本文作者：雷鋒網(wǎng)網(wǎng)絡(luò)安全頻道主筆，李勤

老公，你最近去了什么地方？

啊，我就去上班了啊。

你騙誰呢你？你看你的 GPS 記錄，你說，你去的這個(gè)地方是不是做大保健的？！你太沒良心了！

你委屈得想發(fā)誓，低頭一看 GPS 記錄，臥槽，為什么 GPS 上真的顯示的是“天上人間休閑娛樂會(huì)所”？

青天白日見了鬼，明明去單位上了班，真是跳進(jìn)黃河也洗不清。

只見隔壁老王聽見你們的吵架聲偷偷樂呵著……

如果隔壁老王是個(gè)資深黑客，篡改你的 GPS 記錄完全不是難事。

別說篡改 GPS 了，直接控制你的車車將你導(dǎo)向溝里，或者讓你的車在高速行駛中緊急剎車，謀財(cái)害命也不是沒可能的事。

這次，雷鋒網(wǎng)編輯并沒有講故事。這也不是一件新奇事，2014年，黑客破解了某汽車，讓駕駛員眼睜睜地把車開到水溝里面，當(dāng)時(shí)的駕駛員是一名記者（雖然宅宅只是枚編輯，但是我也怕呀）。

半個(gè)月前，雷鋒網(wǎng)給大家介紹了兩個(gè)男人不用鑰匙就開走了一個(gè)女黑客的車的方法，萬萬沒想到，在 BLACKHAT 大會(huì)上，騰訊科恩實(shí)驗(yàn)室又花式演示了一把“第二次攻破特斯拉”的絕技。

隨后，宅宅又發(fā)現(xiàn)，外媒曝出，車廠商提供的 TCU 有問題，會(huì)導(dǎo)致數(shù)據(jù)泄密，還有外媒警告，CAN 總線很危險(xiǎn)，以編程方式控制你的汽車輕而易舉！

“要么要錢，要么要命”

綠盟科技的應(yīng)急響應(yīng)中心負(fù)責(zé)人李東宏在一間小會(huì)議室里面帶微笑，說出了這個(gè)終極真理。

四類攻擊方法，只為讓你狗帶

李東宏目前負(fù)責(zé)綠盟對(duì)汽車中控平臺(tái)的攻防分析，并參與車聯(lián)網(wǎng)安全檢測(cè)標(biāo)準(zhǔn)的制定。

事實(shí)上，在汽車車聯(lián)網(wǎng)的安全研究上，作為守護(hù)安全的這一方，防衛(wèi)者第一次比攻擊者可能領(lǐng)先 5 年左右。

眾所周知，汽車聯(lián)網(wǎng)還是近幾年的“新興事物”，一些機(jī)構(gòu)預(yù)測(cè)，車聯(lián)網(wǎng)在2020 年才可能蓬勃發(fā)展。所謂比攻擊者領(lǐng)先 5 年，是指在車聯(lián)網(wǎng)尚未全面普及的情況下，防守方已經(jīng)預(yù)見到攻擊者對(duì)聯(lián)網(wǎng)汽車的多個(gè)攻擊路徑。

李東宏介紹，他所了解到黑客對(duì)車聯(lián)網(wǎng)汽車的攻擊，有四類攻擊面。

1.接觸控制

從黑客的角度看，想控制一臺(tái)汽車，最簡單的方式是裝一個(gè)后門，奪取控制權(quán)。

用李東宏的話來說，這一種很可能是“熟人作案”，因?yàn)檠b后門首先要開車門，如果不是撬開車門，那就是拿到了鑰匙。

話說，如果能撬開車門，為什么還要裝后門？

事實(shí)上，最早對(duì)特斯拉的攻擊也就是通過 OBD 去做的。

OBD ，就是“車載診斷系統(tǒng)”。這個(gè)系統(tǒng)隨時(shí)監(jiān)控發(fā)動(dòng)機(jī)的運(yùn)行狀況和尾氣后處理系統(tǒng)的工作狀態(tài)，一旦發(fā)現(xiàn)有可能引起排放超標(biāo)的情況，會(huì)馬上發(fā)出警示。當(dāng)系統(tǒng)出現(xiàn)故障時(shí)，故障燈(MIL)或檢查發(fā)動(dòng)機(jī)(Check Engine)警告燈亮，同時(shí) OBD 系統(tǒng)會(huì)將故障信息存入存儲(chǔ)器，通過標(biāo)準(zhǔn)的診斷。

