0x01 前言

隨著云計算的發展，不單單針對主機、數據庫、網站的漏洞利用攻擊愈來愈多，且隨著汽車的智能化、網聯化、自動化快速發展，汽車的安全問題正面臨前所未有的復雜挑戰，帶來暴露面引致汽車攻擊面的增加，不少漏洞遭紕漏，其中包括埋藏在系統、設備中多年未被發現的漏洞，影響面非常廣泛。

因此，汽車安全也值得關注。

我們來看看，隨著汽車的智能化、網聯化、自動化快速發展給汽車安全帶來了哪些變化，同學我個人覺得汽車的安全問題正面臨前所未有的復雜挑戰，其中最大挑戰是網聯化帶來暴露面增加。

那么，要攻擊一輛汽車，物理接觸已非必經之路。從網絡安全角度看，智能網聯汽車身處“人車路云”構成的復雜網絡中，每一個點、每一個暴露面，包括產生的大量數據都可能成為風險點、“投毒點”。

當汽車進入智能網聯時代，數據不僅成為驅動汽車發展的重要價值點，還深度融入社會生活的方方面面，成為重要的基礎資源。

這些車具有網絡連接功能，通常還具有Wi-Fi熱點功能用于和其他設備分享車載網絡連接。具有網絡連接功能的汽車通常還會擴展出其他功能來充分利用網絡連接帶來的優勢，例如車禍自動報警求救、遠程控制、遠程升級[Over the Air（OTA）Update]、安全預警等。

我們來看看汽車的攻擊知識圖譜，如下：

這張圖是從攻擊者視角車聯網安全會關注的點，我們來看看主要的攻擊點。比如說車機是很主要的入口，WIFI、藍牙、USB，然后還有Tbox，負責與云端后臺通信，然后再往底層有一個網關，前幾年可能還是傳統的防火墻，現在可能會變成智能網關這樣的概念，下面就是不同的域，基本走的是CAN協議，以及包括周邊的一些設施，比如說充電樁、ADAS，V2X等等

1.1 常見的汽車攻擊特征

1）物理接觸
通過OBD端口向連接的CAN總線發送未授權指令到CAN總線，從而非法控制車輛。
2）近身攻擊
利用移動應用的安全漏洞，破解WIFI或者藍牙，發送未授權指令到CAN總線，從而非法控制車輛。
3）遠程控制
通過破解WIFI進入車載娛樂信息系統，再利用車載系統的漏洞進行權限升級，刷寫惡意固件，發送未授權指令到CAN總線，從而非法控制車輛。

0x02 網聯汽車

聯網的車（Connected Car）：又稱網聯汽車，即這些車具有網絡連接功能，通常還具有Wi-Fi熱點功能用于和其他設備分享車載網絡連接。具有網絡連接功能的汽車通常還會擴展出其他功能來充分利用網絡連接帶來的優勢，例如車禍自動報警求救、遠程控制、遠程升級[Over the Air（OTA）Update]、安全預警等。

0x03 車端基礎概念知識

3.1 V2X

V2X（Vehicle to X）通信：表示車與X通信，X可以是車（Vehicle）、路（Road）或者其他相關基礎設施，相應地也就有了V2V（Vehicle to Vehicle，車與車通信）、V2I（Vehicle to Infrastructure，車與基礎設施如道路、服務器等通信）、V2P（Vehicle to Pedestrian，汽車與行人通信）等概念。V2X的典型應用有左轉輔助、緊急剎車提示、闖紅燈警告、過彎速度警告、施工路段提醒、實時天氣信息提醒等。

3.2 高級輔助駕駛系統

高級輔助駕駛系統（ADAS，Advanced Driver Assistance System）：ADAS是在駕駛過程中輔助駕駛員的系統，它的功能包括安全告警功能、自適應控制功能、信息提示功能等，可在通過傳感器檢測到可能的危險時對駕駛員發出告警或者接管汽車某些控制功能（比如緊急剎車功能），以及根據環境自動對汽車的某些功能進行控制，比如根據環境亮度自動調節車燈亮度、自適應巡航控制、盲點警告、自動變道

