車聯網信息安全測試技術分析及應用

周媛媛

（中國農業機械化科學研究院 行業技術服務中心，北京 100083）

0 引 言

目前互聯網、人工智能、無線網絡和云計算、大數據等技術迅速發展，并逐步應用到汽車行業，大大提高了汽車的智能化、網聯化程度，在萬物互聯時代形成了智能網聯汽車這一新的智能終端產物。智能網聯汽車在給人們帶來便捷和舒適的同時，也帶來了信息安全問題，使汽車存在被惡意遠程控制、威脅、攻擊的可能，進而引發社會安全事件，損害公民人身、財產安全，因此，汽車信息安全問題不容忽視[1-3]。

越來越多的汽車制造商為提高汽車的熱度和創新性，設計車載配套軟硬件，提高汽車智能化。例如，使用手機APP連接汽車，實現控制門鎖開關、自動泊車、發動機啟停、空調開關、語音控制和更新軟件等功能，這是汽車智能化的典型案例。近年來，隨著輔助駕駛和緊急制動程序的應用，以上功能得到了進一步的發展和延伸，實現了通過互聯網直接訪問汽車驅動、控制和底盤等核心系統數據[4]。汽車核心系統數據的網絡化，使得汽車存在網絡安全問題，社會不法分子一旦通過網絡病毒、木馬植入等手段控制這些應用程序，則會獲得車輛控制權，對駕乘人員安全、道路交通安全造成致命的威脅。

汽車信息安全問題已經引起了國內外許多研究學者、科研機構[5-7]的關注，并對汽車的某些系統及其功能組件進行了攻防式的試驗研究，試圖發現可能存在的安全漏洞、威脅等因素，因此，探索一套科學、合理和全面的汽車信息安全測試評價體系尤為重要。

1 車聯網“云—管—端”信息安全概述

車聯網是實現智能網聯汽車與外界進行互通互聯的橋梁，要實現車與外界的通信，必須包含“云”、“管”、“端”3個方面。“云”指的是云平臺，云端服務器提供服務的平臺。“管”指的是實現通信和接入網絡的能力，包括從車機、T-BOX到后臺的通信，APP到后臺的通信等。“端”指的是通信終端，具備車內通信、車車通信和車與路邊單元通信能力的終端設備，如信息娛樂系統、T-BOX、鑰匙、手機APP、OBD設備等。

車聯網“云—管—端”的安全包括控制安全、數據安全、功能安全等方面。然而車聯網的安全防護環節較多，網絡安全問題較復雜，因此在解決車聯網網絡安全問題上需要針對不同的部分采取不同的安全防護措施。

對“云”端可利用現有的網絡技術部署防火墻、入侵檢測系統等安全設備加固云端安全；對車輛、移動終端、應用程序等在通信時對身份驗證、密鑰管理等加強核驗機制。

對“管”端可進行加強訪問控制，實施分域管理，將控制域與信息服務域隔離開，以防攻擊者通過信息域進入到涉及安全的控制域；加強對網絡異常流量的檢測；加強身份認證及密鑰管理等。

對“端”的安全防護包括硬件和軟件兩個方面，其中對于相關硬件采取加密措施（如芯片防護、硬件加密等），對于軟件方面加強對終端應用程序的應用加密、安全啟動等措施，同時開啟車聯網終端安全監測分析。

“云—管—端”設備及防護策略如圖1所示。

圖1 “云—管—端”設備及防護策略

2 車聯網網絡安全威脅分析

通過“云—管—端”3個層面對車聯網中的云服務、通信及車載終端設備及防護策略的分析，考慮到智能網聯汽車實際運行、通信、服務等業務的開展，同時借鑒汽車傳統測試和信息安全傳統測試方法中取得的成果，結合系統全面地分析智能網聯汽車系統部件的功能可知，智能網聯汽車容易在7個方面被攻擊：網絡架構、ECU、IVI、T-BOX、APP、無線通信和云平臺Telematics Service Provider（TSP）。

2.1 網絡架構

智能網聯汽車的網絡架構一般包括控制器局域網絡（Controller Area Network，CAN總線）、局域互聯網絡（Local Interconnect Network，LIN總線）、汽車網關等。

目前汽車網絡中常用的通信協議是CAN總線和LIN總線，這兩種通信協議均為開放的標準協議，因此存在較多的安全漏洞容易被黑客利用進行攻擊。一般黑客常用的攻擊方式有3種：（1）向車內的總線上發送模擬數據信號使得駕駛員被欺騙進行誤操作；（2）利用CAN總線的脆弱性，通過向CAN總線發送偽造的非法數據幀，實現對CAN總線的數據重放、篡改、竊聽等[8]；（3）通過遠程診斷的安全漏洞向T-BOX或IVI等設備植入后門，從而實現對車輛的控制。