通過向 OBD 接口插入一些外置設(shè)備，比如，通過這個(gè)接口，連接一個(gè)特殊設(shè)備可以把惡意軟件植入ECU（電子控制單元,又稱“行車電腦”、“車載電腦”等），對(duì)車不太了解的朋友可以直接理解成：ECU 是車的大腦。

腦子進(jìn)水很可怕，你說車腦子進(jìn)了惡意軟件是什么感受？

▲ODB接口，具體位置：一般在駕駛位置有一個(gè)方向盤，方向盤靠近左腿或者靠右腿處有一個(gè)盒子，會(huì)有一個(gè)15、16偵的口。圖片來源：汽車之家

除了 OBD 是被黑客瞄中的易入侵區(qū)域，李東宏介紹，汽車中控臺(tái)也有 USB 接口，如果有人以“聽歌”為名，插入一個(gè) U 盤，而這個(gè) U 盤又存儲(chǔ)了惡意代碼，車內(nèi)的系統(tǒng)固件都可能被替換掉。

會(huì)造成什么危害？

中控臺(tái)主要是多媒體，比如，需要聽的歌聽不了、需要看的視頻看不了，中控臺(tái)還有一個(gè)溫度控制開關(guān)，如果你被鎖在車?yán)?，溫度被升到奇高，怎么辦？

如果中了惡意代碼，這個(gè)惡意代碼可能會(huì)連接到服務(wù)器，個(gè)人數(shù)據(jù)，如 GPS 定位數(shù)據(jù)可能被盜走，你最近開車去過什么地方一覽無遺。”李東宏說。

雷鋒網(wǎng)編輯不僅捏了把汗，萬一是國家、企業(yè)涉密人員的車輛，后果不堪設(shè)想。

這不是最可怕的，“害命”也可能發(fā)生在其中。

中控臺(tái)雖然與汽車 CAN 總線之間有隔離，但通過分析后，也是可以穿透 CAN總線，相當(dāng)于通過中控臺(tái)控制 CAN 總線的數(shù)據(jù)，讓 CAN 總線癱瘓或者下發(fā)特殊指定。

一個(gè)可怕的場(chǎng)景是，你正在高速行駛中，黑客下發(fā)了一個(gè)緊急剎車的指令，車毀人亡。

為什么在中控臺(tái)與CAN總線隔離的情況下，黑客依然可以“穿透”這層網(wǎng)關(guān)隔離？

雷鋒網(wǎng)了解到，這個(gè)網(wǎng)關(guān)會(huì)對(duì)數(shù)據(jù)危險(xiǎn)操作有一個(gè)類似白名單的過濾機(jī)制，但這個(gè)白名單可能會(huì)被繞過。

例如，當(dāng)中控臺(tái)發(fā)現(xiàn)危險(xiǎn)操作行為時(shí)，會(huì)把數(shù)據(jù)封在操作中下發(fā)到 CAN 總線，黑客就是利用這點(diǎn)，改變了數(shù)據(jù)內(nèi)容，將可信的內(nèi)容替換成危險(xiǎn)內(nèi)容，從而繞過了這一層隔離。

還有一種情況就是，隔離網(wǎng)關(guān)在設(shè)計(jì)上有一個(gè)缺陷，會(huì)發(fā)送一個(gè)升級(jí)的數(shù)據(jù)包，讓整個(gè)隔離設(shè)備重新升級(jí)，結(jié)果黑客趁機(jī)讓其安裝了一套屬于黑客的假冒固件。

至此，可能造成車體整體失靈，真是“要命”。

既然說到中控臺(tái)，還有一種可怕的攻擊路徑需要指出。

李東宏介紹，因?yàn)橐院?nbsp;GPS 數(shù)據(jù)不光要存到車廠的云，還要存到監(jiān)管單位，而中控臺(tái)連接云端，如果黑客把惡意代碼下載到車的中控臺(tái)中，可以攻擊云端、車廠、政府機(jī)構(gòu)的監(jiān)管平臺(tái)。

