汽車網(wǎng)絡(luò)安全：進(jìn)步但仍有改進(jìn)空間

影響我們?nèi)粘Ｉ畹?a target="_blank">網(wǎng)絡(luò)安全攻擊是提高關(guān)鍵基礎(chǔ)設(shè)施物聯(lián)網(wǎng)安全性的巨大警鐘。雖然最近對(duì)殖民地管道的網(wǎng)絡(luò)攻擊造成了重大破壞，但我們道路上的數(shù)百萬輛汽車也代表了關(guān)鍵基礎(chǔ)設(shè)施，如果受到網(wǎng)絡(luò)攻擊的破壞，可能會(huì)產(chǎn)生災(zāi)難性的影響。

想象一下，超過一百萬輛汽車，立即同時(shí)禁用制動(dòng)器。如果道德黑客查理·米勒和克里斯·瓦拉塞克沒有第一個(gè)發(fā)現(xiàn)關(guān)鍵漏洞并向汽車行業(yè)敲響警鐘，這種情況可能會(huì)發(fā)生。他們的工作參考了五年前汽車網(wǎng)絡(luò)安全的糟糕狀況。

梅賽德斯奔馳委托并于去年披露的安全研究是一個(gè)更新的參考，我們將將其與米勒/瓦拉塞克的研究進(jìn)行比較。梅賽德斯聘請(qǐng)的滲透測(cè)試公司是360集團(tuán)的Skygo汽車網(wǎng)絡(luò)安全團(tuán)隊(duì)。兩個(gè)團(tuán)隊(duì)都利用了可以在任何物聯(lián)網(wǎng)設(shè)備中發(fā)現(xiàn)的漏洞，而不僅僅是汽車。

對(duì)于這兩個(gè)團(tuán)隊(duì)來說，導(dǎo)致遠(yuǎn)程控制這些車輛功能的漏洞并不是一個(gè)漏洞。利用一系列漏洞來破壞物聯(lián)網(wǎng)設(shè)備是很常見的，這就是為什么網(wǎng)絡(luò)安全縱深防御方法很重要的原因。這意味著包括冗余的網(wǎng)絡(luò)安全功能。

1. 按順序顯示了米勒/瓦拉塞克工作利用的主要漏洞。

2015年克萊斯勒車輛披露

米勒/瓦拉塞克的工作所揭示的一些主要漏洞是顯而易見的，因?yàn)楫?dāng)時(shí)汽車還處于聯(lián)網(wǎng)的早期階段（圖1）。最明顯的漏洞是能夠在沒有身份驗(yàn)證的情況下通過蜂窩網(wǎng)絡(luò)連接到車輛。接下來的一系列漏洞包括一個(gè)開放的TCP端口，該端口可以訪問在TI OMAP處理器上運(yùn)行的D-bus軟件服務(wù)（進(jìn)程間通信，遠(yuǎn)程過程調(diào)用機(jī)制），以及缺乏允許在root運(yùn)行命令的用戶身份驗(yàn)證。

利用鏈中的下一個(gè)是將固件更新刷新到具有CAN總線訪問權(quán)限的瑞薩電子V850 MCU，而無需進(jìn)行身份驗(yàn)證。這允許將后門添加到 V850 的固件中，從而能夠通過蜂窩網(wǎng)絡(luò)從遠(yuǎn)程位置閃爍。該后門允許CAN命令從TI處理器發(fā)送，他們已經(jīng)控制了該處理器，通過SPI發(fā)送到微控制器，并使CAN總線能夠訪問具有物理控制的其他電子控制單元（ECU）。

先發(fā)制人措施

三個(gè)安全功能很可能會(huì)阻止米勒/瓦拉塞克的攻擊。包含身份驗(yàn)證的安全固件更新方案將阻止覆蓋 V850 中的有效固件。安全啟動(dòng)的實(shí)現(xiàn)將通過阻止代碼執(zhí)行來補(bǔ)充安全更新功能，代碼直接編程到閃存中。這些安全功能現(xiàn)在可以在現(xiàn)成的硬件中找到，例如WINSYSTEMS的硬件，并且開箱即用。但是，在SPI接口代碼中發(fā)現(xiàn)了需要修復(fù)的內(nèi)存損壞錯(cuò)誤。

