我們的世界變得越來(lái)越數(shù)字化，越來(lái)越多的使用設(shè)備被網(wǎng)絡(luò)連接起來(lái)。但是，這些快速變化也會(huì)帶來(lái)了風(fēng)險(xiǎn)。在過(guò)去的幾年里，像福特，吉普，日產(chǎn)和豐田這樣的汽車制造商都曾遭遇過(guò)汽車黑客漏洞。而最近一項(xiàng)研究發(fā)現(xiàn)，某些大眾汽車中車載信息娛樂(lè)系統(tǒng)（IVI）可能會(huì)被遠(yuǎn)程黑客入侵。

這個(gè)漏洞是Daan Keuper與Thijs Alkemade兩位研究人員發(fā)現(xiàn)的，他們發(fā)現(xiàn)大眾及奧迪某些車型存在安全漏洞，車載信息娛樂(lè)系統(tǒng)與車載網(wǎng)絡(luò)易遭黑客攻破。該漏洞在2015年生產(chǎn)的大眾高爾夫GTE和奧迪3系車中都有發(fā)現(xiàn)。計(jì)算機(jī)研究人員Daan Keuper和發(fā)現(xiàn)該缺陷的Thijs Alkemade說(shuō)，在某些情況下，IVI漏洞能讓攻擊者能夠指揮車載麥克風(fēng)并監(jiān)聽(tīng)司機(jī)的談話，打開(kāi)和關(guān)閉麥克風(fēng)，以及訪問(wèn)系統(tǒng)的完整地址簿和對(duì)話歷史記錄。他們表示，在任何時(shí)候，黑客都有可能通過(guò)導(dǎo)航系統(tǒng)跟蹤汽車。

高訪問(wèn)級(jí)別的漏洞

研究人員表示，他們能夠利用哈曼制造的模塊化信息娛樂(lè)（MIB）平臺(tái)中未公開(kāi)的漏洞通過(guò)Wi-Fi遠(yuǎn)程訪問(wèn)IVI系統(tǒng)。然后，利用暴露的端口訪問(wèn)系統(tǒng)的管理軟件。兩位研究人員公布了其研究報(bào)告，報(bào)告中稱“我們可以遠(yuǎn)程侵入MIB IVI系統(tǒng)，并從那里向IVI CAN 總線上發(fā)送任意CAN 消息……因此，我們可以控制中央屏幕，揚(yáng)聲器和麥克風(fēng)，這已經(jīng)是很高的訪問(wèn)級(jí)別?！?/p>

最初，他們使用該漏洞從磁盤(pán)讀取任意文件，但很快他們發(fā)現(xiàn)可以將其擴(kuò)展為完全遠(yuǎn)程代碼執(zhí)行。訪問(wèn)并不止步于此，Computest的研究人員通過(guò)這個(gè)漏洞發(fā)現(xiàn)，他們可以訪問(wèn)IVI系統(tǒng)的多媒體應(yīng)用單元（MMX）主處理器，該處理器負(fù)責(zé)屏幕合成和多媒體解碼等任務(wù)。從那里，他們能夠控制無(wú)線電和汽車控制單元（RCC）。報(bào)告稱：“下一步將是通過(guò)總線發(fā)送任意CAN消息，以了解我們是否能夠接觸任何安全關(guān)鍵組件?！?/p>

但是，向CAN總線發(fā)送任意的CAN消息將涉及到黑客直接連接到網(wǎng)關(guān)的芯片，并且用于在不同的CAN總線之間防火墻消息。在這一點(diǎn)上，Computest的研究人員表示，他們決定放棄他們的研究，因?yàn)樗枰褂梦锢硎噶繌男酒刑崛」碳?/p>

“經(jīng)過(guò)慎重考慮，我們決定在這一點(diǎn)上停止研究，因?yàn)檫@可能會(huì)損害制造商的知識(shí)產(chǎn)權(quán)并可能違反法律，”Computest研究人員說(shuō)。

