427 所示为汽车黑客利用安卓蓝牙漏洞攻击的示意图。第4章智能网联

33、汽车威胁建模及威胁分析图 4 27 汽车黑客利用蓝牙漏洞攻击示意图第4章智能网联汽车威胁建模及威胁分析 3. 案例分析案例分析:汽车诊断工具的蓝牙模块存在漏洞汽车诊断工具的蓝牙模块存在漏洞2016 年 4 月,研究人员发现 Lemur 的车辆监视器产品 BlueDriver 不需要 PIN 码就可以连上蓝牙,这使得在蓝牙信号范围内任何人均可以访问 BlueDriver 的诊断信息,包括行驶里程、诊断故障码、速度和排放等,甚至还允许攻击者发送任意 CAN 指令来控制车辆。图 428 所示为 CVE 2016 2354 的相关信息。第4章智能网联汽车威胁建模及威胁分析图 428 CVE 2016

34、2354第4章智能网联汽车威胁建模及威胁分析4. 5. 3 Radio 威胁分威胁分析析1. 概述概述本书讨论的 Radio ,是指车载收音机系统。车载收音机的主要性能指标有频率范围、灵敏度、选择性、整机频率特性、整机谐波失真、输出功率等。频率范围是指收音机所能接收到的电台广播信号的频率。要收听收音机,首先一定要捕获无线电波,收音机的接收天线就是用来接收无线电信号的,如图 429 所示。第4章智能网联汽车威胁建模及威胁分析图 429 车载收音机基本接收框图第4章智能网联汽车威胁建模及威胁分析 2. 威胁分析威胁分析车载收音机主要面临以下几种威胁:一是无线数据报文监听,使用与目标系统运行频率相同

35、的监听设备对无线报文进行收集及逆向分析,将无线报文数据通过相应的方法解密后,可深入了解整套收音机系统的运作原理,找出关键指令对汽车实施远程控制;二是无线信号欺骗攻击,结合无线监听及解密方法,解析无线通信协议,构造合法的可以通过认证的无线报文,对目标进行欺骗攻击;三是无第4章智能网联汽车威胁建模及威胁分析 3. 案例分析案例分析:攻击车载数字音频广播收音机攻击车载数字音频广播收音机2015 年,来自 NCCGROUP 的研究人员 AndyDavis 发现车载数字音频广播( DAB )收音机存在漏洞。数字音频广播收音机一般集成在 IVI 中, IVI 通过 CAN 总线连接到其他车辆模块, And

36、yDavis 发现 DAB 无线电堆栈代码任何漏洞都可能导致攻击者利用 IVI 系统并将其攻击转向更多的车内网络模块 。图430 所示为 AndyDavis 利用设备对 DAB 收音机进行安全测试。第4章智能网联汽车威胁建模及威胁分析图 430 利用设备对 DAB 收音机进行安全测试第4章智能网联汽车威胁建模及威胁分析4. 5. 4 TPMS 威胁分析威胁分析1. 概述概述TPMS ( TirePressureMonitorSystem ,胎压监测系统)是一种常见的汽车电子控制系统,用于监测车辆充气轮胎内的气压。胎压监测系统需要在车胎上装有带信号发射功能的传感器,除了传感器外还需要有信号接收器

37、,接收器安装在车上,通过接收胎压监测数据包,得到轮胎传感器的 ID ,而后基于胎压传感器的 ID 过滤胎压数据,得到每个轮胎的胎压数值,最后通过仪表盘、显示器或简单的低压警示灯向车辆驾驶员报告实时胎压信息。图431 所示为 TPMS 的基本原理。第4章智能网联汽车威胁建模及威胁分析图 431 TPMS 的基本原理第4章智能网联汽车威胁建模及威胁分析 2. 威胁分析威胁分析TPMS 主要存在以下威胁:一是攻击者可以侦听和重放胎压信号,一旦收到胎压数据包,就可以解密得到轮胎传感器的 ID 值,修改其中的胎压值,进而引发 TPMS 系统发出警报;二是利用传感器 ID 的唯一性跟踪车辆,将 TPMS

38、信号接收器置于目标跟踪区域,利用TPMS 传感器对车辆进行跟踪。图 432 所示为利用 TPMS 跟踪车辆。第4章智能网联汽车威胁建模及威胁分析图 432 利用 TPMS 跟踪车辆第4章智能网联汽车威胁建模及威胁分析 3. 案例分析案例分析:利用利用 HackRF 攻击攻击 TPMS在 YouTube 上, LeadCyberSolutions 频道上传有攻击 TPMS 的视频演示 。视频中,研究人员 ChristopherFlatley 、 JamesPak 和 ThomasVaccaro 展示了利用软件定义无线电工具 HackRF 对 TPMS 进行中间人攻击的操作。图433 所示为研究人

