何超波
(广汽三菱汽车有限公司, 湖南 长沙 410014)
随着车联网技术不断发展, 目前市面上配备车联网的车辆已经较普遍, 人们生活得到较大便利。 随之而来, 车联网信息安全已经成为一个重要课题, 不仅是对产品或者使用个人, 一旦出现大面积安全事故, 影响的将会是社会各个方面。 本文将从车联网系统架构介绍开始, 逐步分析车联网信息安全涉及的各个方面, 并针对车联网信息安全方面进行系统的测试, 指导车联网系统信息安全开发, 为整车信息安全提供更好的保护。
2013年, 针对福特翼虎和丰田普锐斯的车联网系统黑客攻击, 使人们开始考虑车联网安全问题。 不同的整车厂的车联网信息技术开发水平参差不一, 即使如特斯拉等强大品牌的整车厂, 也不断暴露被远程劫持的风险。 中国是世界汽车第一产销大国, 大规模的车联网技术应用, 也带来了大量潜在的风险, 一旦出现大面积车联网信息安全事故, 也可能对社会造成严重影响。 目前, 国家工信部也不断组织信息安全领域专家对该问题进行研讨, 不断制定更为严格的标准, 用于指导国内汽车生产。 本文通过对某车型车联网系统进行架构介绍, 以及对信息安全风险进行分析、 测试, 探索制定出一套信息安全相关测试及评价方法。
车联网系统架构大体一致, 包含车载端和非车载端,其中车载端指T-box、 信息娱乐系统、 BCM、 PEPS等; 非车载端指APP及TSP。 根据每个主机厂的设计, 车载端网络架构略有不同, 本文中涉及的车型网络架构如图1所示。
图1 车联网系统架构
T-box主要功能是用于车内网络与外界网络互连, 是信息传递连接的枢纽。 用户通过手机APP可以获取到车内的相关信息, 如位置、 车辆状态等, 同时还可以远程控制车辆相关ECU工作。 在车联网系统中, T-box也是车内网络的主要侵入口之一。
IVI作为车内主要的人机交互设备, 与T-box进行交互,连接网络, 通过IVI系统内配置不同的APP应用, 用户可以实现车内娱乐、 信息交互等功能, 丰富和方便用户的使用。目前国内市场上IVI系统主要搭载安卓系统, 容易被黑客攻击, 是车联网系统重点关注部件之一。
其它相关ECU主要是指BCM和PEPS, 在车联网系统中,T-box通过CAN总线向ECU发出指令, 实现远程启动发动机、 远程控制空调、 灯光等。
手机端和TSP也是车联网系统的重要组成部分, 用户通过APP向TSP发出指令, 实现大量车联网功能。 同时, 由于APP及TSP容易被攻击, 也是车联网信息安全的重要考虑对象。
车联网系统功能实现过程中包含了大量数据采集、 传输、 处理等, 各个环节均有可能成为外界攻击点, 突破各个节点的防护侵入到整车内甚至扩展到TSP, 进而可以控制其它车辆, 造成大面积的安全隐患。 车联网系统的攻击主要分为几大类: 本地物理攻击、 近场无线攻击、 远程无线攻击。
OBD接口是车载诊断接口, 通过OBD接口能够与车内ECU进行交互, 获取大量车载ECU相关信息。 OBD接口一般需要认证通过才能进行通信, 但是这种认证也能够被黑客破解, 进而利用获取到更高权限。
车载USB接口, 用户一般通过车载USB去读取音频文件, 黑客可以通过将恶意软件伪装成音视频文件等, 从而感染IVI操作系统, 获取相关权限。
车载设备中, 部分系统具备近场无线通信功能, 这些无线通信功能存在被外界非法利用劫持的可能。 一般来说,车载系统中, 近场无线通信主要有蓝牙、 胎压监测、 遥控钥匙、 车载Wi-Fi。
1) 车载蓝牙, 主要用于蓝牙钥匙和蓝牙通话, 蓝牙传输协议属于明文传输, 易被攻击, 常见的攻击方式有: 通过蓝牙获取用户个人隐私信息、 通过蓝牙执行拒绝服务攻击等。
2) 胎压监测系统信号传输需要通过低频无线信号传给BCM, 攻击者可以模拟胎压传感器给BCM发送错误信息,实现攻击目的。
3) 车载Wi-Fi方便了用户的使用, 提升用户体验, 但是也给攻击者带来了攻击点。 通过对Wi-Fi的口令破解, 可以连接到车内网络, 获取车内敏感数据或者更高层级的权限, 进而对车辆实施攻击。
APP和TSP作为非车载端的主要组成部分, 是外部攻击者重点关注对象, 通过对TSP和APP的漏洞进行扫描, 发现相关漏洞, 攻击者就可以通过APP和TSP向车辆发出合法指令, 进而实现单一车辆或者大规模攻击。
针对车联网系统, 通过攻击点分析, 确认系统各个环节的薄弱点, 按照系统组成分成4大块, 分别进行针对性测试, 主 要 包 含 车 载 端ECU (T-box、 IVI)、 通 信、 TSP、APP。 本文列举了部分测试项目, 随着技术的发展, 相关测试项目还将继续增加。 APP及TSP用例列表见表1, 车载端ECU及通信测试用例列表见表2。
表1 APP及TSP用例列表
表2 车载端ECU及通信测试用例列表
根据前文介绍的智能网联汽车车联网系统架构, 针对系统各个组成部分进行分析, 评估系统风险点, 制定整车测试方案和具体的测试用例, 并对某智能网联车型进行整车信息安全测试。 测试结果见表3。
表3 测试结果列表
其中, ①高危漏洞为: IVI系统可以通过ADB端口获取系统权限, T-box开启了Telnet服务, TSP存在CVE—2021-44228 漏洞; ②中危漏洞为: IVI 系统存在可篡改并刷写EMMC固件, T-box存在nc-e参数, 可以用于传递T-box文件到本地进行逆向分析, 同时登陆界面未做登陆次数限制,容易被破解, TSP泄露内网FTP服务器的IP、 口令等信息;③低危漏洞: IVI 系统存在可读取丝印、 T-box配置明文存储需要加密, 无法隐藏蓝牙名称等。
车联网系统架构不完全一致, 车联网信息安全需要根据实际车型进行分析, 确定系统的风险点。 文章根据某车型车联网系统, 进行了风险分析、 信息安全测试用例制定,并根据指定的测试用例进行了相关测试, 发现相关漏洞,并进行了修复。 本文对车联网系统开发进行指导, 形成了相关的开发测试流程, 保障了企业车联网系统的安全性。