本文作者：雷鋒網(wǎng)網(wǎng)絡(luò)安全頻道主筆，李勤

老公，你最近去了什么地方？

啊，我就去上班了啊。

你騙誰(shuí)呢你？你看你的 GPS 記錄，你說(shuō)，你去的這個(gè)地方是不是做大保健的？！你太沒(méi)良心了！

你委屈得想發(fā)誓，低頭一看 GPS 記錄，臥槽，為什么 GPS 上真的顯示的是“天上人間休閑娛樂(lè)會(huì)所”？

青天白日見(jiàn)了鬼，明明去單位上了班，真是跳進(jìn)黃河也洗不清。

只見(jiàn)隔壁老王聽(tīng)見(jiàn)你們的吵架聲偷偷樂(lè)呵著……

如果隔壁老王是個(gè)資深黑客，篡改你的 GPS 記錄完全不是難事。

別說(shuō)篡改 GPS 了，直接控制你的車(chē)車(chē)將你導(dǎo)向溝里，或者讓你的車(chē)在高速行駛中緊急剎車(chē)，謀財(cái)害命也不是沒(méi)可能的事。

這次，雷鋒網(wǎng)編輯并沒(méi)有講故事。這也不是一件新奇事，2014年，黑客破解了某汽車(chē)，讓駕駛員眼睜睜地把車(chē)開(kāi)到水溝里面，當(dāng)時(shí)的駕駛員是一名記者（雖然宅宅只是枚編輯，但是我也怕呀）。

半個(gè)月前，雷鋒網(wǎng)給大家介紹了兩個(gè)男人不用鑰匙就開(kāi)走了一個(gè)女黑客的車(chē)的方法，萬(wàn)萬(wàn)沒(méi)想到，在 BLACKHAT 大會(huì)上，騰訊科恩實(shí)驗(yàn)室又花式演示了一把“第二次攻破特斯拉”的絕技。

隨后，宅宅又發(fā)現(xiàn)，外媒曝出，車(chē)廠商提供的 TCU 有問(wèn)題，會(huì)導(dǎo)致數(shù)據(jù)泄密，還有外媒警告，CAN 總線很危險(xiǎn)，以編程方式控制你的汽車(chē)輕而易舉！

“要么要錢(qián)，要么要命”

綠盟科技的應(yīng)急響應(yīng)中心負(fù)責(zé)人李東宏在一間小會(huì)議室里面帶微笑，說(shuō)出了這個(gè)終極真理。

四類攻擊方法，只為讓你狗帶

李東宏目前負(fù)責(zé)綠盟對(duì)汽車(chē)中控平臺(tái)的攻防分析，并參與車(chē)聯(lián)網(wǎng)安全檢測(cè)標(biāo)準(zhǔn)的制定。

事實(shí)上，在汽車(chē)車(chē)聯(lián)網(wǎng)的安全研究上，作為守護(hù)安全的這一方，防衛(wèi)者第一次比攻擊者可能領(lǐng)先 5 年左右。

眾所周知，汽車(chē)聯(lián)網(wǎng)還是近幾年的“新興事物”，一些機(jī)構(gòu)預(yù)測(cè)，車(chē)聯(lián)網(wǎng)在2020 年才可能蓬勃發(fā)展。所謂比攻擊者領(lǐng)先 5 年，是指在車(chē)聯(lián)網(wǎng)尚未全面普及的情況下，防守方已經(jīng)預(yù)見(jiàn)到攻擊者對(duì)聯(lián)網(wǎng)汽車(chē)的多個(gè)攻擊路徑。

李東宏介紹，他所了解到黑客對(duì)車(chē)聯(lián)網(wǎng)汽車(chē)的攻擊，有四類攻擊面。

1.接觸控制

從黑客的角度看，想控制一臺(tái)汽車(chē)，最簡(jiǎn)單的方式是裝一個(gè)后門(mén)，奪取控制權(quán)。

用李東宏的話來(lái)說(shuō)，這一種很可能是“熟人作案”，因?yàn)檠b后門(mén)首先要開(kāi)車(chē)門(mén)，如果不是撬開(kāi)車(chē)門(mén)，那就是拿到了鑰匙。

