車載嵌入式系統漏洞攻擊研究現狀與展望

，，，

(陸軍裝甲兵學院，北京 100071)

引　言

進入21世紀以來信息技術高速發展，在移動互聯、大數據、計算等技術的推動下，汽車領域正經歷著前所未有的變革。汽車不再是單一的交通工具，而是集自動化、娛樂、通信功能于一體的智能電子系統，朝著智能化、網聯化方向發展。高速發展的微電子技術及人們日益提高的生活水平為車內電子系統的普及開辟了廣闊的前景，功能豐富的電子系統憑借優質的駕駛體驗、舒適的駕駛環境，日益受到人們的青睞。同時，智能汽車的推廣和信息服務平臺的建設也有利于解決城市交通擁堵、環境污染等問題，是解決人口激增、城市擴張問題，完成傳統城市向智慧城市轉型重要的一環[1]。

智能汽車內部載有大量電子控制單元(Electronic Control Unit，ECU)，這些ECU由車載嵌入式系統組成，掌控著對汽車各個電子系統的控制，是組成智能汽車內部信息網絡的“神經元”。為滿足用戶對汽車日益增長的功能需求，提升自身在汽車市場的競爭優勢，汽車公司不斷優化車載嵌入式系統功能，擴大ECU規模，輔助駕駛、智能導航、自動泊車、自動駕駛等智能系統在眾多車型中開始推廣。有調查顯示2015年中國智能駕駛乘車滲透率為15%，到2019年這一數據預計將上升至50%。在2015年國務院印發的《中國制造2025》中，無人駕駛汽車被列為未來汽車行業轉型升級的重要方向[2]，智能化、網聯化已是汽車行業發展的必然趨勢。

車聯網概念是當下汽車行業發展的主題，一些互聯網公司紛紛將網絡業務向汽車領域滲透，諸如谷歌的智能汽車、蘋果公司的CarPlay、百度的CarLife等新型產品面世推廣，與此同時，共享汽車等新型服務正逐步融入我們的日常生活。2017年8月，弘揚共享汽車公司在沈陽投放1500輛寶馬轎車，人們只要借助互聯網繳納一定押金，通過手機掃碼的形式就可以低廉的價格享受高檔舒適的行車體驗，車聯網服務使得汽車的信息化、舒適化、智能化水平大幅提高，為用戶提供了極大的便利。但同時，車載信息量的劇增也為信息安全埋下了隱患，豐富的信息交互渠道增加了對汽車實施攻擊的可能性，缺乏安全性機制的車載信息網絡給了黑客可乘之機。

近年來，由于車載電子系統故障引發的交通事故開始增多，高度頻發的汽車信息安全召回事件更是引發了行業對汽車安全問題的高度關注。美國獨立研究機構波萊蒙(Ponemon)在2015年公布了一項有關汽車安全的報告，報告中指出未來將有60%～70%的車輛將因為軟件安全漏洞被召回[3]，同時，在有關汽車信息安全的采訪中，約有44%的受訪開發人員稱，汽車正逐漸成為網絡黑客入侵的熱門目標，可見車載嵌入式系統的安全問題已經成為汽車行業關注的焦點。

車載嵌入式系統通過總線組成車內信息網絡，總線機制確保了ECU之間信息傳遞高效、快速，簡化了車內物理傳輸線路，增強了車內信息網絡靈活性、開放性，但車載總線設計之初并沒有針對信息攻擊作出有效防護機制。

車載總線機制包括CAN、LIN、MOST、FlexRay等，目前應用最為廣泛的是CAN總線機制。CAN總線采用廣播的方式進行信息轉發，任何符合CAN通信協議的信息節點都可以在總線上收發信息，CAN本身并沒有防止總線指令竊聽和惡意代碼植入的認證機制，這使得攻擊者可以輕易對CAN總線上的信息進行監聽、轉發等惡意操作，增加了總線信息安全的風險性。而且，現今通過互聯網，個別車型的指令協議不再機密難求，截取并破譯CAN幀信息的工具也愈加容易獲取，技術手段攻陷一輛汽車的成本在逐漸降低，這都使得以CAN總線作為信息交換渠道的ECU成為黑客攻擊的焦點。在總線上傳遞的信息包括汽車的控制信息、位置信息、狀態信息等，一旦這些重要信息被黑客竊取利用，將對用戶的人身安全、隱私安全和財產安全造成巨大威脅。圖1是CAN總線信息節點接入示意圖。

