周媛媛

（中國(guó)農(nóng)業(yè)機(jī)械化科學(xué)研究院 行業(yè)技術(shù)服務(wù)中心，北京 100083）

0 引 言

目前互聯(lián)網(wǎng)、人工智能、無(wú)線網(wǎng)絡(luò)和云計(jì)算、大數(shù)據(jù)等技術(shù)迅速發(fā)展，并逐步應(yīng)用到汽車行業(yè)，大大提高了汽車的智能化、網(wǎng)聯(lián)化程度，在萬(wàn)物互聯(lián)時(shí)代形成了智能網(wǎng)聯(lián)汽車這一新的智能終端產(chǎn)物。智能網(wǎng)聯(lián)汽車在給人們帶來(lái)便捷和舒適的同時(shí)，也帶來(lái)了信息安全問(wèn)題，使汽車存在被惡意遠(yuǎn)程控制、威脅、攻擊的可能，進(jìn)而引發(fā)社會(huì)安全事件，損害公民人身、財(cái)產(chǎn)安全，因此，汽車信息安全問(wèn)題不容忽視[1-3]。

越來(lái)越多的汽車制造商為提高汽車的熱度和創(chuàng)新性，設(shè)計(jì)車載配套軟硬件，提高汽車智能化。例如，使用手機(jī)APP連接汽車，實(shí)現(xiàn)控制門鎖開(kāi)關(guān)、自動(dòng)泊車、發(fā)動(dòng)機(jī)啟停、空調(diào)開(kāi)關(guān)、語(yǔ)音控制和更新軟件等功能，這是汽車智能化的典型案例。近年來(lái)，隨著輔助駕駛和緊急制動(dòng)程序的應(yīng)用，以上功能得到了進(jìn)一步的發(fā)展和延伸，實(shí)現(xiàn)了通過(guò)互聯(lián)網(wǎng)直接訪問(wèn)汽車驅(qū)動(dòng)、控制和底盤等核心系統(tǒng)數(shù)據(jù)[4]。汽車核心系統(tǒng)數(shù)據(jù)的網(wǎng)絡(luò)化，使得汽車存在網(wǎng)絡(luò)安全問(wèn)題，社會(huì)不法分子一旦通過(guò)網(wǎng)絡(luò)病毒、木馬植入等手段控制這些應(yīng)用程序，則會(huì)獲得車輛控制權(quán)，對(duì)駕乘人員安全、道路交通安全造成致命的威脅。

汽車信息安全問(wèn)題已經(jīng)引起了國(guó)內(nèi)外許多研究學(xué)者、科研機(jī)構(gòu)[5-7]的關(guān)注，并對(duì)汽車的某些系統(tǒng)及其功能組件進(jìn)行了攻防式的試驗(yàn)研究，試圖發(fā)現(xiàn)可能存在的安全漏洞、威脅等因素，因此，探索一套科學(xué)、合理和全面的汽車信息安全測(cè)試評(píng)價(jià)體系尤為重要。

1 車聯(lián)網(wǎng)“云—管—端”信息安全概述

車聯(lián)網(wǎng)是實(shí)現(xiàn)智能網(wǎng)聯(lián)汽車與外界進(jìn)行互通互聯(lián)的橋梁，要實(shí)現(xiàn)車與外界的通信，必須包含“云”、“管”、“端”3個(gè)方面。“云”指的是云平臺(tái)，云端服務(wù)器提供服務(wù)的平臺(tái)?！肮堋敝傅氖菍?shí)現(xiàn)通信和接入網(wǎng)絡(luò)的能力，包括從車機(jī)、T-BOX到后臺(tái)的通信，APP到后臺(tái)的通信等?！岸恕敝傅氖峭ㄐ沤K端，具備車內(nèi)通信、車車通信和車與路邊單元通信能力的終端設(shè)備，如信息娛樂(lè)系統(tǒng)、T-BOX、鑰匙、手機(jī)APP、OBD設(shè)備等。

車聯(lián)網(wǎng)“云—管—端”的安全包括控制安全、數(shù)據(jù)安全、功能安全等方面。然而車聯(lián)網(wǎng)的安全防護(hù)環(huán)節(jié)較多，網(wǎng)絡(luò)安全問(wèn)題較復(fù)雜，因此在解決車聯(lián)網(wǎng)網(wǎng)絡(luò)安全問(wèn)題上需要針對(duì)不同的部分采取不同的安全防護(hù)措施。