漏洞不可通過(guò)OTA進(jìn)行修復(fù)

Computest于2017年夏季將其研究工作納入大眾汽車。Keuper表示，2018年4月，大眾汽車向Computest提供了一封確認(rèn)這些漏洞的信件，并聲明他們已經(jīng)修復(fù)了信息娛樂(lè)系統(tǒng)的軟件更新。

盡管大眾汽車已經(jīng)修復(fù)了目前正在生產(chǎn)的汽車，但Computest的研究人員強(qiáng)調(diào)，他們不會(huì)透露更多有關(guān)該漏洞的細(xì)節(jié)，因?yàn)檫@些更新無(wú)法通過(guò)無(wú)線（OTA）進(jìn)行修復(fù)； 因此，受影響的車主可能要與他們的經(jīng)銷商當(dāng)面解決漏洞問(wèn)題。

智能網(wǎng)聯(lián)給汽車帶來(lái)的漏洞

目前，由于智能網(wǎng)聯(lián)技術(shù)的發(fā)展，車變得更智能，同時(shí)也出現(xiàn)了很多風(fēng)險(xiǎn)。在過(guò)去，汽車主要是機(jī)械車輛，它們依靠機(jī)械來(lái)實(shí)現(xiàn)轉(zhuǎn)向和制動(dòng)等功能操作?，F(xiàn)代汽車主要依靠電子來(lái)控制這些系統(tǒng)。通過(guò)線控，與傳統(tǒng)的機(jī)械方法相比，有很多優(yōu)點(diǎn)。由于組件是由計(jì)算機(jī)控制的，所以可能有多種安全功能。例如，如果前方雷達(dá)檢測(cè)到障礙物，認(rèn)為碰撞是不可避免的，車輛會(huì)自動(dòng)剎車。通過(guò)線控也可用于自動(dòng)停車等，遠(yuǎn)程駕駛等。

所有這些新功能都是可以實(shí)現(xiàn)的，因?yàn)楝F(xiàn)代汽車中的每個(gè)組件都連接到中央總線，由它來(lái)交換消息，最常見(jiàn)的總線系統(tǒng)是CAN總線。 CAN協(xié)議本身相對(duì)簡(jiǎn)單，在基礎(chǔ)上，每條消息都有一個(gè)仲裁ID和一個(gè)有效載荷。那里沒(méi)有身份驗(yàn)證，授權(quán)，簽名，加密等。一旦進(jìn)入總線，就可以發(fā)送任意消息，被連接到同一總線的所有方都可以接收到。每個(gè)組件可以自行決定是哪些特定的消息適用于他們。

CAN協(xié)議原理圖

理論上，這意味著如果攻擊者能夠訪問(wèn)車輛的CAN總線，就能控制汽車。例如，他們可以冒充前方雷達(dá)，指示制動(dòng)系統(tǒng)緊急停車。攻擊者只需要找到一種方法來(lái)實(shí)際訪問(wèn)連接到CAN總線的組件，而無(wú)需物理訪問(wèn)。而且有很多遠(yuǎn)程攻擊面可供選擇，其中一些需要靠近汽車，而另一些可從全球任何地方控制。一些需要與用戶互動(dòng)的媒介可能會(huì)在不知不覺(jué)中襲擊乘客。

例如，現(xiàn)代汽車有一個(gè)監(jiān)測(cè)輪胎壓力的系統(tǒng)，稱為T(mén)PMS（輪胎壓力監(jiān)測(cè)系統(tǒng)），如果其中一層的壓力低，它將通知駕駛員。這是一個(gè)無(wú)線系統(tǒng)，輪胎將通過(guò)無(wú)線電信號(hào)或藍(lán)牙與汽車內(nèi)的接收器通信。該接收器將通過(guò)CAN總線上的消息反過(guò)來(lái)通知其他組件。組合儀表將收到此消息，并作為響應(yīng)打開(kāi)相應(yīng)的警示燈。另一個(gè)例子是鑰匙鏈，它與汽車內(nèi)的接收器進(jìn)行無(wú)線通信，而鑰匙鏈又與車門(mén)鎖和發(fā)動(dòng)機(jī)中的防盜鎖通信。所有這些組件都有兩個(gè)共同點(diǎn)：它們都連接到CAN總線，并具有遠(yuǎn)程攻擊面（即接收器）。