汽車網關是汽車內部各系統之間進行通信的核心，然而網關系統中的代碼會存在不可避免的安全漏洞，攻擊者可以利用網關的可信度，對連接在總線上的ECU進行攻擊。此外，攻擊者還可以利用CAN總線或者車載以太網存在的安全漏洞對網關進行攻擊，出現網關信息被篡改、指令存在偽造等風險問題。

2.2 ECU

一輛汽車中通常存在幾十個或者上百個ECU，ECU的主要功能是對汽車各類傳感器輸入的信息進行運算、處理、判斷，然后輸出相應的指令。汽車的不同ECU被連接成網絡，通過網絡實現相互間的通信。

攻擊者可以通過ECU的固件代碼實現對ECU通信信息的篡改、偽造等。一般針對ECU攻擊可分前門攻擊、后門攻擊和漏洞利用等，其中前門攻擊是攻擊者通過對原廠程序編程方法進行逆向分析，劫持原始設備制造商（Original Equipment Manufacturer，OEM）的訪問機制，通過車輛的車載診斷系統 （On-Board Diagnostic，OBD）對診斷系統進行重新編程，從而實施攻擊的一種方式；后門攻擊是攻擊者利用ECU硬件中存在的調試后門漏洞，實現對車輛各類指令的控制；漏洞利用是攻擊者利用系統代碼中的緩沖和溢出，通過偽造的非預期的輸入觸發安全漏洞使得ECU執行的是攻擊者提供的惡意代碼，達到控制車輛功能的目的。

2.3 IVI

IVI是集成于汽車中控臺的智能多媒體設備，包括收音機、GPS導航、影音娛樂、語音識別、藍牙、Wi-Fi等功能。

IVI的附屬功能較多且集成度高，因而攻擊者可以利用IVI所有的接口實施攻擊。對IVI的攻擊可分為軟件攻擊和硬件攻擊，軟件攻擊是攻擊者通過軟件升級的方式獲得系統的訪問權限，從而進入到目標系統中；硬件攻擊是對IVI的零部件進行分析，通過IVI的主板、接口、芯片、引腳、標識等，對IVI的固件信息進行提取再進行逆向分析，獲取IVI的關鍵信息，挖掘隱藏的漏洞。

2.4 T-BOX

車載T-BOX通過GPS定位、各類傳感器、射頻技術識別、攝像頭和圖像處理等電子元件，用于后臺云端或手機APP之間通信，實現在手機APP中車輛信息顯示和控制。攻擊者可以通過T-BOX固件的逆向分析，得到加密算法和密鑰，而后對通信協議進行解密，竊聽用戶隱私或偽造控車指令。此外，攻擊者還可以通過T-BOX的調試端口進入系統，讀取到內部敏感信息從而實施攻擊[9]。

2.5 無線通信

車輛的無線通信包括蜂窩通信、Wi-Fi通信、藍牙通信和基于蜂窩移動通信環境下車與外界事物的通信 （Long Term Evolution-Vehicle to everything，LTE-V2X）等。

蜂窩通信：攻擊者可以通過建立偽基站，利用DNS劫持等方式對T-BOX會話和通信數據進行劫持和監聽通信數據，從而實現對通信協議破解和汽車敏感數據（如用戶信息、車輛識別代碼等）的竊取。

Wi-Fi通信：攻擊者通過對Wi-Fi認證口令的破解，連接到汽車的內部網絡，對汽車的敏感和隱私數據信息進行獲取。此外，還可以結合其他的系統漏洞對汽車進行組合滲透測試攻擊。

藍牙通信：攻擊者利用藍牙鑰匙固件中存在的代碼漏洞，對固件的信息進行篡改或者是植入后門，獲取鑰匙的相關信息。

LTE-V2X通信：攻擊者利用車-車通信中存在的節點，進行惡意入侵，篡改車-車通信，阻斷、偽造通信信息或是通過重放過期指令等攻擊從而影響車-車通信信息的實時性、真實性和可靠性。

2.6 云平臺

云平臺TSP系統是汽車和手機APP之間通信的跳板，也是汽車和服務商之間最重要的環節，其主要功能是為汽車和手機提供內容和流量轉發的服務。攻擊者利用云平臺存在的安全漏洞，如Web漏洞、數據庫漏洞等，竊取敏感信息，實現拒絕服務攻擊等[10]。