3.3 自動駕駛汽車

自動駕駛汽車（Automated Driving Car）：自動駕駛汽車依靠人工智能、視覺計算、雷達、監控裝置和全球定位系統的協作，讓計算機在沒有任何人主動操作的場景下，通過汽車線控（X-By-Wire）系統自動安全地操作機動車輛。

自主駕駛汽車（Autonomous Car）：作者刻意避免使用自動駕駛汽車這個概念，是想將現在的汽車所具備的智能駕駛功能與自動這個概念做些區別，自動可以定義為根據預先設定的程序對環境做出預先設定的反應，而自主駕駛汽車能體現出汽車可以在一定的權限內自主做出一些決定，因為汽車采用了很多人工智能里的學習算法，這些算法模型會在汽車整個生命周期中不斷自我學習升級，會越來越“聰明”。

汽車在智能化、聯網化、自動化等趨勢下必須要考慮到被黑客攻擊的可能性，汽車采用或者將要采用的技術如傳感器、無線網絡連接、云服務器等都可能遭到黑客攻擊

3.4 汽車網絡安全

為什么汽車網絡攻擊這個話題近幾年這么火？是什么造成汽車受到網絡攻擊的威脅？面對汽車網絡安全威脅我們可以做些什么？

3.4.1 汽車電子及網絡系統的發展

縱觀汽車一百多年的發展歷史，表面上看汽車沒有太大的變化，一個內燃機、一個變速器、四個輪子，加上通用的操作接口（一個方向盤、一個剎車踏板、一個油門踏板、一個離合器、一個變速桿等）。但其實在過去這幾十年，汽車內部的控制系統發生了巨大變化。今天的汽車已經不再是簡單的機械系統，今天的汽車配備了各種各樣的電子控制模塊（ECU，Electronic Control Unit）及傳感器。這些電子控制模塊相互協同，通過各種傳感器和執行器對車輛的各部件、道路狀況、駕駛員和乘客等進行持續的感知和控制。傳統汽車上由機械控制的部件越來越依賴于電子系統來輔助控制（即線控，X-By-Wire），前者甚至會被后者取代。

傳統的汽車生產廠家其實一直非常重視汽車安全的研究，在汽車的安全方面投入了大量的人力物力進行研發。他們關注的往往是汽車本身的性能安全及操作安全，所以開發了很多功能來保證駕駛安全，如剎車防抱死系統（ABS）、安全氣囊、預緊安全帶等，這些都是安全功能（Safety Features），但是他們沒有對汽車在越來越電子化、網絡化的趨勢下是否會遭受到同樣可以威脅到汽車安全的網絡攻擊（Cyber Attack）引起足夠重視。隨著現代汽車集成越來越多的復雜的網絡服務和通信功能，汽車所暴露的攻擊面也越來越大，例如通過標配的OBD接口可以直接訪問汽車內部網絡，多媒體系統與汽車控制器內網之間的接口、藍牙、Wi-Fi、SubGHz、蜂窩網（GPRS、3G、4G）等都提供了潛在的汽車內網入口。從網絡的另一端來看，聯網后的汽車和我們的PC或手機沒有太大區別，將要面對來自世界任何地方的黑客的考驗。

在功能不斷增多，網絡連接越來越普遍的發展趨勢下，我們要看到汽車在這個發展過程中會暴露出越來越多的攻擊點，并提出相應的預防措施，因為汽車不只像我們的個人電腦，汽車遭受網絡攻擊后可能會威脅到駕駛員的生命安全