這意味著，這種攻擊已經(jīng)不是針對(duì)個(gè)人“要錢或要命”這么簡單，而是發(fā)動(dòng)了大規(guī)模襲擊。

此時(shí)，一個(gè)個(gè)中控平臺(tái)可能成為一臺(tái)臺(tái)肉雞，要搞大事情！

2.近場(chǎng)控制

上文也提到，在《兩個(gè)男人不用鑰匙就開走了一個(gè)女黑客》一文中，360獨(dú)角獸團(tuán)隊(duì)演示了在距離車 50 米處運(yùn)用信號(hào)放大傳輸設(shè)備將鑰匙的微弱信號(hào)“放大”成正常距離的車鑰匙信號(hào)，欺騙汽車，讓它誤以為鑰匙就在身邊，車主正在正常開門。

其實(shí)，這就是一次針對(duì)汽車的近場(chǎng)攻擊。

還有一類車是利用手機(jī)的 NFC 功能，充當(dāng)迷你車鑰匙開車，但是，在手機(jī)接替鑰匙的功能時(shí)，手機(jī)上的 App 需要和車鑰匙進(jìn)行一次“秘密交接與匹配”，此后手機(jī)才能行使“職權(quán)”。

在這次“秘密交接與匹配”的過程中，使用的也是 NFC 功能，黑客也可能拿下車輛的控制權(quán)。

李東宏說，這是一次“突襲”。

黑客可能會(huì)攔截這個(gè)信號(hào)，進(jìn)行放大重放，放大重放后就用自己的手機(jī)進(jìn)行注冊(cè)，而你注冊(cè)失敗還以為自己用了個(gè)假手機(jī)。

回到最前面，就算不使用手機(jī) App 代替車鑰匙，而是使用車鑰匙（在無鑰匙功能中，不需要打開車門，而是靠“心靈的感應(yīng)”），大部分車鑰匙是單頻認(rèn)證，李東宏認(rèn)為，依然面臨安全威脅。

“我們希望車鑰匙能進(jìn)行雙頻認(rèn)證。好處就是，比如，左手給你一個(gè)蘋果，右手會(huì)給你一把鑰匙進(jìn)行驗(yàn)證。兩個(gè)在不同頻段上，這樣對(duì)于攻擊者來說，攻擊成本會(huì)增加。

所有安全需要解決的就是提高攻擊成本，比如，攻擊這輛車，如果說在 3 個(gè)小時(shí)之內(nèi)可以攻擊、破解成功，這就是有效的。如果在一年之內(nèi)才能攻擊成功，這就不叫破解?！?/span>

雷鋒網(wǎng)了解到，目前可以同時(shí)發(fā)雙頻信號(hào)的設(shè)備不是太多，需要買到這個(gè)設(shè)備，可能需要定制，而且這個(gè)設(shè)備價(jià)格相對(duì)較高，國外能發(fā)射穩(wěn)定雙頻信號(hào)的設(shè)備約 1.4-1.5 萬元，還沒有包括天線等其它設(shè)備。

再者，破解鑰匙的唯一序列號(hào)、鑰匙的頻率、滾動(dòng)驗(yàn)證碼算法還需要極其長的時(shí)間。

3.信號(hào)攻擊

除了這些看上去難度較高的攻擊方法，黑客還有可能對(duì)車輛信號(hào)進(jìn)行攻擊。

一般來說都是數(shù)據(jù)欺騙，數(shù)據(jù)欺騙主要就是讓駕駛?cè)藛T有一個(gè)錯(cuò)誤認(rèn)識(shí)，比如。本來胎壓正常的，黑客利用欺騙的技能，讓胎壓顯示為零，這時(shí)車主就會(huì)下車。