2.7 APP

隨著科技的快速發展，手機APP已經成為智能網聯汽車的標準配置，用戶可以通過手機APP遠程控制車輛的啟停、車門及空調開關等功能。

因為手機APP的公開性，攻擊者可隨意下載安裝，通過對通信密鑰的破解，分析通信協議，并對通信信息進行偽造，結合車聯網遠程控制功能誤導駕駛員對車輛的控制。此外，通過對APP固件逆向分析TSP的接口、參數、請求內容等信息，攻擊者結合IVI和T-BOX的安全漏洞，通過攻擊車聯網關鍵部件影響車輛行駛安全。

3 車聯網信息安全測試方法及驗證

3.1 車聯網信息安全測試方法

根據前述對車聯網網絡安全威脅的分析，利用CAN-PICK、AUTO-X、Nmap、BurpSuite+exus5、Wireshark、HackRF+Gqrx等測試工具，結合滲透測試、DoS攻擊、協議破解、API（Application Program Interface，應用程序接口）攻擊、暴力破解、模糊測試、代碼逆向分析、端口掃描與攻擊、劫持云端、IVI通信、SQL注入和中間人欺騙等方法初步形成一套全面系統的車聯網信息安全測試方法，具體的車聯網信息安全測試流程如圖2所示。

主要的測試清單見表1，表中只列出了部分主要的測試項目，隨著技術的發展，會繼續添加更多的測試項目。

表1 車聯網信息安全主要測試清單

圖2 車聯網信息安全測試流程

3.2 車聯網信息安全測試驗證及分析

為了驗證前述提出的車聯網信息安全測試方法的合理性和可行性，利用該測試方法對某款智能網聯汽車網絡架構、ECU、IVI、T-BOX、APP、無線通信和云平臺7個系統進行整車信息安全測試研究。通過整車信息安全測試工作發現了該智能網聯汽車存在若干安全漏洞，結合GB/T 30279—2013《信息安全技術安全漏洞等級劃分指南》中訪問路徑、利用復雜度和影響程度3個方面和GB/T 34402—2017《汽車產品安全風險評估與風險控制指南》中對人身傷害的程度，對信息系統安全漏洞進行評估，最終發現了該智能網聯汽車存在6個安全漏洞，其中4個為嚴重漏洞：車載娛樂系統越權訪問漏洞、總線拒絕服務攻擊漏洞、微信小程序證書校驗和中間人劫持攻擊漏洞、微信小程序身份認證越權攻擊漏洞；2個為中危漏洞：微信小程序數據傳輸未加密漏洞、車載娛樂系統端隱私泄露。

利用上述安全漏洞對整車進行綜合攻擊，查看攻擊者對智能網聯汽車的各個系統的控制程度。

一是利用滲透車機的方式先獲取車機權限再結合DoS攻擊達到對車輛各項功能的控制，即通過將車載娛樂系統越權訪問漏洞與總線拒絕服務攻擊漏洞相結合實現。攻擊者可以利用網絡調試端口的缺陷，通過Wi-Fi、藍牙等方式滲透到車機內部，并以Root身份便可得到車機權限，然后在汽車CAN總線高頻率地發送優先級高的數據幀，導致汽車輔助駕駛系統故障、儀表盤故障、轉速表失效等，進而造成行駛過程中的重大人身安全事故。

二是利用中間人劫持攻擊漏洞，通過微信小程序遠程控制汽車，即利用微信小程序證書校驗和中間人劫持攻擊漏洞來實現。由于微信小程序與服務器間通信未使用雙向證書校驗，攻擊者可以通過偽造代理、DNS欺騙等手段獲取正常用戶的請求，并篡改偽造后發送給服務端，便可實現登錄、遠程控制汽車。

待測試完成后，撰寫相關測試報告并提交樣車開發部門，對所述漏洞進行整改，提升了樣車的信息安全性能。

4 結 論

通過“云—管—端”3個層面對車聯網中的云服務、通信及車載終端設備及運行策略進行分析，并在解決車聯網網絡安全策略基礎上，針對不同部分采取的不同安全防護措施進行了深入研究，總結出智能網聯汽車容易被攻擊的7個方面：網絡架構、ECU、IVI、T-BOX、APP、無線通信和云平臺。在此基礎上，對主要的測試清單進行梳理，同時利用各種測試工具，在實際樣車上進行了整車信息安全測試工作，發現了相關漏洞，并進行了整改，提升了該型號樣車的信息安全性能，同時也初步形成了一套較完整的車聯網信息安全測試方法，為智能網聯汽車的信息安全提供了保障。