話說(shuō)，如果能撬開(kāi)車(chē)門(mén)，為什么還要裝后門(mén)？

事實(shí)上，最早對(duì)特斯拉的攻擊也就是通過(guò) OBD 去做的。

OBD ，就是“車(chē)載診斷系統(tǒng)”。這個(gè)系統(tǒng)隨時(shí)監(jiān)控發(fā)動(dòng)機(jī)的運(yùn)行狀況和尾氣后處理系統(tǒng)的工作狀態(tài)，一旦發(fā)現(xiàn)有可能引起排放超標(biāo)的情況，會(huì)馬上發(fā)出警示。當(dāng)系統(tǒng)出現(xiàn)故障時(shí)，故障燈(MIL)或檢查發(fā)動(dòng)機(jī)(Check Engine)警告燈亮，同時(shí) OBD 系統(tǒng)會(huì)將故障信息存入存儲(chǔ)器，通過(guò)標(biāo)準(zhǔn)的診斷。

通過(guò)向 OBD 接口插入一些外置設(shè)備，比如，通過(guò)這個(gè)接口，連接一個(gè)特殊設(shè)備可以把惡意軟件植入ECU（電子控制單元,又稱“行車(chē)電腦”、“車(chē)載電腦”等），對(duì)車(chē)不太了解的朋友可以直接理解成：ECU 是車(chē)的大腦。

腦子進(jìn)水很可怕，你說(shuō)車(chē)腦子進(jìn)了惡意軟件是什么感受？

▲ODB接口，具體位置：一般在駕駛位置有一個(gè)方向盤(pán)，方向盤(pán)靠近左腿或者靠右腿處有一個(gè)盒子，會(huì)有一個(gè)15、16偵的口。圖片來(lái)源：汽車(chē)之家

除了 OBD 是被黑客瞄中的易入侵區(qū)域，李東宏介紹，汽車(chē)中控臺(tái)也有 USB 接口，如果有人以“聽(tīng)歌”為名，插入一個(gè) U 盤(pán)，而這個(gè) U 盤(pán)又存儲(chǔ)了惡意代碼，車(chē)內(nèi)的系統(tǒng)固件都可能被替換掉。

會(huì)造成什么危害？

中控臺(tái)主要是多媒體，比如，需要聽(tīng)的歌聽(tīng)不了、需要看的視頻看不了，中控臺(tái)還有一個(gè)溫度控制開(kāi)關(guān)，如果你被鎖在車(chē)?yán)?，溫度被升到奇高，怎么辦？

如果中了惡意代碼，這個(gè)惡意代碼可能會(huì)連接到服務(wù)器，個(gè)人數(shù)據(jù)，如 GPS 定位數(shù)據(jù)可能被盜走，你最近開(kāi)車(chē)去過(guò)什么地方一覽無(wú)遺?！崩顤|宏說(shuō)。

雷鋒網(wǎng)編輯不僅捏了把汗，萬(wàn)一是國(guó)家、企業(yè)涉密人員的車(chē)輛，后果不堪設(shè)想。

這不是最可怕的，“害命”也可能發(fā)生在其中。

中控臺(tái)雖然與汽車(chē) CAN 總線之間有隔離，但通過(guò)分析后，也是可以穿透 CAN總線，相當(dāng)于通過(guò)中控臺(tái)控制 CAN 總線的數(shù)據(jù)，讓 CAN 總線癱瘓或者下發(fā)特殊指定。