39、员的实验装置。第4章智能网联汽车威胁建模及威胁分析图 433 研究人员的实验装置第4章智能网联汽车威胁建模及威胁分析4. 5. 5 Keyless 威胁分析威胁分析1. 概述概述汽车无钥匙进入 系统,不是 传统的钥 匙,也 不 是 完 全 不 需 要 钥 匙,它 分 为 RKE( RemoteKeylessEntry ,远程无钥匙进入系统)和 PKE (PassiveKeylessEntry ,被动无钥匙进入系统)两种。第4章智能网联汽车威胁建模及威胁分析 RKE 系统省去了人们用手去摸钥匙,钥匙插入锁孔,转动钥匙的一系列动作,当人们手拿物品时只要轻轻一按对应的按键即可完成对车辆的解锁/闭锁(

40、解防/设防)控制。如图434 所示, RKE 系统主要由一个安装在汽车上的接收控制器和一个由用户携带的发射器,即无线遥控车门钥匙组成。 RKE 系统允许用户使用钥匙扣上的发射机来锁定汽车门或者开锁,该发射机传输数据到汽车内,用户按下钥匙扣上的按钮开关可触发系统工作。第4章智能网联汽车威胁建模及威胁分析图 434 RKE 系统的组成第4章智能网联汽车威胁建模及威胁分析 2. 威胁分析威胁分析汽车无钥匙进入系统面临的威胁:一是攻击者通过信号中继或者信号重放的方式,窃取用户无线钥匙信号,并发送给智能汽车,进而欺骗车辆开锁,这样的重放攻击是有次数限制的;二是攻击者寻找汽车钥匙认证通信的算法漏洞进行攻击

41、,这种针对认证算法的攻击是永久有效的。例如, HCS 滚码芯片和 Keeloq 算法都曾被曝出安全漏洞,对于满足特定条件的信号,汽车会判断成功并开锁。第4章智能网联汽车威胁建模及威胁分析 3. 案例分析案例分析:无钥匙进入系统存在漏洞无钥匙进入系统存在漏洞2016 年,在奥斯汀举办的 USENIX 安全大会上,来自伯明翰大学的研究团队和德国Kasper& Oswald 工程公司公开披露了两个漏洞,波及全球约 1 亿辆汽车的无钥匙进入系统。第一个漏洞让黑客能够无线解锁几乎近二十年来大众集团售卖的所有汽车;第二个漏洞涉及的车企更多,如雪铁龙、菲亚特、福特、三菱、日产、欧宝和标致等。第4章智能网联汽

42、车威胁建模及威胁分析研究人员使用了价格便宜,易于操作的无线硬件截获来自目标车主钥匙终端发出的信号,并利用这些信号克隆一把新钥匙。攻击也能够通过与笔记本无线连接的软件实现,或者只使用一块装有无线接收器的 Arduino 板,花费只有 40 美元,如图 435 所示。第4章智能网联汽车威胁建模及威胁分析图 435 价值约 40 美元的 Arduino 板第4章智能网联汽车威胁建模及威胁分析4. 6 LEVEL2 级级: 远程通信应用模块威胁分析远程通信应用模块威胁分析4. 6. 1 TSP 威胁分析威胁分析1. 概述概述TSP ( TelematicsServiceProvider ,汽车远程服务

43、提供商)在 Telematics 产业链中居于核心地位,上接汽车、车载设备制造商、网络运营商,下接内容提供商。 TSP 平台集合了位置数据库、云存储、远程通信等技术,为车主提供导航、娱乐、资讯、安防、远程寻车、灯光控制、开关空调、开关车门等服务。图 436 所示为 TSP 平台的通信拓扑结构。第4章智能网联汽车威胁建模及威胁分析图 436 TSP 的通信拓扑结构第4章智能网联汽车威胁建模及威胁分析2. 威胁分析威胁分析从众多整车厂的调研结果来看,目前大多数 TSP 平台的云端服务器使用公有云技术,因此 TSP 平台面临云端的威胁。比如攻击者可以通过虚拟机逃逸到宿主机,再从宿主机到达 TSP 平

44、台的虚拟机中,从而获取 TSP 平台的配置信息、密钥、证书等,导致大量汽车被非法管控。其他安全威胁还涉及云数据安全、 Web 安全、边界防护安全等。第4章智能网联汽车威胁建模及威胁分析3. 案例分析案例分析:宝马汽车被曝存安全漏洞宝马汽车被曝存安全漏洞2015 年 2 月,德国汽车协会( ADAC )发布报告称,约 220 万辆配备 BMW ConnectedDrive 的汽车(包括劳斯莱斯幻影、 MINI 掀背车、 i3 电动汽车以及部分宝马品牌产品)存在数字服务系统的安全漏洞,黑客可利用这些漏洞远程打开车门 。漏洞产生的原因之一是宝马的 TSP 平台和 T BOX 之间的通信数据没有使用