對(duì)“云”端可利用現(xiàn)有的網(wǎng)絡(luò)技術(shù)部署防火墻、入侵檢測(cè)系統(tǒng)等安全設(shè)備加固云端安全；對(duì)車輛、移動(dòng)終端、應(yīng)用程序等在通信時(shí)對(duì)身份驗(yàn)證、密鑰管理等加強(qiáng)核驗(yàn)機(jī)制。

對(duì)“管”端可進(jìn)行加強(qiáng)訪問(wèn)控制，實(shí)施分域管理，將控制域與信息服務(wù)域隔離開(kāi)，以防攻擊者通過(guò)信息域進(jìn)入到涉及安全的控制域；加強(qiáng)對(duì)網(wǎng)絡(luò)異常流量的檢測(cè)；加強(qiáng)身份認(rèn)證及密鑰管理等。

對(duì)“端”的安全防護(hù)包括硬件和軟件兩個(gè)方面，其中對(duì)于相關(guān)硬件采取加密措施（如芯片防護(hù)、硬件加密等），對(duì)于軟件方面加強(qiáng)對(duì)終端應(yīng)用程序的應(yīng)用加密、安全啟動(dòng)等措施，同時(shí)開(kāi)啟車聯(lián)網(wǎng)終端安全監(jiān)測(cè)分析。

“云—管—端”設(shè)備及防護(hù)策略如圖1所示。

圖1 “云—管—端”設(shè)備及防護(hù)策略

2 車聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅分析

通過(guò)“云—管—端”3個(gè)層面對(duì)車聯(lián)網(wǎng)中的云服務(wù)、通信及車載終端設(shè)備及防護(hù)策略的分析，考慮到智能網(wǎng)聯(lián)汽車實(shí)際運(yùn)行、通信、服務(wù)等業(yè)務(wù)的開(kāi)展，同時(shí)借鑒汽車傳統(tǒng)測(cè)試和信息安全傳統(tǒng)測(cè)試方法中取得的成果，結(jié)合系統(tǒng)全面地分析智能網(wǎng)聯(lián)汽車系統(tǒng)部件的功能可知，智能網(wǎng)聯(lián)汽車容易在7個(gè)方面被攻擊：網(wǎng)絡(luò)架構(gòu)、ECU、IVI、T-BOX、APP、無(wú)線通信和云平臺(tái)Telematics Service Provider（TSP）。

2.1 網(wǎng)絡(luò)架構(gòu)

智能網(wǎng)聯(lián)汽車的網(wǎng)絡(luò)架構(gòu)一般包括控制器局域網(wǎng)絡(luò)（Controller Area Network，CAN總線）、局域互聯(lián)網(wǎng)絡(luò)（Local Interconnect Network，LIN總線）、汽車網(wǎng)關(guān)等。

目前汽車網(wǎng)絡(luò)中常用的通信協(xié)議是CAN總線和LIN總線，這兩種通信協(xié)議均為開(kāi)放的標(biāo)準(zhǔn)協(xié)議，因此存在較多的安全漏洞容易被黑客利用進(jìn)行攻擊。一般黑客常用的攻擊方式有3種：（1）向車內(nèi)的總線上發(fā)送模擬數(shù)據(jù)信號(hào)使得駕駛員被欺騙進(jìn)行誤操作；（2）利用CAN總線的脆弱性，通過(guò)向CAN總線發(fā)送偽造的非法數(shù)據(jù)幀，實(shí)現(xiàn)對(duì)CAN總線的數(shù)據(jù)重放、篡改、竊聽(tīng)等[8]；（3）通過(guò)遠(yuǎn)程診斷的安全漏洞向T-BOX或IVI等設(shè)備植入后門，從而實(shí)現(xiàn)對(duì)車輛的控制。

汽車網(wǎng)關(guān)是汽車內(nèi)部各系統(tǒng)之間進(jìn)行通信的核心，然而網(wǎng)關(guān)系統(tǒng)中的代碼會(huì)存在不可避免的安全漏洞，攻擊者可以利用網(wǎng)關(guān)的可信度，對(duì)連接在總線上的ECU進(jìn)行攻擊。此外，攻擊者還可以利用CAN總線或者車載以太網(wǎng)存在的安全漏洞對(duì)網(wǎng)關(guān)進(jìn)行攻擊，出現(xiàn)網(wǎng)關(guān)信息被篡改、指令存在偽造等風(fēng)險(xiǎn)問(wèn)題。

