0
▲ 《速度與激情8》片段截圖
雷鋒網按:本文作者為奇虎360企業安全集團安全服務JMPESP實驗室資深安全研究員(知乎ID:elknot),研究方向為數據驅動的安全運營。雷鋒網獲授權發布文章,如欲轉載,請與作者本人聯系。
《速度與激情8》最近在國內熱映,引發各路影迷廣泛討論。在作者看來,影片涉及到的黑客技術主要有兩個——天眼(The Eye)和僵尸車隊(Zombie Cars),這兩個東西其實和現實當中兩項比較前沿的安全技術——汽車及物聯網安全和攻擊者溯源相關。雷鋒網摘取了作者針對僵尸車隊的技術解讀部分并進行了編輯。
▲ 被激活的“僵尸車”
首先我們先來說說智能汽車和非智能汽車,智能汽車其實就可以當做一個物聯網設備來解決,也就是說智能汽車的攻擊面和其他IoT設備的攻擊面是差不多甚至更多的。
其實汽車和計算機一樣,內部通信依靠總線進行,汽車中的總線就是CAN總線。
CAN網絡是由以研發和生產汽車電子產品著稱的德國BOSCH公司開發的,并最終成為國際標準(ISO 11898),是國際上應用最廣泛的現場總線之一。CAN總線協議目前已經成為汽車計算機控制系統和嵌入式工業控制局域網的標準總線,同時也是車載ECU之間通信的主要總線。當前市場上的汽車至少擁有一個CAN網絡,作為嵌入式系統之間互聯的主干網進行車內信息的交互和共享。
CAN總線的短幀數據結構、非破壞性總線仲裁技術、靈活的通訊方式等特點能夠滿足汽車實時性和可靠性的要求,但同時也帶來了系列安全隱患,如廣播消息易被監聽、基于優先級的仲裁機制易遭受攻擊、無源地址域和無認證域無法區分消息來源等問題。
特別是在汽車網聯化大力發展的背景下,車內網絡攻擊更是成為汽車信息安全問題發生的源頭,CAN總線網絡安全分析逐漸成為行業安全專家聚焦點。如2013年9月DEFCON黑客大會上,黑客演示了從OBD-II控制福特翼虎、豐田普銳斯兩款車型實現方向盤轉向、剎車制動、油門加速、儀表盤顯示等動作。汽車車內CAN網絡安全問題當前主要通過安全漏洞的分析和各種攻擊手段進行挖掘,因為汽車車內網絡安全的脆弱性和威脅模型的分析尤為關鍵。
這么說來,只要抓住了CAN總線,我們就相當于是抓住了汽車的神經,也就能對汽車進行控制。
▲ 影片中自動駕駛狀態下的汽車
第一個后果是失控:CAN總線主要應用之一是支持主動安全系統的通信。車輛行駛的時候,主動安全系統將是一把雙刃劍,它們確實發揮著不可替代的作用,但是考慮到主動安全系統的可操作和有能力調整正確的輸入,也會引起駕駛者對主動安全系統的完全依賴。因此一個突然的故障會引起不可預知的危險后果。
為了引發一個危險的條件,惡意攻擊者將會在CAN總線中注入錯誤幀,讓主動安全系統失靈。例如,在牽引力控制系統里安裝一個攻擊,會造成車輛失去控制等危險。如果攻擊者的目標是自適應巡航系統,將會導致汽車不會按駕駛者預期的那樣停止。
此外,為了最大可能地傷害汽車駕駛者,假如數據可以直接從CAN總線上獲取,攻擊者可以根據特定的條件,觸發一個DoS攻擊。例如汽車某一特定速度、特定的節氣門百分比或者是某一確切的GPS位置等。
第二個后果就是勒索:一個惡意攻擊者在CAN總線中某一目標幀中設置攻擊,這將會導致駕駛者無法控制節氣門的位置從而不能讓汽車移動。盡管這些不一定會誘發危險狀態,但一個以金錢為目的的攻擊者,將會利用車載娛樂系統的漏洞,迫使汽車停止,并在娛樂系統屏幕上顯示消息,讓車主為了重新獲取汽車的操控權而去付贖金。
第三個可能是盜竊:現在,大部分昂貴的汽車門鎖是通過CAN連接到ECU來控制,通常通過OBD-II端口連接。隔離負責控制鎖/解鎖車門的數據幀比逆向主動安全設備更簡單、更快捷。因此,攻擊者可以在幾分鐘左右隔離負責鎖車門的數據幀,編寫他的設備程序-特定幀的DoS攻擊,然后把設備插入到OBD-II的接口,阻止車門鎖住。對于一個攻擊者來說,這個攻擊結果是可能的。通過低成本的花費就能進入到車內,隨后就能夠竊取車內任何貴重物品。
長期以來,幾乎整個汽車界都有這樣的共識:CAN總線是沒法保護的。
兩方面的原因,其一,ECU的計算處理能力不足;其二,車載網絡的帶寬有限。有些LIN總線使用的MCU甚至是16bit或8bit,但AES使用的加密算法只能處理16字節區塊的數據,這意味著很多時候LIN總線根本就是處在“裸奔”的狀態。
所以汽車安全未來肯定是炙手可熱的一部分。
作者注:本文中的技術僅供交流,如有疏漏還請大家批評指正。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