一個(gè)可怕的場(chǎng)景是，你正在高速行駛中，黑客下發(fā)了一個(gè)緊急剎車(chē)的指令，車(chē)毀人亡。

為什么在中控臺(tái)與CAN總線隔離的情況下，黑客依然可以“穿透”這層網(wǎng)關(guān)隔離？

雷鋒網(wǎng)了解到，這個(gè)網(wǎng)關(guān)會(huì)對(duì)數(shù)據(jù)危險(xiǎn)操作有一個(gè)類似白名單的過(guò)濾機(jī)制，但這個(gè)白名單可能會(huì)被繞過(guò)。

例如，當(dāng)中控臺(tái)發(fā)現(xiàn)危險(xiǎn)操作行為時(shí)，會(huì)把數(shù)據(jù)封在操作中下發(fā)到 CAN 總線，黑客就是利用這點(diǎn)，改變了數(shù)據(jù)內(nèi)容，將可信的內(nèi)容替換成危險(xiǎn)內(nèi)容，從而繞過(guò)了這一層隔離。

還有一種情況就是，隔離網(wǎng)關(guān)在設(shè)計(jì)上有一個(gè)缺陷，會(huì)發(fā)送一個(gè)升級(jí)的數(shù)據(jù)包，讓整個(gè)隔離設(shè)備重新升級(jí)，結(jié)果黑客趁機(jī)讓其安裝了一套屬于黑客的假冒固件。

至此，可能造成車(chē)體整體失靈，真是“要命”。

既然說(shuō)到中控臺(tái)，還有一種可怕的攻擊路徑需要指出。

李東宏介紹，因?yàn)橐院?nbsp;GPS 數(shù)據(jù)不光要存到車(chē)廠的云，還要存到監(jiān)管單位，而中控臺(tái)連接云端，如果黑客把惡意代碼下載到車(chē)的中控臺(tái)中，可以攻擊云端、車(chē)廠、政府機(jī)構(gòu)的監(jiān)管平臺(tái)。

這意味著，這種攻擊已經(jīng)不是針對(duì)個(gè)人“要錢(qián)或要命”這么簡(jiǎn)單，而是發(fā)動(dòng)了大規(guī)模襲擊。

此時(shí)，一個(gè)個(gè)中控平臺(tái)可能成為一臺(tái)臺(tái)肉雞，要搞大事情！

2.近場(chǎng)控制

上文也提到，在《兩個(gè)男人不用鑰匙就開(kāi)走了一個(gè)女黑客》一文中，360獨(dú)角獸團(tuán)隊(duì)演示了在距離車(chē) 50 米處運(yùn)用信號(hào)放大傳輸設(shè)備將鑰匙的微弱信號(hào)“放大”成正常距離的車(chē)鑰匙信號(hào)，欺騙汽車(chē)，讓它誤以為鑰匙就在身邊，車(chē)主正在正常開(kāi)門(mén)。

其實(shí)，這就是一次針對(duì)汽車(chē)的近場(chǎng)攻擊。

還有一類車(chē)是利用手機(jī)的 NFC 功能，充當(dāng)迷你車(chē)鑰匙開(kāi)車(chē)，但是，在手機(jī)接替鑰匙的功能時(shí)，手機(jī)上的 App 需要和車(chē)鑰匙進(jìn)行一次“秘密交接與匹配”，此后手機(jī)才能行使“職權(quán)”。

在這次“秘密交接與匹配”的過(guò)程中，使用的也是 NFC 功能，黑客也可能拿下車(chē)輛的控制權(quán)。

李東宏說(shuō)，這是一次“突襲”。

黑客可能會(huì)攔截這個(gè)信號(hào)，進(jìn)行放大重放，放大重放后就用自己的手機(jī)進(jìn)行注冊(cè)，而你注冊(cè)失敗還以為自己用了個(gè)假手機(jī)。

