智能网联汽车(Intelligent & Connected Vehicles,简称“ICV”)是指搭载先进的车载传感器、控制器、执行器等装置,并融合现代通信与网络技术,实现车与 X(人、车、路、云端等)智能信息交换、共享,具备复杂环境感知、智能决策、协同控制等功能,可实现“安全、高效、舒适、节能”行驶,并最终可实现替代人来操作的新一代汽车。
本文主要介绍汽车控制中枢CAN 总线所存在的安全风险以及神州明达在CAN总线网络安全检测方面的实践经验和服务范围。
CAN 总线是由德国博世公司研发,遵循 ISO11898 及 ISO11519,已成为汽车控制系统标准总线。CAN 总线相当于汽车的神经网络,连接车内各控制系统,其通信采用广播机制,各连接部件均可收发控制消息,通信效率高,可确保通信实时性。当前市场上的汽车至少拥有一个CAN网络,作为嵌入式系统之间互联的主干网进行车内信息的交互和共享。
CAN 总线安全风险在于:
一是通信缺乏加密和访问控制机制,可被攻击者逆向总线通信协议,分析出汽车控制指令,用于攻击指令伪造;
二是通信缺乏认证及消息校验机制,不能对攻击者伪造、篡改的异常消息进行识别和预警。鉴于CAN 总线的特性,攻击者可通过物理侵入或远程侵入的方式实施消息伪造、拒绝服务、重放等攻击,需要通过安全隔离来确保智能网联汽车内部 CAN 网络不被非法入侵。
主要攻击手段:
(一)物理攻击
1. 恶意的OBD设备
通过强制的OBD-II端口很容易和车内CAN总线进行交互。事实上大部分的汽车OBD-II端口充当着一个直接进入车内总线的接口,并且提供12V的直流电源输出,为连接设备提供电力源,放任的处于方向盘下面。几秒钟内,一个恶意的攻击者可以在车内安装一个可操作的设备。真实的世界的场景中,这种事情是可能发生的,比如,代客停车、汽车租赁、车辆借用等。
常见情况:车主自己在他的车上插入一个后装市场的OBD-II的设备,他相信设备是安全的,其实设备已经被篡改或者是假冒产品。比如,某公司或某店免费赠送的设备,市场上销售的没有经过安全认证的设备。
2. 直接攻击CAN节点
物理访问攻击不限于诊断端口。攻击者可以在某一状态下,把一个精心制作的设备附加到车内网络,比如车被拆卸,为了测试或者修理。另一个条件下也会发生攻击,通过安装一个篡改过的或者假冒的替换零件。比如,后装市场的娱乐信息系统,停车传感器模块或者防盗系统等。
(二)远程攻击
尽管受到限制,但是可能存在一个漏洞被黑客利用去远程重刷微控制器固件和修改程序,为了执行攻击载荷,执行DoS攻击不需要任何的物理连接目标车辆。
事实上,查尔斯和米勒在相关文章中证实了此点,通过扩充漏洞的攻击链,远程重刷了瑞萨微控制器的固件。同样远程利用OBD连接设备的漏洞,也可以实现相似的攻击。
目前,神州明达针对CAN总线的安全问题,可提供如下服务:
▫ CAN-BUS协议Fuzzing
▫ 汽车诊断协议UDS探测
▫ CAN数据报文分析
▫ CAN协议加密强度检测
▫ 定制化功能在线编写
关于神州明达车联网安全
神州明达物联网安全实验室车联网安全团队,是国内率先针对智能网联汽车信息安全研究的顶级技术团队,积极响应国家车联网行业标准化制定,目前已联合赛迪研究院编写智能汽车车载系统安全测评标准,同期,加入全国信息安全标准化技术委员会(WG5组)。
神州明达联合合作伙伴已对国内多个汽车品牌厂商开展汽车信息系统安全检测,研发并提供了多套检测工具,用于漏洞发现与安全检测,并取得较好服务成果。目前,针对车载系统、CAN总线、T-BOX等模块进行安全类研究,已具备针对多种型号车辆进行安全测试服务能力,可有效评估其安全性,为安全改进提供可靠数据支持。同时,致力于汽车系统安全检测工具软硬件设备研发,形成集多元数据采集、多类型汽车系统安全检测、综合分析评估及预警等功能的智能网联汽车信息安全检测平台,广泛应用于汽车安全领域。
未来,神州明达将会全面进行基于实践经验的汽车信息安全研究,并积极参与汽车信息安全标准化制定,全方位防护物联网时代的汽车信息安全。