45、HTTPS 进行加密传输,泄露了包括 VIN 号、控制指令等关键信息。黑客可以利用伪基站,让宝马汽车用户注册到一个假的TSP 平台,利用分析出来的有效信息给汽车下发控制指令,实现非法打开车门、启动汽车的目的(细节会在第 8 章介绍)。图 437 所示为 ADAC 的研究人员正在对存在漏洞的宝马汽车进行安全测试。第4章智能网联汽车威胁建模及威胁分析图 437 研究人员对存在漏洞的宝马汽车进行安全测试第4章智能网联汽车威胁建模及威胁分析4. 6. 2 GPS 威胁分析威胁分析1. 概述概述GPS ( GlobalPositioningSystem ,全球定位系统)是由美国国防部研制建立的一种具有全

46、方位、全天候、全时段、高精度的卫星导航系统,能为全球用户提供低成本、高精度的三维位置、速度和精确定时等导航信息。 GPS 车辆应用系统一般分为两大类:一类是 GPS 车辆跟踪系统,用于车辆防盗;另一类是 GPS 导航系统,用于车辆导航。车载导航仪通过接收卫星信号,配合电子地图数据,适时掌握自己的方位与目的地。第4章智能网联汽车威胁建模及威胁分析2. 威胁分析威胁分析GPS 的安全威胁在于容易被干扰和欺骗。 GPS 卫星通过不断地广播信号,告诉汽车GPS 自己在什么位置,卫星信号是单向的广播信息,而且经过从太空到地面这么远的传播,信号已经变得非常弱了。使用 GPS 模拟器,在接收机旁边伪装成卫星

47、,那么这个模拟器的信号很容易掩盖真正的 GPS 信号,就可以很容易地欺骗汽车 GPS 接收模块。图 438 所示为 GPS 欺骗攻击示意图。第4章智能网联汽车威胁建模及威胁分析图 438 GPS 欺骗攻击示意图第4章智能网联汽车威胁建模及威胁分析3. 案例分析案例分析: GPS 欺骗攻击欺骗攻击民用 GPS 易受到欺骗攻击。 GPS 欺骗攻击有两个关键步骤:一是攻击者会诱使受害者GPS 接收器从合法信号转移到欺骗信号,这一阶段可以是暴力破解的,也可以是静默执行的;二是攻击者可以修改 GPS 接收器的信号到达时间或修改导航信息。 2018 年,来自弗吉尼亚理工大学和电子科技大学的研究人员提出了一

48、种改进的方法,即在考虑道路布局的情况下进行 GPS 欺骗攻击。为进行攻击,研究人员开发了一种近乎实时的算法,以及价格约为 223 美元的便携式 GPS 欺骗设备,如图 439 所示。第4章智能网联汽车威胁建模及威胁分析图 439 便携式 GPS 欺骗设备第4章智能网联汽车威胁建模及威胁分析4. 6. 3 App 威胁分析威胁分析1. 概述概述汽车远控 App 主要指安装在智能手机或其他移动设备上的远程控车应用软件。图440 所示为某款汽车远控 App 。第4章智能网联汽车威胁建模及威胁分析图 440 某款汽车远控 App第4章智能网联汽车威胁建模及威胁分析汽车远控 App 已经成为众多车企的选

49、择,很多汽车厂商均已有相关产品并拥有众多用户。就像互联网和移动互联网的关系,移动互联网是互联网的一部分,手机 App 是车联网的一部分,各汽车厂商的 App 提供的功能有所差异,主要包括但不限于以下功能:获取汽车实时数据(含汽车故障数据)、获取当前地理定位数据(经纬度信息)、获取汽车基本信息(型号、牌号等)、信息综合分析处理、展示车辆信息、将有价值信息批量发送给后台云服务器、远程解锁车门或后备箱、远程开启或关闭发动机等。图 441 所示为汽车远控 App 的通信拓扑结构。第4章智能网联汽车威胁建模及威胁分析图 441 汽车远控 App 的通信拓扑结构第4章智能网联汽车威胁建模及威胁分析2. 威

50、胁分析威胁分析App 因其广泛应用及易于获取等特点成为黑客攻击的热点,尤其逆向技术的成熟,越来越多的攻击者选择通过调试或者反编译应用来获取通信密钥、分析通信协议,并结合车联网远程控制功能伪造控制指令,干扰用户使用。第4章智能网联汽车威胁建模及威胁分析3. 案例分析案例分析:斯巴鲁破解案例分析斯巴鲁破解案例分析研究人员 Guzman 曾发现 2017 款斯巴鲁 WRXSTI 存在数量惊人的软件漏洞,通过利用这些高危的漏洞,未经授权的攻击者可以自由执行解锁/锁闭车门、鸣笛、获取车辆位置记录信息等一系列危险操作。图 442 所示为攻击流程。第4章智能网联汽车威胁建模及威胁分析图 442 攻击流程第4