2.2 ECU

一輛汽車中通常存在幾十個(gè)或者上百個(gè)ECU，ECU的主要功能是對(duì)汽車各類傳感器輸入的信息進(jìn)行運(yùn)算、處理、判斷，然后輸出相應(yīng)的指令。汽車的不同ECU被連接成網(wǎng)絡(luò)，通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)相互間的通信。

攻擊者可以通過(guò)ECU的固件代碼實(shí)現(xiàn)對(duì)ECU通信信息的篡改、偽造等。一般針對(duì)ECU攻擊可分前門攻擊、后門攻擊和漏洞利用等，其中前門攻擊是攻擊者通過(guò)對(duì)原廠程序編程方法進(jìn)行逆向分析，劫持原始設(shè)備制造商（Original Equipment Manufacturer，OEM）的訪問(wèn)機(jī)制，通過(guò)車輛的車載診斷系統(tǒng) （On-Board Diagnostic，OBD）對(duì)診斷系統(tǒng)進(jìn)行重新編程，從而實(shí)施攻擊的一種方式；后門攻擊是攻擊者利用ECU硬件中存在的調(diào)試后門漏洞，實(shí)現(xiàn)對(duì)車輛各類指令的控制；漏洞利用是攻擊者利用系統(tǒng)代碼中的緩沖和溢出，通過(guò)偽造的非預(yù)期的輸入觸發(fā)安全漏洞使得ECU執(zhí)行的是攻擊者提供的惡意代碼，達(dá)到控制車輛功能的目的。

2.3 IVI

IVI是集成于汽車中控臺(tái)的智能多媒體設(shè)備，包括收音機(jī)、GPS導(dǎo)航、影音娛樂(lè)、語(yǔ)音識(shí)別、藍(lán)牙、Wi-Fi等功能。

IVI的附屬功能較多且集成度高，因而攻擊者可以利用IVI所有的接口實(shí)施攻擊。對(duì)IVI的攻擊可分為軟件攻擊和硬件攻擊，軟件攻擊是攻擊者通過(guò)軟件升級(jí)的方式獲得系統(tǒng)的訪問(wèn)權(quán)限，從而進(jìn)入到目標(biāo)系統(tǒng)中；硬件攻擊是對(duì)IVI的零部件進(jìn)行分析，通過(guò)IVI的主板、接口、芯片、引腳、標(biāo)識(shí)等，對(duì)IVI的固件信息進(jìn)行提取再進(jìn)行逆向分析，獲取IVI的關(guān)鍵信息，挖掘隱藏的漏洞。

2.4 T-BOX

車載T-BOX通過(guò)GPS定位、各類傳感器、射頻技術(shù)識(shí)別、攝像頭和圖像處理等電子元件，用于后臺(tái)云端或手機(jī)APP之間通信，實(shí)現(xiàn)在手機(jī)APP中車輛信息顯示和控制。攻擊者可以通過(guò)T-BOX固件的逆向分析，得到加密算法和密鑰，而后對(duì)通信協(xié)議進(jìn)行解密，竊聽(tīng)用戶隱私或偽造控車指令。此外，攻擊者還可以通過(guò)T-BOX的調(diào)試端口進(jìn)入系統(tǒng)，讀取到內(nèi)部敏感信息從而實(shí)施攻擊[9]。

2.5 無(wú)線通信

車輛的無(wú)線通信包括蜂窩通信、Wi-Fi通信、藍(lán)牙通信和基于蜂窩移動(dòng)通信環(huán)境下車與外界事物的通信 （Long Term Evolution-Vehicle to everything，LTE-V2X）等。

蜂窩通信：攻擊者可以通過(guò)建立偽基站，利用DNS劫持等方式對(duì)T-BOX會(huì)話和通信數(shù)據(jù)進(jìn)行劫持和監(jiān)聽(tīng)通信數(shù)據(jù)，從而實(shí)現(xiàn)對(duì)通信協(xié)議破解和汽車敏感數(shù)據(jù)（如用戶信息、車輛識(shí)別代碼等）的竊取。