回到最前面，就算不使用手機(jī) App 代替車(chē)鑰匙，而是使用車(chē)鑰匙（在無(wú)鑰匙功能中，不需要打開(kāi)車(chē)門(mén)，而是靠“心靈的感應(yīng)”），大部分車(chē)鑰匙是單頻認(rèn)證，李東宏認(rèn)為，依然面臨安全威脅。

“我們希望車(chē)鑰匙能進(jìn)行雙頻認(rèn)證。好處就是，比如，左手給你一個(gè)蘋(píng)果，右手會(huì)給你一把鑰匙進(jìn)行驗(yàn)證。兩個(gè)在不同頻段上，這樣對(duì)于攻擊者來(lái)說(shuō)，攻擊成本會(huì)增加。

所有安全需要解決的就是提高攻擊成本，比如，攻擊這輛車(chē)，如果說(shuō)在 3 個(gè)小時(shí)之內(nèi)可以攻擊、破解成功，這就是有效的。如果在一年之內(nèi)才能攻擊成功，這就不叫破解。”

雷鋒網(wǎng)了解到，目前可以同時(shí)發(fā)雙頻信號(hào)的設(shè)備不是太多，需要買(mǎi)到這個(gè)設(shè)備，可能需要定制，而且這個(gè)設(shè)備價(jià)格相對(duì)較高，國(guó)外能發(fā)射穩(wěn)定雙頻信號(hào)的設(shè)備約 1.4-1.5 萬(wàn)元，還沒(méi)有包括天線等其它設(shè)備。

再者，破解鑰匙的唯一序列號(hào)、鑰匙的頻率、滾動(dòng)驗(yàn)證碼算法還需要極其長(zhǎng)的時(shí)間。

3.信號(hào)攻擊

除了這些看上去難度較高的攻擊方法，黑客還有可能對(duì)車(chē)輛信號(hào)進(jìn)行攻擊。

一般來(lái)說(shuō)都是數(shù)據(jù)欺騙，數(shù)據(jù)欺騙主要就是讓駕駛?cè)藛T有一個(gè)錯(cuò)誤認(rèn)識(shí)，比如。本來(lái)胎壓正常的，黑客利用欺騙的技能，讓胎壓顯示為零，這時(shí)車(chē)主就會(huì)下車(chē)。

從信息角度看，看上去不會(huì)產(chǎn)生太大危害。但是從生活角度看，很危險(xiǎn)。

你并不知道，這一次攻擊是圖財(cái)還是害命。

如果是圖財(cái)，趁你下車(chē)之時(shí)，車(chē)內(nèi)物品很可能被搶走，如果是害命，下車(chē)檢查時(shí)，說(shuō)不定綁匪趁其不備將車(chē)主綁架。

還有針對(duì) GPS 的欺騙攻擊。

本來(lái)你要去一個(gè)地址，GPS 被動(dòng)手腳后，將你導(dǎo)航到了一個(gè)可能荒無(wú)人煙的地址，叫天天不應(yīng)，叫地地不靈。

或者本來(lái)在路上高速地行駛，他突然將你帶到溝里……哦，老司機(jī)也翻車(chē)了……

4.遠(yuǎn)程攻擊

李東宏介紹，針對(duì)車(chē)聯(lián)網(wǎng)汽車(chē)的遠(yuǎn)程攻擊主要從 3G、4G 信號(hào)下手。

“我們?cè)谥锌嘏_(tái)上可能會(huì)訪問(wèn)一些網(wǎng)頁(yè)或者訪問(wèn)一些數(shù)據(jù)，攻擊者可以把這個(gè)偽造數(shù)據(jù)下發(fā)給你，比如，你安裝一個(gè)軟件，你認(rèn)為安裝的可能是一個(gè) Key，結(jié)果是黑客把偽造的 Key 發(fā)給你，你就裝到中控臺(tái)上去了?！?/p>