圖1　CAN總線信息節點接入示意圖

在近幾屆黑帽大會上，技術人員相繼發布了針對車載嵌入式系統的攻擊方法，在2014屆黑帽大會上，Miller和Valasek博士[5]公布了一份涉及數十輛不同品牌和型號汽車的研究報告，評估車輛易受黑客攻擊的薄弱之處，然后總結了一份車輛各網聯部件受攻擊可能性的打分和評論手冊。2015屆黑帽大會上，他們成功破解了JeepCherokee的信息系統，可以實現遠程控制車內娛樂系統、剎車系統、動力系統等[6]。汽車安全問題愈發引起人們的關注，網聯汽車的信息安全問題已嚴重威脅人們的生命財產安全。

1　研究意義

載有多種ECU的網聯車使得大量信息在ECU、用戶、服務中心、基礎設施之間頻繁傳遞，這使得汽車的信息系統面臨極大的安全威脅。Nilsson和Larson[7]指出，構成車輛內部信息網絡的ECU和總線存在諸多漏洞，可被攻擊者利用，這些攻擊猶如汽車病毒，一旦發揮作用，將使得汽車的控制權移交他手，對信息安全、人身安全、財產安全造成巨大威脅。攻擊者可以利用車載總線認證機制不足的缺陷，通過病毒植入、后門攻擊、網絡遠程控制等方式攻擊ECU，從而獲取機密信息，干擾信息傳遞，獲取信息的主動權。在2016年中國汽車工程學會等機構公布的《智能網聯汽車信息安全白皮書》[2]中，網聯汽車面臨的信息安全問題被分為4層威脅、12大風險，網聯汽車面臨的主要風險如圖2所示。

圖2　網聯汽車面臨的主要風險

網聯汽車具有很多典型特點，這些特點容易被黑客控制利用，對汽車的信息系統造成巨大威脅，這些特點包括：

(1)ECU數量大幅增加，難以維護

車載嵌入式系統規模愈加龐大冗雜，這為ECU的維護和監測帶來一定困難，一旦個別ECU被攻擊，就可能使車內整個信息網絡癱瘓，造成指令協議泄露、隱私信息被竊取、汽車機械性能改變等嚴重后果，甚至影響乘客的生命安危。

(2)總線網絡存在安全機制漏洞

大部分總線機制缺乏有效的信源ID認證機制，這意味著任何符合總線通信協議的設備都可以接入總線網絡，進行信息接收和轉發，這使得數據監聽、指令偽造等攻擊很容易實現。

(3)配有故障自檢系統，易于侵入

為方便汽車檢測維修，保證行車的可靠性、穩定性，車輛一般配有故障自動檢測系統，以對ECU的功能和故障進行監測和診斷。同時維修人員可以利用專用檢測設備，通過外部預留接口對車內目標設備進行檢測，查找并排除故障，攻擊者可以利用這個預留接口直接侵入自檢系統并實施攻擊。

(4)具備聯網通信能力，提供了無線攻擊入口

網聯汽車具備完善的網絡通信能力，車內信息娛樂、定位導航、自動檢測、電臺通信等電子系統和互聯網頻繁進行數據交換，實現了車輛信息實時共享，但網絡也放大了無線攻擊入口，攻擊者可以利用網絡動態、開放的特點，對目標施行信息截獲、信號干擾、DOS等攻擊。

汽車作為移動的信息系統，安全的網絡通信和信息交互是其發展的基礎，一旦車載信息系統遭到攻擊，后果可能不僅是造成個人隱私泄露，更可能涉及到生命財產安全，為防止汽車安全漏洞被不法分子利用，危害公共交通安全，應對網聯汽車的安全問題給予高度重視。了解車載嵌入式系統的漏洞和相應的攻擊方法，從攻擊層面考慮車載信息系統的安全問題，有利于漏洞的挖掘和防護，對汽車行業的健康發展、網絡業務的成功擴展、客戶生命安全的有力保障都具有重大意義。

2　研究現狀

汽車電子化進程起步于20世紀70年代，而有關車載信息系統安全問題的研究才剛剛起步。車載信息系統漏洞層次不一，攻擊途徑復雜多樣，現綜合國內外研究現狀，應用參考文獻[8]的Level1威脅識別模型，宏觀上對車輛的攻擊方法進行分類，總體可分為物理接口攻擊、近場控制、遠場控制三大類。

2.1　物理接口攻擊

為了方便提供服務支持、維修檢測，提高人車交互能力，現代車輛提供多種物理接口供外界訪問，這些接口既包括需要與特殊設備相連的檢測接口，也包括可以連接任意信息載體的USB接口。