Wi-Fi通信：攻擊者通過(guò)對(duì)Wi-Fi認(rèn)證口令的破解，連接到汽車的內(nèi)部網(wǎng)絡(luò)，對(duì)汽車的敏感和隱私數(shù)據(jù)信息進(jìn)行獲取。此外，還可以結(jié)合其他的系統(tǒng)漏洞對(duì)汽車進(jìn)行組合滲透測(cè)試攻擊。

藍(lán)牙通信：攻擊者利用藍(lán)牙鑰匙固件中存在的代碼漏洞，對(duì)固件的信息進(jìn)行篡改或者是植入后門，獲取鑰匙的相關(guān)信息。

LTE-V2X通信：攻擊者利用車-車通信中存在的節(jié)點(diǎn)，進(jìn)行惡意入侵，篡改車-車通信，阻斷、偽造通信信息或是通過(guò)重放過(guò)期指令等攻擊從而影響車-車通信信息的實(shí)時(shí)性、真實(shí)性和可靠性。

2.6 云平臺(tái)

云平臺(tái)TSP系統(tǒng)是汽車和手機(jī)APP之間通信的跳板，也是汽車和服務(wù)商之間最重要的環(huán)節(jié)，其主要功能是為汽車和手機(jī)提供內(nèi)容和流量轉(zhuǎn)發(fā)的服務(wù)。攻擊者利用云平臺(tái)存在的安全漏洞，如Web漏洞、數(shù)據(jù)庫(kù)漏洞等，竊取敏感信息，實(shí)現(xiàn)拒絕服務(wù)攻擊等[10]。

2.7 APP

隨著科技的快速發(fā)展，手機(jī)APP已經(jīng)成為智能網(wǎng)聯(lián)汽車的標(biāo)準(zhǔn)配置，用戶可以通過(guò)手機(jī)APP遠(yuǎn)程控制車輛的啟停、車門及空調(diào)開(kāi)關(guān)等功能。

因?yàn)槭謾C(jī)APP的公開(kāi)性，攻擊者可隨意下載安裝，通過(guò)對(duì)通信密鑰的破解，分析通信協(xié)議，并對(duì)通信信息進(jìn)行偽造，結(jié)合車聯(lián)網(wǎng)遠(yuǎn)程控制功能誤導(dǎo)駕駛員對(duì)車輛的控制。此外，通過(guò)對(duì)APP固件逆向分析TSP的接口、參數(shù)、請(qǐng)求內(nèi)容等信息，攻擊者結(jié)合IVI和T-BOX的安全漏洞，通過(guò)攻擊車聯(lián)網(wǎng)關(guān)鍵部件影響車輛行駛安全。

3 車聯(lián)網(wǎng)信息安全測(cè)試方法及驗(yàn)證

3.1 車聯(lián)網(wǎng)信息安全測(cè)試方法

根據(jù)前述對(duì)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅的分析，利用CAN-PICK、AUTO-X、Nmap、BurpSuite+exus5、Wireshark、HackRF+Gqrx等測(cè)試工具，結(jié)合滲透測(cè)試、DoS攻擊、協(xié)議破解、API（Application Program Interface，應(yīng)用程序接口）攻擊、暴力破解、模糊測(cè)試、代碼逆向分析、端口掃描與攻擊、劫持云端、IVI通信、SQL注入和中間人欺騙等方法初步形成一套全面系統(tǒng)的車聯(lián)網(wǎng)信息安全測(cè)試方法，具體的車聯(lián)網(wǎng)信息安全測(cè)試流程如圖2所示。

主要的測(cè)試清單見(jiàn)表1，表中只列出了部分主要的測(cè)試項(xiàng)目，隨著技術(shù)的發(fā)展，會(huì)繼續(xù)添加更多的測(cè)試項(xiàng)目。