這三項(xiàng)網(wǎng)絡(luò)安全改進(jìn)，經(jīng)過身份驗(yàn)證的固件下載，安全啟動(dòng)以及內(nèi)存損壞錯(cuò)誤的修復(fù)將使利用變得更加困難。從音響主機(jī)到達(dá)車輛的物理控制裝置取決于與CAN總線的接口。如果阻止進(jìn)入該公共汽車，則轉(zhuǎn)向，制動(dòng)和發(fā)動(dòng)機(jī)的控制也將停止。

2. 利用天空之聲的鏈條

2020 梅賽德斯奔馳披露

Skygo攻擊鏈的第一步是使用“二手”ECU建立一個(gè)測(cè)試臺(tái)（圖2）。攻擊者在破解物聯(lián)網(wǎng)設(shè)備時(shí)具有優(yōu)勢(shì)，因?yàn)樗麄兘?jīng)常可以像Skygo那樣對(duì)設(shè)備進(jìn)行逆向工程。一旦測(cè)試臺(tái)建立起來，他們就通過配置錯(cuò)誤高通處理器來獲得調(diào)試訪問權(quán)限，然后從NAND閃存轉(zhuǎn)儲(chǔ)固件。轉(zhuǎn)儲(chǔ)閃存以訪問純文本代碼以進(jìn)行逆向工程是黑客的廣泛步驟（注意：在我的下一篇博客中，我將寫一些數(shù)量驚人的可用黑客工具來做到這一點(diǎn)。在Skygo的案例中，他們花了大量時(shí)間訪問純文本代碼，因?yàn)樗鼘?duì)于發(fā)現(xiàn)其他漏洞至關(guān)重要。

通過代碼的明文列表，他們發(fā)現(xiàn)遠(yuǎn)程信息處理控制單元（TCU）運(yùn)行Linux操作系統(tǒng)，一個(gè)能夠向其他ECU發(fā)送CAN消息的工程調(diào)試程序，用于訪問梅賽德斯奔馳后端服務(wù)器的區(qū)域證書，以及用于解密證書的硬編碼密鑰。換句話說，他們中了大獎(jiǎng)。通過調(diào)試程序發(fā)送CAN消息的能力使Skygo能夠?qū)ζ囘M(jìn)行物理控制。后端服務(wù)連接導(dǎo)致估計(jì)有200萬輛梅賽德斯汽車被訪問。

本該是什么

假設(shè)調(diào)試接口是安全的，并且閃存中的代碼已加密。在這種情況下，獲得發(fā)送CAN報(bào)文和查找證書的能力的后續(xù)步驟將更加困難。使用BG Networks等安全自動(dòng)化工具實(shí)現(xiàn)這些安全功能變得更加容易。

通過比較這些團(tuán)隊(duì)相隔五年所做的工作得出的結(jié)論是，汽車網(wǎng)絡(luò)安全已經(jīng)顯著改善。SkyGo沒有發(fā)現(xiàn)明顯的漏洞，如未經(jīng)身份驗(yàn)證的接口或開放端口。測(cè)試的梅賽德斯車輛的網(wǎng)絡(luò)安全非常好。憑借梅賽德斯的安全無線（OTA）更新功能，他們能夠在披露后的幾個(gè)小時(shí)內(nèi)修補(bǔ)數(shù)百萬輛汽車的漏洞。

Skygo的滲透能力非常出色，找到初始漏洞所需的努力意義重大。事實(shí)上，他們瞄準(zhǔn)的第一個(gè)ECU，即音響主機(jī)，是無法穿透的。SkyGo無法像米勒/瓦拉塞克那樣訪問關(guān)鍵的安全功能，例如制動(dòng)器和轉(zhuǎn)向。但是，由于Skygo確實(shí)發(fā)現(xiàn)的導(dǎo)致遠(yuǎn)程控制車隊(duì)的漏洞是不可接受的，因此仍有工作要做。

在網(wǎng)絡(luò)安全方面，汽車行業(yè)并沒有停滯不前。他們正在努力進(jìn)一步提高安全性，因?yàn)闅W盟的強(qiáng)制性網(wǎng)絡(luò)安全法規(guī)要求這樣做。其他行業(yè)沒有這種強(qiáng)有力的監(jiān)管。其他行業(yè)是否需要網(wǎng)絡(luò)安全法還有待觀察。

審核編輯：郭婷