OBD通過總線網絡和車上其它ECU模塊進行通信，能夠在汽車駕駛過程中監控汽車電控系統、動力系統及其它ECU的工作情況，一旦有異常情況，OBD會將故障信息以代碼的形式在存儲器上保存下來，這些故障信息供專業人員在車輛維修檢測時參考，以便直接定位故障具體位置，大大提高維修效率。

目前OBD統一采用標準化OBD-II接口，即梯形的16針DLC形式接口，一般安裝在方向盤后側的內飾板中，檢修人員通過特定轉換接頭，一端連接OBD-II接口，另一端連接專業檢修設備或電腦，即可進行信息的讀取。OBD-II接口的第6針和第14針是CAN-H和CAN-L信號線，內部連接了CAN總線網絡，攻擊者可以利用這兩個信號線對總線上傳遞的信息進行截獲和轉發，這是目前通過物理接口訪問內部總線最常見的方法。

Koscher等人[9]通過在OBD接口安裝惡意設備，可以實現從車輛附近控制設備在總線上廣播指令信息，從而控制汽車系統的制動系統、雨刷器等裝置。在2013屆黑帽大會上，Miller和Valasek博士[6]向人們展示，他們用一個連接到車內OBD的筆記本電腦，通過監測CAN總線信息逆向分析汽車指令通信協議，從而實現控制車輛的轉向、剎車、加速等操作。

一些廠商還開發了可通過無線連接OBD的手機APP，只需要在OBD接口安插一個無線信號轉發適配器，用戶就可以通過手機查看車輛的工作情況，但是一旦手機中毒，或者使用者下載了留有后門的通信軟件，信息就可能在無形中被竊取利用。Woo等人[10]通過在車輛OBD接口安裝診斷設備，借助駕駛員手機上與該設備進行通信的APP，實現總線數據的監聽和惡意指令的發布，可以達到關閉發動機、更改儀表盤顯示的效果。

2.1.2IVI物理接口

IVI(In-Vehicle Infotainment)意為信息娛樂系統，其信息娛樂模塊向外提供物理接口，用戶可以將自己的移動媒體設備接入使用，同時可供特殊設備接入刷機、升級軟件等操作。此類接口廣泛采用USB接口，用戶可以將支持USB的媒體設備接入車載娛樂信息系統播放文件，攻擊者可以利用USB接口靈活性強、選擇范圍廣的特點，在車載信息娛樂系統上安裝惡意軟件或注入病毒，致使汽車的娛樂系統被操縱利用。

在2014年的黑客大會上，JakobLell和Karsten Nohl[11]展示了他們稱為“BadUSB”的攻擊方法，他們對USB固件代碼重新編程，通過USB接口將病毒置入車載信息娛樂系統，從而竊取數據、監控用戶操作。

2.2　近場控制

近場控制采用藍牙、射頻、Wi-Fi等無線技術，突破了物理接觸的局限，可以在一定距離內訪問車內信息系統，隱蔽性較強，這些無線訪問接口包括TPMS、藍牙通信、遙控門禁、車載雷達等。

2.2.1胎壓監測系統TPMS(Tire Pressure Monitor System)

TPMS采用射頻通信技術，它可以通過安裝在汽車輪胎里的壓力傳感器將路面情況、輪胎狀態實時傳遞給駕駛者，并在檢測到異常狀況時發出警告信息，從而確保輪胎工作在正常狀態，減少爆胎、胎損的概率。

安置在輪胎中的胎壓傳感器具有唯一的標識ID，在通信時可以根據消息報文的ID對車輛進行跟蹤，同時，TPMS通信協議中沒有驗證手段，因為可以通過違發數據報文的形式對車輛進行攻擊。Rouf等人[13]用通信設備逆向分析出輪胎壓力傳感器與ECU間通信的頻段及報文，并通過電腦與信號發射器偽裝發送TPMS警報，點亮了車輛內部儀表盤的報警燈，這段無線攻擊距離可達15 m，在高速行駛的汽車環境下依然有效。

2.2.2藍牙通信

藍牙是一種低功耗、廉價易操作的短距離無線設備，目前主要應用于車載免提通話。車載藍牙與手機配對連接后可以訪問手機通訊錄，并可以通過行車電腦撥打電話或者顯示通信信息，目前車載藍牙已廣泛普及，并成為車內無線免提系統的標準。還有一些廠商使用藍牙技術作為車鑰匙，用戶可以在10 m范圍內進行有效操作。

