汽车娱乐控制系统的攻与防

 2019 “第四届中国汽车网络信息安全峰会“ 来自工业控制系统信息安全技术国家工程实验室北京分部主任，特聘研究员；知道创宇信息技术有限公司先进技术部胡铭德总监参加了本届大会并作精彩演讲。胡总从传统汽车的一些安全问题、新能源汽车娱乐系统各种攻击面和tee汽车娱乐系统现状为大家详细展示了汽车娱乐控制系统的攻与防。

首先胡总向嘉宾讲述戴安娜王妃的故事，在事故中，当时车速达到105km/h，这其中是否与ECU有关？ECU是否被修改过？这也是传统汽车的安全问题之一，随后胡总向我们讲解了ECU是什么、ECU的基本组成和传统汽车ECU组要用途，并通过实践案例重点讲解了ECU的修改方法：1、直刷原厂，刷ECU的程序基本上都是直接导出了原厂的数据，然后再进行各项功能的改写和增幅，有的ECU通过OBD接口技能进行读写，有的需要拆卸下ECU，用特殊设备进行读写，即bdm方式。2、外挂式电脑控制，在原厂ECU上在外挂多一个控制模块，通过”欺骗“原厂ECU的形式，达到改变ECU信号的效果。很多日本车的ECU调教都是通过外挂式电脑来实现。3、替换式ECU，直接更改ECU硬件设备，在赛车上很常见，而且通常都是搭配重度的发动机硬件改装使用，改装后发动机的工作温度、进气量、喷油量、压缩比等数据大大超出原厂设定范围。另一个是汽车钥匙的安全问题，现在无线解锁汽车很方便，但方便的同时也存在安全隐患，在电子配件和技术的配合下，钥匙链的信号容易被犯罪分子拦截或阻挡，想象一下，当别人打开你的车并开走它而它不会发出任何警报。1、Relay Hack：犯罪分子用相对便宜的继电器盒，可以捕获距离最远100米的遥控钥匙信号，然后将他传输到你的车上。2、Keyless jamming：这种情况下，hacker会阻挡你的信号，因此当你从钥匙发出锁定命令时，它实际不会到达你的车，你的门将会保持解锁状态，然后他人就会自由进入你的车辆。

 随后胡总给我们讲解了新能源汽车娱乐系统各种攻击面：1、车载蓝牙漏洞攻击，并向我们展示了他们团队成功通过蓝牙端口获取到了一个国内汽车品牌的娱乐控制系统的root的测试。2、车载WiFi攻击：随着车联网技术的发展和普及，越来越多的汽车和交通基础设施接入互联网，它们组成了一套复杂的计算机硬件和软件系统。凡是计算机系统，必然是随时随地面临着信息安全问题。对于攻击方来说，只要找到系统的一个弱点，就能达成入侵的目的，他们看到的是一个个点；对于防御方，必须找到系统的所有弱点，他们看到的是一个完整的面。我们很容易明白一个道理，攻破一个系统，只要找到其中的一个漏洞即可，但你要全面保护这个系统的话，就需要全面防范这个系统所有可能的漏洞，让整套系统架构没有安全层面的短板或缺陷，破坏永远是比建设容易的，所以信息安全防御技术的难度不言而喻。随后胡总想我们展示了车载WiFi攻击流程：从入侵WiFi到通过已破解的wifi进一步攻击系统到获取系统权限后，攻击can总线到最后获取所以设备权限。3、传感器漏洞：传感器在自动驾驶中会利用各种传感器进行道路识别和判断，它们相当于人的眼睛，耳朵。传感器的主要作用是用来感知，而攻击者只要使最后的感知结果出现错误就达到了攻击目的。这样攻击者不仅可以引发DOS攻击，而且还可以控制用恶意的模拟信号控制传感器的输出。漏洞往往存在于模拟传感器的内部，一旦传感器把错误数据当作正确的输出了，车辆的控制系统将形同虚设，如同盲人和聋子一般。4、Android攻击面分析：通过 root（利用漏洞获得设备操作系统的所有权限）受害人的手机，黑客访问存储在本地的登陆信息，并将其发送至他或者她的命令及控制服务器上，欺骗车主下载安装安装包含恶意程序的修改版互联网汽车应用，从而获取登陆细节，通过目标设备感染可执行「overlay」攻击的恶意程序：一旦车辆应用打开，恶意程序就会自动加载并用虚假的接口进行替代，从而窃取和转移用户凭证。

 最后胡总向嘉宾讲解了tee汽车娱乐系统现状：tee是移动设备主处理器上一个安全区域，与移动OS并行存在，提供一个隔离的执行环境，保证隔离执行、可信应用的完整性、可信数据的机密性、安全存储等。目前TEE不仅在手机上应用，而且在越来越多的PC和笔记本也开始使用。且在云平台，TEE也得到了越来越多的重视。由于tee的可信计算基过大、可信用户交互支出不足、与普通操作系统的交互的安全隐患这些设计问题和启动环境问题——当前绝大部分的TA和CA之间的交互依赖于操作系统，如果操作系统被攻破，那么任何CA都可以和TA建立连接。胡总针对这些情况重点给大家详细讲解了以下四种攻击：

1、物理攻击：常见的有直接扫描物理内存获取明文、利用内存数据残留的冷启动攻击、显微镜读取芯片内部数据、固件刷机攻击、DMA攻击等。2、载体攻击：载体攻击的目标是通过导出数据载体的数据至另一台设备中，以复制其中的数据。其中数据暴露原因有数据非安全删除、OS的数据缓冲区、数据缓存机制、内存泄露等。3、bootroom攻击：远程启动服务截取带有RPL的网络接口卡发出引导记录请求的广播（broadcasts），重新创建服务器建立一个连接来响应它，并加载恶意MS-DOS启动文件到工作站的内存中。4、固件回滚攻击（rollback）：固件回滚攻击和固件刷机攻击的目标一致，但是实现方式不同，固件刷机攻击是通过物理手段取下存储芯片刷入固件，而固件回滚攻击是通过利用固件防回滚机制的漏洞，刷入低版本存在漏洞的固件。目前tee也不能绝对解决全部安全问题，现在ARM TEE主要还是以TrustZone作为支撑。但TrustZone依然有待提高，比如它没有内存加密，可扩展性有待提高，用多个TrustZone或多个TEE现在还做不到。而且，TEE存在单一故障点问题，TEE出了错整个系统的安全性就没了。胡总最后告诉我们在汽车安全上面我们还有许多的路要走，汽车网络信息安全任重道远。

主办方：上海锁雅汽车科技有限公司 (GRCC)是一家从事汽车技术领域的技术开发，技术转让，技术咨询展览展示服务，会务服务等多业务发展的技术咨询类公司。公司为国内外领军企业（主要为世界500强企业）的高级决策人提供行业资讯、商业创新发展解决方案、市场调研、商务合作和人脉拓展平台、个人职业发展以及投融资等咨询服务。

“第四届中国汽车网络信息安全峰会2019 (ACSS 2019)”