汽车网络安全：进步但仍有改进空间

影响我们日常生活的网络安全攻击是提高关键基础设施物联网安全性的巨大警钟。虽然最近对殖民地管道的网络攻击造成了重大破坏，但我们道路上的数百万辆汽车也代表了关键基础设施，如果受到网络攻击的破坏，可能会产生灾难性的影响。

想象一下，超过一百万辆汽车，立即同时禁用制动器。如果道德黑客查理·米勒和克里斯·瓦拉塞克没有第一个发现关键漏洞并向汽车行业敲响警钟，这种情况可能会发生。他们的工作参考了五年前汽车网络安全的糟糕状况。

梅赛德斯奔驰委托并于去年披露的安全研究是一个更新的参考，我们将将其与米勒/瓦拉塞克的研究进行比较。梅赛德斯聘请的渗透测试公司是360集团的Skygo汽车网络安全团队。两个团队都利用了可以在任何物联网设备中发现的漏洞，而不仅仅是汽车。

对于这两个团队来说，导致远程控制这些车辆功能的漏洞并不是一个漏洞。利用一系列漏洞来破坏物联网设备是很常见的，这就是为什么网络安全纵深防御方法很重要的原因。这意味着包括冗余的网络安全功能。

1. 按顺序显示了米勒/瓦拉塞克工作利用的主要漏洞。

2015年克莱斯勒车辆披露

米勒/瓦拉塞克的工作所揭示的一些主要漏洞是显而易见的，因为当时汽车还处于联网的早期阶段（图1）。最明显的漏洞是能够在没有身份验证的情况下通过蜂窝网络连接到车辆。接下来的一系列漏洞包括一个开放的TCP端口，该端口可以访问在TI OMAP处理器上运行的D-bus软件服务（进程间通信，远程过程调用机制），以及缺乏允许在root运行命令的用户身份验证。

利用链中的下一个是将固件更新刷新到具有CAN总线访问权限的瑞萨电子V850 MCU，而无需进行身份验证。这允许将后门添加到 V850 的固件中，从而能够通过蜂窝网络从远程位置闪烁。该后门允许CAN命令从TI处理器发送，他们已经控制了该处理器，通过SPI发送到微控制器，并使CAN总线能够访问具有物理控制的其他电子控制单元（ECU）。

先发制人措施

三个安全功能很可能会阻止米勒/瓦拉塞克的攻击。包含身份验证的安全固件更新方案将阻止覆盖 V850 中的有效固件。安全启动的实现将通过阻止代码执行来补充安全更新功能，代码直接编程到闪存中。这些安全功能现在可以在现成的硬件中找到，例如WINSYSTEMS的硬件，并且开箱即用。但是，在SPI接口代码中发现了需要修复的内存损坏错误。

这三项网络安全改进，经过身份验证的固件下载，安全启动以及内存损坏错误的修复将使利用变得更加困难。从音响主机到达车辆的物理控制装置取决于与CAN总线的接口。如果阻止进入该公共汽车，则转向，制动和发动机的控制也将停止。

2. 利用天空之声的链条

2020 梅赛德斯奔驰披露

Skygo攻击链的第一步是使用“二手”ECU建立一个测试台（图2）。攻击者在破解物联网设备时具有优势，因为他们经常可以像Skygo那样对设备进行逆向工程。一旦测试台建立起来，他们就通过配置错误高通处理器来获得调试访问权限，然后从NAND闪存转储固件。转储闪存以访问纯文本代码以进行逆向工程是黑客的广泛步骤（注意：在我的下一篇博客中，我将写一些数量惊人的可用黑客工具来做到这一点。在Skygo的案例中，他们花了大量时间访问纯文本代码，因为它对于发现其他漏洞至关重要。

通过代码的明文列表，他们发现远程信息处理控制单元（TCU）运行Linux操作系统，一个能够向其他ECU发送CAN消息的工程调试程序，用于访问梅赛德斯奔驰后端服务器的区域证书，以及用于解密证书的硬编码密钥。换句话说，他们中了大奖。通过调试程序发送CAN消息的能力使Skygo能够对汽车进行物理控制。后端服务连接导致估计有200万辆梅赛德斯汽车被访问。

本该是什么

假设调试接口是安全的，并且闪存中的代码已加密。在这种情况下，获得发送CAN报文和查找证书的能力的后续步骤将更加困难。使用BG Networks等安全自动化工具实现这些安全功能变得更加容易。

通过比较这些团队相隔五年所做的工作得出的结论是，汽车网络安全已经显着改善。SkyGo没有发现明显的漏洞，如未经身份验证的接口或开放端口。测试的梅赛德斯车辆的网络安全非常好。凭借梅赛德斯的安全无线（OTA）更新功能，他们能够在披露后的几个小时内修补数百万辆汽车的漏洞。

Skygo的渗透能力非常出色，找到初始漏洞所需的努力意义重大。事实上，他们瞄准的第一个ECU，即音响主机，是无法穿透的。SkyGo无法像米勒/瓦拉塞克那样访问关键的安全功能，例如制动器和转向。但是，由于Skygo确实发现的导致远程控制车队的漏洞是不可接受的，因此仍有工作要做。

在网络安全方面，汽车行业并没有停滞不前。他们正在努力进一步提高安全性，因为欧盟的强制性网络安全法规要求这样做。其他行业没有这种强有力的监管。其他行业是否需要网络安全法还有待观察。

审核编辑：郭婷