藍牙通信的協議棧龐大冗雜，通信節點缺乏有效的保護機制，對藍牙的攻擊威脅包括設備代碼的攻擊、地址的獲取以及利用服務器認證不完整性進行偽裝等。

2.2.3遙控門禁系統RKE(Remote Keyless Entry)

RKE系統通過射頻與車內ECU進行通信，可以短距離實現開啟、鎖定車門、激活報警的功能，無需通過鑰匙的物理接觸。

目前汽車RKE系統多采用HCS芯片和KEELOQ跳碼算法作為實現方案，每次傳輸的編碼信息都是唯一的，重復的信息視為無效。當按下遙控器按鈕時，跳碼編碼器開始工作，并發出不同的編碼信息，車內ECU接收信息后進行驗證計算決定是否執行相應操作，攻擊者可以復制車鑰匙信號，在車附近進行重放以獲取車門控制權[14]。Francillon等人[13]破解了智能鑰匙與汽車之間的中繼消息，通過信號中繼器發送解鎖指令，成功進入汽車并啟動汽車。

2.2.4車載雷達

目前汽車雷達技術主要有三種，分別是超聲波雷達、微波雷達及激光雷達技術，超聲波雷達主要應用于泊車輔助系統，雷達裝置安裝在車尾負責接收探障礙物的超聲波反射信息，測量障礙物的距離，在行車系統中應用十分廣泛。微波雷達及激光雷達技術應用于前端路況感知，可實現行駛軌跡、路況復現功能，目前在高級駕駛系統中應用較多。

針對雷達系統的攻擊，主要是發送相同頻段、相同形式的雷達波進行干擾，使駕駛者誤判路況信息，迫使駕駛者作出錯誤行動。

2.3　遠場控制

遠場控制進一步克服了空間上的限制，利用通信協議不完善、軟件后門易植入等特點，通過干擾、偽造信號等手段，攻擊者可以遠程干擾、遙控攻擊目標，車載移動數據網絡的連接是漏洞最多、最隱蔽的攻擊接口，這些遠程控制接口主要包括信息娛樂系統、GPS導航系統等。

2.3.1信息服務系統

信息服務系統通過蜂窩移動網絡，將互聯網服務遷移至汽車領域，用戶在信息服務系統的引導下可實現電子郵件、遠程訪問、手機APP交互、云端數據共享等網絡服務，是汽車公司產品研發的熱點，目前主要包括車載IVI、T-BOX、手機APP以及TSP平臺，信息服務系統之間信息交互、數據共享，為用戶帶來更好的行車體驗，但近年來頻發的信息安全事件不得不讓人提高對信息服務系統的警惕性。

(1)信息娛樂系統

車載信息娛樂系統是集智能導航、輔助駕駛、移動通信、休閑娛樂等多功能于一體的信息系統，很多汽車公司都開發出別具特色的IVI系統，如現代的Blue Link系統、菲亞特-克萊斯勒的Uconnect系統、奧迪的MMI系統等，這些系統進一步提升了汽車公司的服務質量，但同時也不得不面臨信息安全的威脅。在2016年寶馬公司新信息娛樂系統ConnectedDrives上市后，Vulnerability實驗室就向寶馬官方提交了的0day漏洞報告，報告說明該系統存在VIN會話漏洞，攻擊者可以繞過VIN驗證，使被攻擊的信息安全系統錯連到惡意賬戶，從而實現遠程解鎖、訪問郵件、規劃路線等功能，寶馬公司因此召回了220萬輛汽車。

(2)車載T-BOX

車載T-BOX(Telematics BOX)是實現智能化交通管理、車輛信息動態管理重要的網絡終端，其作用主要表現在遠程控制、遠程查詢、安防服務等功能，負責將數據發到云端服務器，是網聯車核心技術之一，攻擊者可以利用固件分析手段獲取信息加密方法，實現對通信消息的破解。2015年，歐洲ADAC汽車協會研究人員對寶馬公司的T-BOX盡心技術研究后，發現了6例安全漏洞，其中最嚴重的漏洞可以使未經授權的攻擊者啟動車輛。

(3)手機APP

為了便于用戶對汽車的控制，很多汽車公司開發了汽車遠程控制手機APP，用戶通過手機就可以進行啟動汽車、關閉發動機、升降電動窗等操作，同時具備數據統計、軌跡回放等功能，但這些軟件大多不具備足夠的安全保障機制，APP的控制密鑰、控制接口很容易獲取。2017年2月，卡巴斯基爆出多款汽車APP軟件漏洞，APP中存有大量未加密的車主信息，黑客可以通過ROOT獲取手機權限，將這些信息發到后臺處理，而且黑客可以誘導用戶下載惡意文件，獲取用戶密碼等登錄信息[4]。