現(xiàn)代汽車有兩種防止惡意CAN消息的主要方式。首先是汽車所有部件的防御行為。每個(gè)組件都設(shè)計(jì)了始終選擇最安全的選項(xiàng)，以防止可能出現(xiàn)故障。例如，自動(dòng)停車的自動(dòng)轉(zhuǎn)向可能會(huì)在默認(rèn)情況下禁用，只有在汽車倒車時(shí)和低速時(shí)才能啟用。如果公交車上的另一個(gè)惡意設(shè)備冒充前方雷達(dá)，試圖觸發(fā)緊急停車，那么真正的前方雷達(dá)將繼續(xù)發(fā)送信息。

第二種保護(hù)機(jī)制是現(xiàn)代汽車具有多個(gè)CAN總線，它將安全關(guān)鍵設(shè)備與便利設(shè)備分開(kāi)。例如，制動(dòng)器和發(fā)動(dòng)機(jī)連接到高速CAN總線，而空調(diào)和擋風(fēng)玻璃刮水器連接到分離的（并且最有可能的是低速）CAN總線。理論上一些車是完全可以分開(kāi)的，但實(shí)際上它們通常通過(guò)所謂的網(wǎng)關(guān)連接。這是因?yàn)橛行┣闆r下數(shù)據(jù)必須從低速CAN總線流向高速CAN總線。例如，門(mén)鎖必須能夠與發(fā)動(dòng)機(jī)通信來(lái)啟用和禁用防盜鎖，并且IVI系統(tǒng)從發(fā)動(dòng)機(jī)接收狀態(tài)信息和錯(cuò)誤代碼以顯示在中央顯示器上。對(duì)這些消息進(jìn)行防火墻是網(wǎng)關(guān)的責(zé)任，它將監(jiān)控每條總線上的每條消息并決定允許哪些消息通過(guò)。

具有蜂窩連接的IVI系統(tǒng)連接到低速CAN總線，高速CAN總線由網(wǎng)關(guān)保護(hù)

在過(guò)去的幾年里，我們看到了智能網(wǎng)聯(lián)汽車的增加，甚至看到過(guò)兩個(gè)蜂窩網(wǎng)絡(luò)連接的汽車。例如，IVI系統(tǒng)可以使用此連接來(lái)獲取諸如地圖數(shù)據(jù)之類的信息，或者提供諸如互聯(lián)網(wǎng)瀏覽器或Wi-Fi熱點(diǎn)之類的功能，或者可以通過(guò)APP來(lái)控制某些功能。例如，遠(yuǎn)程啟動(dòng)集中供熱以預(yù)熱汽車，或通過(guò)遠(yuǎn)程鎖定/解鎖汽車。在所有情況下，具有蜂窩連接的設(shè)備也要連接到CAN總線，這種遠(yuǎn)程理論上可能危害車輛。其中一些是有可能受到攻擊的，因?yàn)榉涓C連接沒(méi)有受到防火墻的阻擋，而其他攻擊則依賴于用戶訪問(wèn)車內(nèi)瀏覽器上網(wǎng)頁(yè)產(chǎn)生的漏洞。

智能網(wǎng)聯(lián)汽車讓未來(lái)汽車更智能和便利，但是由電控取代機(jī)械控制將會(huì)引入新的安全風(fēng)險(xiǎn)。未來(lái)，在發(fā)展智能網(wǎng)聯(lián)汽車技術(shù)的同時(shí)，也要兼顧網(wǎng)聯(lián)安全性研究，設(shè)置更多的加密機(jī)制來(lái)確保車輛的出行安全。