表1 車聯(lián)網(wǎng)信息安全主要測(cè)試清單

圖2 車聯(lián)網(wǎng)信息安全測(cè)試流程

3.2 車聯(lián)網(wǎng)信息安全測(cè)試驗(yàn)證及分析

為了驗(yàn)證前述提出的車聯(lián)網(wǎng)信息安全測(cè)試方法的合理性和可行性，利用該測(cè)試方法對(duì)某款智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)架構(gòu)、ECU、IVI、T-BOX、APP、無(wú)線通信和云平臺(tái)7個(gè)系統(tǒng)進(jìn)行整車信息安全測(cè)試研究。通過(guò)整車信息安全測(cè)試工作發(fā)現(xiàn)了該智能網(wǎng)聯(lián)汽車存在若干安全漏洞，結(jié)合GB/T 30279—2013《信息安全技術(shù)安全漏洞等級(jí)劃分指南》中訪問(wèn)路徑、利用復(fù)雜度和影響程度3個(gè)方面和GB/T 34402—2017《汽車產(chǎn)品安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)控制指南》中對(duì)人身傷害的程度，對(duì)信息系統(tǒng)安全漏洞進(jìn)行評(píng)估，最終發(fā)現(xiàn)了該智能網(wǎng)聯(lián)汽車存在6個(gè)安全漏洞，其中4個(gè)為嚴(yán)重漏洞：車載娛樂(lè)系統(tǒng)越權(quán)訪問(wèn)漏洞、總線拒絕服務(wù)攻擊漏洞、微信小程序證書(shū)校驗(yàn)和中間人劫持攻擊漏洞、微信小程序身份認(rèn)證越權(quán)攻擊漏洞；2個(gè)為中危漏洞：微信小程序數(shù)據(jù)傳輸未加密漏洞、車載娛樂(lè)系統(tǒng)端隱私泄露。

利用上述安全漏洞對(duì)整車進(jìn)行綜合攻擊，查看攻擊者對(duì)智能網(wǎng)聯(lián)汽車的各個(gè)系統(tǒng)的控制程度。

一是利用滲透車機(jī)的方式先獲取車機(jī)權(quán)限再結(jié)合DoS攻擊達(dá)到對(duì)車輛各項(xiàng)功能的控制，即通過(guò)將車載娛樂(lè)系統(tǒng)越權(quán)訪問(wèn)漏洞與總線拒絕服務(wù)攻擊漏洞相結(jié)合實(shí)現(xiàn)。攻擊者可以利用網(wǎng)絡(luò)調(diào)試端口的缺陷，通過(guò)Wi-Fi、藍(lán)牙等方式滲透到車機(jī)內(nèi)部，并以Root身份便可得到車機(jī)權(quán)限，然后在汽車CAN總線高頻率地發(fā)送優(yōu)先級(jí)高的數(shù)據(jù)幀，導(dǎo)致汽車輔助駕駛系統(tǒng)故障、儀表盤故障、轉(zhuǎn)速表失效等，進(jìn)而造成行駛過(guò)程中的重大人身安全事故。

二是利用中間人劫持攻擊漏洞，通過(guò)微信小程序遠(yuǎn)程控制汽車，即利用微信小程序證書(shū)校驗(yàn)和中間人劫持攻擊漏洞來(lái)實(shí)現(xiàn)。由于微信小程序與服務(wù)器間通信未使用雙向證書(shū)校驗(yàn)，攻擊者可以通過(guò)偽造代理、DNS欺騙等手段獲取正常用戶的請(qǐng)求，并篡改偽造后發(fā)送給服務(wù)端，便可實(shí)現(xiàn)登錄、遠(yuǎn)程控制汽車。

待測(cè)試完成后，撰寫相關(guān)測(cè)試報(bào)告并提交樣車開(kāi)發(fā)部門，對(duì)所述漏洞進(jìn)行整改，提升了樣車的信息安全性能。

4 結(jié) 論

通過(guò)“云—管—端”3個(gè)層面對(duì)車聯(lián)網(wǎng)中的云服務(wù)、通信及車載終端設(shè)備及運(yùn)行策略進(jìn)行分析，并在解決車聯(lián)網(wǎng)網(wǎng)絡(luò)安全策略基礎(chǔ)上，針對(duì)不同部分采取的不同安全防護(hù)措施進(jìn)行了深入研究，總結(jié)出智能網(wǎng)聯(lián)汽車容易被攻擊的7個(gè)方面：網(wǎng)絡(luò)架構(gòu)、ECU、IVI、T-BOX、APP、無(wú)線通信和云平臺(tái)。在此基礎(chǔ)上，對(duì)主要的測(cè)試清單進(jìn)行梳理，同時(shí)利用各種測(cè)試工具，在實(shí)際樣車上進(jìn)行了整車信息安全測(cè)試工作，發(fā)現(xiàn)了相關(guān)漏洞，并進(jìn)行了整改，提升了該型號(hào)樣車的信息安全性能，同時(shí)也初步形成了一套較完整的車聯(lián)網(wǎng)信息安全測(cè)試方法，為智能網(wǎng)聯(lián)汽車的信息安全提供了保障。