真是偷梁換柱！

通過(guò) 3G、4G 偽造一個(gè)軟件完全替換原版本在李看來(lái)，完全是一個(gè)很容易的操作。

“如果是 3G、4G 信號(hào)，可以通過(guò)偽基站來(lái)劫持，如果是WIFI，則更難，要通過(guò) DNS 劫持，比如科恩團(tuán)隊(duì)有一次破解特斯拉，其實(shí)用的就是 DNS 劫持的方法，劫持之后把控制指令傳到云端，云端拿到授權(quán)后可以直接控制車(chē)輛?！崩顤|宏說(shuō)。

實(shí)際上，使用類似的方法甚至可以用來(lái)劫持飛機(jī)。

李東宏表示，因?yàn)闄C(jī)場(chǎng)是通用網(wǎng)絡(luò)頻道，屬于廣播信號(hào)，對(duì)廣播信號(hào)進(jìn)行欺騙，可能會(huì)導(dǎo)致飛機(jī)的航線發(fā)生變化。但在國(guó)內(nèi)，還沒(méi)有哪個(gè)科研實(shí)驗(yàn)室敢做這種實(shí)驗(yàn)，國(guó)外有人做類似實(shí)驗(yàn)，在一個(gè)國(guó)外網(wǎng)站上，甚至可以看到每一架飛機(jī)的實(shí)時(shí)飛行數(shù)據(jù)。

老司機(jī)要想不翻車(chē)，需要這些保障

前文提到，在汽車(chē)車(chē)聯(lián)網(wǎng)的安全研究上，作為守護(hù)安全的這一方，防衛(wèi)者第一次比攻擊者可能領(lǐng)先 5 年左右。

預(yù)先了解這些攻擊方法，為防守爭(zhēng)取了應(yīng)對(duì)的余地。

李東宏認(rèn)為，防守方法很簡(jiǎn)單：第一，數(shù)據(jù)通道加密；第二，設(shè)備可信任接入，所有設(shè)備都要可信任；第三，安全代理網(wǎng)關(guān)，在中控臺(tái)或者車(chē)體里安裝一個(gè)安全代理網(wǎng)關(guān)，對(duì)所有非正常操作行為進(jìn)行審計(jì)，一旦發(fā)現(xiàn)惡意行為，要么遠(yuǎn)程切斷，要么記錄在案并對(duì)車(chē)主告警。

所謂數(shù)據(jù)通道加密，車(chē)內(nèi)就是對(duì) CAN 總線加密，而車(chē)外就是 3G、4G 網(wǎng)絡(luò)，數(shù)據(jù)通道把整個(gè)車(chē)內(nèi)通信、車(chē)外通信分離開(kāi)。

每個(gè)設(shè)備都有一個(gè)認(rèn)證認(rèn)證碼，在交付時(shí)有一個(gè)認(rèn)證，在認(rèn)證時(shí)，車(chē)上的公鑰加密，植入車(chē)上的私鑰才可以解密。

李還稱，告警層一般設(shè)置在系統(tǒng)最底層，屬于完全封閉的系統(tǒng)，只有廠商可以接觸，安全開(kāi)發(fā)人員根本無(wú)法接觸，同理，黑客也無(wú)法接入。

但是，天下沒(méi)有絕對(duì)安全的系統(tǒng)。

李提醒，謹(jǐn)防內(nèi)鬼。

“為什么通過(guò) ODB 就可以植入惡意代碼？基本都是內(nèi)鬼搞，因?yàn)橥饷娴娜烁静豢赡苓M(jìn)到車(chē)廠里，所以一般這種代碼植入途徑要么是廠商維修，要么是 4S 店維修，要么就是外面小店維修，才會(huì)搞這個(gè)東西?！?/span>

最后上一張李東宏的照片吧，畢竟，他說(shuō)，在白帽子和黑客等群體中，知道這么多種汽車(chē)攻擊及防守技術(shù)的人，不超過(guò) 30 %。

鳴謝綠盟科技Techworld 2017 技術(shù)大會(huì)，干貨十足。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。