從信息角度看，看上去不會(huì)產(chǎn)生太大危害。但是從生活角度看，很危險(xiǎn)。

你并不知道，這一次攻擊是圖財(cái)還是害命。

如果是圖財(cái)，趁你下車之時(shí)，車內(nèi)物品很可能被搶走，如果是害命，下車檢查時(shí)，說不定綁匪趁其不備將車主綁架。

還有針對(duì) GPS 的欺騙攻擊。

本來你要去一個(gè)地址，GPS 被動(dòng)手腳后，將你導(dǎo)航到了一個(gè)可能荒無人煙的地址，叫天天不應(yīng)，叫地地不靈。

或者本來在路上高速地行駛，他突然將你帶到溝里……哦，老司機(jī)也翻車了……

4.遠(yuǎn)程攻擊

李東宏介紹，針對(duì)車聯(lián)網(wǎng)汽車的遠(yuǎn)程攻擊主要從 3G、4G 信號(hào)下手。

“我們?cè)谥锌嘏_(tái)上可能會(huì)訪問一些網(wǎng)頁或者訪問一些數(shù)據(jù)，攻擊者可以把這個(gè)偽造數(shù)據(jù)下發(fā)給你，比如，你安裝一個(gè)軟件，你認(rèn)為安裝的可能是一個(gè) Key，結(jié)果是黑客把偽造的 Key 發(fā)給你，你就裝到中控臺(tái)上去了?！?/p>

真是偷梁換柱！

通過 3G、4G 偽造一個(gè)軟件完全替換原版本在李看來，完全是一個(gè)很容易的操作。

“如果是 3G、4G 信號(hào)，可以通過偽基站來劫持，如果是WIFI，則更難，要通過 DNS 劫持，比如科恩團(tuán)隊(duì)有一次破解特斯拉，其實(shí)用的就是 DNS 劫持的方法，劫持之后把控制指令傳到云端，云端拿到授權(quán)后可以直接控制車輛?！崩顤|宏說。

實(shí)際上，使用類似的方法甚至可以用來劫持飛機(jī)。

李東宏表示，因?yàn)闄C(jī)場(chǎng)是通用網(wǎng)絡(luò)頻道，屬于廣播信號(hào)，對(duì)廣播信號(hào)進(jìn)行欺騙，可能會(huì)導(dǎo)致飛機(jī)的航線發(fā)生變化。但在國內(nèi)，還沒有哪個(gè)科研實(shí)驗(yàn)室敢做這種實(shí)驗(yàn)，國外有人做類似實(shí)驗(yàn)，在一個(gè)國外網(wǎng)站上，甚至可以看到每一架飛機(jī)的實(shí)時(shí)飛行數(shù)據(jù)。

老司機(jī)要想不翻車，需要這些保障

前文提到，在汽車車聯(lián)網(wǎng)的安全研究上，作為守護(hù)安全的這一方，防衛(wèi)者第一次比攻擊者可能領(lǐng)先 5 年左右。

預(yù)先了解這些攻擊方法，為防守爭取了應(yīng)對(duì)的余地。

李東宏認(rèn)為，防守方法很簡單：第一，數(shù)據(jù)通道加密；第二，設(shè)備可信任接入，所有設(shè)備都要可信任；第三，安全代理網(wǎng)關(guān)，在中控臺(tái)或者車體里安裝一個(gè)安全代理網(wǎng)關(guān)，對(duì)所有非正常操作行為進(jìn)行審計(jì)，一旦發(fā)現(xiàn)惡意行為，要么遠(yuǎn)程切斷，要么記錄在案并對(duì)車主告警。

所謂數(shù)據(jù)通道加密，車內(nèi)就是對(duì) CAN 總線加密，而車外就是 3G、4G 網(wǎng)絡(luò)，數(shù)據(jù)通道把整個(gè)車內(nèi)通信、車外通信分離開。

每個(gè)設(shè)備都有一個(gè)認(rèn)證認(rèn)證碼，在交付時(shí)有一個(gè)認(rèn)證，在認(rèn)證時(shí)，車上的公鑰加密，植入車上的私鑰才可以解密。

李還稱，告警層一般設(shè)置在系統(tǒng)最底層，屬于完全封閉的系統(tǒng)，只有廠商可以接觸，安全開發(fā)人員根本無法接觸，同理，黑客也無法接入。

但是，天下沒有絕對(duì)安全的系統(tǒng)。

李提醒，謹(jǐn)防內(nèi)鬼。

“為什么通過 ODB 就可以植入惡意代碼？基本都是內(nèi)鬼搞，因?yàn)橥饷娴娜烁静豢赡苓M(jìn)到車廠里，所以一般這種代碼植入途徑要么是廠商維修，要么是 4S 店維修，要么就是外面小店維修，才會(huì)搞這個(gè)東西。”

最后上一張李東宏的照片吧，畢竟，他說，在白帽子和黑客等群體中，知道這么多種汽車攻擊及防守技術(shù)的人，不超過 30 %。

鳴謝綠盟科技Techworld 2017 技術(shù)大會(huì)，干貨十足。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。