(4)TSP平臺

TSP平臺可以實時將車內駕駛情況、路況信息、天氣情況等發送給汽車制造商的服務中心，增強了汽車廠商與客戶間的信息交互能力，為客戶提供了方便快捷的問題反饋途徑，但即便是注重安全性標準設計的特斯拉Model S也難免有漏洞可循，安全專家Kevin Mahaffey和Marc Rogers在DEF CON 23會議上演示了攻擊Model S服務系統的全過程，他們通過SD卡獲取汽車秘鑰數據、建立服務器VPN連接，就可以遠程訪問稱之為QtCarVehicle的汽車服務系統，從而解鎖汽車并啟動，甚至可以在汽車行駛途中發送關閉引擎指令。

2.3.2車載OS

車載操作系統具有應用范圍廣、功能可裁剪、靈活性強的特點，是實現駕駛者、乘客以及車與車之間互聯的關鍵，行車電腦一般采用嵌入式Linux、Android等作為操作系統，由于操作系統自身存在不同層次的漏洞，接入互聯網使得危險性增加，單一的技術防護手段已經不能解決信息安全問題，而且由于車載OS與手機APP有很多交互，病毒可以借由手機APP植入，行車電腦相比于普通PC被病毒攻擊的可能性更大。

2.3.3GPS導航系統

導航系統通過接收衛星發射的GPS信號為駕駛者提供最佳行駛路線，及時反映交通流量、擁堵情況等路況信息，并記錄駕駛者的行車軌跡，準確定位。同時還具備防盜功能，當車輛遭到盜竊，導航系統可以自動向GPS監控中心發出警報，并對車輛進行定位跟蹤。

已有很多研究證實GPS信號可以被偽造和干擾，干擾方式主要分為自主式干擾和欺騙式干擾。自主式干擾不依賴GPS系統，用無線設備自主產生偽GPS信號以達到欺騙目的，欺騙式干擾通過GPS信號中繼延時轉發實現位置信息的錯誤定位。

結　語

[1] 李駿,邱少波,李紅建,等.智慧城市的智能汽車[J].中國科學:信息科學,2016,46(5):551-559.

[2] 中國汽車工程學會.智能網聯汽車信息安全白皮書,2016.

[3] Innovation S.Car Cybersecurity:What do Automakers Really Think?[EB/OL].[2017-12].https://web.securityinnovation.com/car-security-what-automakers-think.

[4] 360汽車信息安全實驗.2016智能網聯汽車信息安全年度報告,2016.

[5] Miller C,Valasek C.A survey of remote automotive attack surfaces[C]//BlackHat USA,2014.

[6] Miller C,Valasek C.Remote exploitation of an unaltered passenger vehicle[C]//BlackHat USA,2015.

[7] D K Nilsson,U E Larson.Simulated Attacks on CAN Buses:Vehicle Virus[C]//Proc.of the 5th lASTED Int Conference on Communication Systems and Networks,ACTA Press,2008.

[8] Craig Smith,Chris Evans.The Car Hacker’s Handbook:A Guide for the Penetration Tester[M].北京:清華大學出版社,2017.

[9] Koscher K,Czeskis A,Roesner F,et al.Experimental security analysis of a modern automobile[C]//Security and Privacy SP,2012 IEEE Symposium on IEEE,2010:447-462.

[10] Woo S,Jo H,Lee D H.A practical wireless attack on the connected car and security. protocol for in-vehicle CAN[J].Intelligent Transportation Systems,IEEE Transactions on,2015,16(2):993-1006.

[11] Nohl K,Kri S,Lell J.BadUSB-On accessories that turn evil[C]//Black Hat USA,2014.

[12] 喬鵬.基于滾動碼技術遙控無匙門禁系統的設計[D].哈爾濱:東北林業大學,2014.

[13] Francillon A,Danev B,Capkun S.Relay Attacks on Passive Keyless Entry and Start Systems in Modern Cars[C]// NDSS,2011.

[14] 張會鎖,高關根,寇磊,等.利用軌跡誘導的欺騙式GPS干擾技術研究[J].彈箭與制導學報,2013,33(3):149-152.

[15] 王偉,陶業榮,王國玉,等.GPS欺騙干擾原理研究與建模仿真[J].火力與指揮控制,2009,34(6):115-118.

李博(學士學位)，主要研究方向為信息安全與網絡對抗技術，研究課題為車載嵌入式系統安全。