▲ 《速度與激情8》片段截圖

雷鋒網(wǎng)按：本文作者為奇虎360企業(yè)安全集團安全服務(wù)JMPESP實驗室資深安全研究員（知乎ID：elknot），研究方向為數(shù)據(jù)驅(qū)動的安全運營。雷鋒網(wǎng)獲授權(quán)發(fā)布文章，如欲轉(zhuǎn)載，請與作者本人聯(lián)系。

《速度與激情8》最近在國內(nèi)熱映，引發(fā)各路影迷廣泛討論。在作者看來，影片涉及到的黑客技術(shù)主要有兩個——天眼（The Eye）和僵尸車隊（Zombie Cars），這兩個東西其實和現(xiàn)實當中兩項比較前沿的安全技術(shù)——汽車及物聯(lián)網(wǎng)安全和攻擊者溯源相關(guān)。雷鋒網(wǎng)摘取了作者針對僵尸車隊的技術(shù)解讀部分并進行了編輯。

▲ 被激活的“僵尸車”

僵尸車隊——汽車及物聯(lián)網(wǎng)安全

首先我們先來說說智能汽車和非智能汽車，智能汽車其實就可以當做一個物聯(lián)網(wǎng)設(shè)備來解決，也就是說智能汽車的攻擊面和其他IoT設(shè)備的攻擊面是差不多甚至更多的。

其實汽車和計算機一樣，內(nèi)部通信依靠總線進行，汽車中的總線就是CAN總線。

CAN網(wǎng)絡(luò)是由以研發(fā)和生產(chǎn)汽車電子產(chǎn)品著稱的德國BOSCH公司開發(fā)的，并最終成為國際標準（ISO 11898），是國際上應(yīng)用最廣泛的現(xiàn)場總線之一。CAN總線協(xié)議目前已經(jīng)成為汽車計算機控制系統(tǒng)和嵌入式工業(yè)控制局域網(wǎng)的標準總線，同時也是車載ECU之間通信的主要總線。當前市場上的汽車至少擁有一個CAN網(wǎng)絡(luò)，作為嵌入式系統(tǒng)之間互聯(lián)的主干網(wǎng)進行車內(nèi)信息的交互和共享。

CAN總線的短幀數(shù)據(jù)結(jié)構(gòu)、非破壞性總線仲裁技術(shù)、靈活的通訊方式等特點能夠滿足汽車實時性和可靠性的要求，但同時也帶來了系列安全隱患，如廣播消息易被監(jiān)聽、基于優(yōu)先級的仲裁機制易遭受攻擊、無源地址域和無認證域無法區(qū)分消息來源等問題。

特別是在汽車網(wǎng)聯(lián)化大力發(fā)展的背景下，車內(nèi)網(wǎng)絡(luò)攻擊更是成為汽車信息安全問題發(fā)生的源頭，CAN總線網(wǎng)絡(luò)安全分析逐漸成為行業(yè)安全專家聚焦點。如2013年9月DEFCON黑客大會上，黑客演示了從OBD-II控制福特翼虎、豐田普銳斯兩款車型實現(xiàn)方向盤轉(zhuǎn)向、剎車制動、油門加速、儀表盤顯示等動作。汽車車內(nèi)CAN網(wǎng)絡(luò)安全問題當前主要通過安全漏洞的分析和各種攻擊手段進行挖掘，因為汽車車內(nèi)網(wǎng)絡(luò)安全的脆弱性和威脅模型的分析尤為關(guān)鍵。

這么說來，只要抓住了CAN總線，我們就相當于是抓住了汽車的神經(jīng)，也就能對汽車進行控制。

▲ 影片中自動駕駛狀態(tài)下的汽車

攻擊CAN總線會引發(fā)什么后果？

第一個后果是失控：CAN總線主要應(yīng)用之一是支持主動安全系統(tǒng)的通信。車輛行駛的時候，主動安全系統(tǒng)將是一把雙刃劍，它們確實發(fā)揮著不可替代的作用，但是考慮到主動安全系統(tǒng)的可操作和有能力調(diào)整正確的輸入，也會引起駕駛者對主動安全系統(tǒng)的完全依賴。因此一個突然的故障會引起不可預(yù)知的危險后果。

為了引發(fā)一個危險的條件，惡意攻擊者將會在CAN總線中注入錯誤幀，讓主動安全系統(tǒng)失靈。例如，在牽引力控制系統(tǒng)里安裝一個攻擊，會造成車輛失去控制等危險。如果攻擊者的目標是自適應(yīng)巡航系統(tǒng)，將會導(dǎo)致汽車不會按駕駛者預(yù)期的那樣停止。

此外，為了最大可能地傷害汽車駕駛者，假如數(shù)據(jù)可以直接從CAN總線上獲取，攻擊者可以根據(jù)特定的條件，觸發(fā)一個DoS攻擊。例如汽車某一特定速度、特定的節(jié)氣門百分比或者是某一確切的GPS位置等。

第二個后果就是勒索：一個惡意攻擊者在CAN總線中某一目標幀中設(shè)置攻擊，這將會導(dǎo)致駕駛者無法控制節(jié)氣門的位置從而不能讓汽車移動。盡管這些不一定會誘發(fā)危險狀態(tài)，但一個以金錢為目的的攻擊者，將會利用車載娛樂系統(tǒng)的漏洞，迫使汽車停止，并在娛樂系統(tǒng)屏幕上顯示消息，讓車主為了重新獲取汽車的操控權(quán)而去付贖金。

第三個可能是盜竊：現(xiàn)在，大部分昂貴的汽車門鎖是通過CAN連接到ECU來控制，通常通過OBD-II端口連接。隔離負責控制鎖/解鎖車門的數(shù)據(jù)幀比逆向主動安全設(shè)備更簡單、更快捷。因此，攻擊者可以在幾分鐘左右隔離負責鎖車門的數(shù)據(jù)幀，編寫他的設(shè)備程序-特定幀的DoS攻擊，然后把設(shè)備插入到OBD-II的接口，阻止車門鎖住。對于一個攻擊者來說，這個攻擊結(jié)果是可能的。通過低成本的花費就能進入到車內(nèi)，隨后就能夠竊取車內(nèi)任何貴重物品。

長期以來，幾乎整個汽車界都有這樣的共識：CAN總線是沒法保護的。

兩方面的原因，其一，ECU的計算處理能力不足；其二，車載網(wǎng)絡(luò)的帶寬有限。有些LIN總線使用的MCU甚至是16bit或8bit，但AES使用的加密算法只能處理16字節(jié)區(qū)塊的數(shù)據(jù)，這意味著很多時候LIN總線根本就是處在“裸奔”的狀態(tài)。

所以汽車安全未來肯定是炙手可熱的一部分。

作者注：本文中的技術(shù)僅供交流，如有疏漏還請大家批評指正。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。