3.4.2 汽車網絡安全威脅的原因

原因有很多，如下列出部分原因

• 設計之初缺乏安全考慮

• 越來越廣泛和深入的網絡化

• 越來越多的功能依賴軟件控制

3.5 汽車網絡安全攻擊面

安全是一個體系，需要從系統的角度來保護，就像木桶原理一樣，任意一個環節都不能出錯。

從兩個角度分析汽車攻擊向量

• 技術能力

• 可操作性

技術能力是指我們假設攻擊者了解目標車輛及攻擊者有能力開發出針對目標車輛的惡意利用。

可操作性是指攻擊者通過某攻擊向量發起攻擊需要克服的條件限制。也就是說，可以通過某方式來攻擊，但是要這樣攻擊需要有條件限制（比如通過 OBD 接口來攻擊就需要物理進入汽車）。這些限制條件可以分為三種：間接物理訪問、短距離無線訪問和遠距離無線訪問。

3.5.1 間接物理攻擊面

汽車的眾多攻擊面中最普遍的攻擊面就是間接物理攻擊面。之所以稱其為間接物理攻擊面，是因為通過這些攻擊面發起攻擊通常涉及對與這些攻擊面進行交互的設備、媒介進行攻擊，例如要通過OBD或者播放器進行攻擊就要對診斷設備、多媒體光盤等進行惡意修改。

• OBD-II

OBD是在線診斷接口（On Board Diagnostic interface），是汽車上最重要的一個物理接口，汽車維修人員可以使用專用診斷設備通過這個接口讀取汽車的運行狀態數據、進行主動測試（例如控制噴油器或者點火器）等功能，但是攻擊者也可以通過這個接口直接訪問汽車內網關鍵的CAN總線進而完全控制汽車的物理功能，造成威脅，OBD盒子通常利用蜂窩網與服務器通信，或者利用藍牙或Wi-Fi與手機通信，再由手機將數據傳給服務器。這些通信鏈路如果被攻擊就會使攻擊者獲得OBD接口的訪問權，進而對汽車發起攻擊。

PS：控制器局域網

CAN（Controller Area Network）是控制器局域網的英文縮寫，CAN的誕生只是為了實現更大范圍的協同功能和全局控制。

• 娛樂系統

汽車娛樂系統會與光盤、USB 接口、手機等進行交互，幾乎所有的汽車都具有這些接口，光盤播放器可以解碼音頻、視頻等，通過USB等接口用戶可以播放可移動存儲設備里的多媒體文件、升級汽車軟件等，一些汽車還允許通過手機進行屏幕投射，如支持Android Auto、蘋果CarPlay等的汽車。

攻擊者可能通過在光盤或者其他可移動設備中植入惡意程序，然后通過社會工程學的方式說服用戶播放惡意光盤、插入惡意 U 盤等。攻擊者還可能通過攻擊用戶的手機來安裝惡意程序。

現代汽車的娛樂系統還具有Wi-Fi、藍牙、蜂窩網絡連接等功能，這些也是非常危險的攻擊入口，但這些是無線攻擊入口，但是現代汽車的娛樂系統不是孤立的模塊，而且很多娛樂系統都與CAN總線相連，且采用了Linux或Android操作系統的娛樂系統，都存在被攻擊。

3.5.2 短距離無線攻擊面

間接物理訪問有一系列缺點，如操作復雜、無法控制攻擊時間（例如CD什么時候播放取決于用戶）等，而短距離無線攻擊要靈活得多。汽車的短距離攻擊向量包括藍牙、Wi-Fi、無鑰匙進入、RFID、胎壓管理系統，以及DSRC[專用短距離通信（Dedicated Short Range Communication），專為汽車安全應用通信而制定]等，對于這些攻擊向量我們假設攻擊者可以獲取到對應的收發設備在汽車附近的收發數據。

• 藍牙

• 無鑰匙進入系統（PKE 鑰匙）

• FID＆Hitag（廣泛采用的一種被動RFID，類似雙因子認證）

• 胎壓管理系統TPMS

• Wi-Fi

• 用短距離無線通信DSRC或V2X

3.5.3 遠距離無線攻擊面

汽車上的遠距離攻擊向量包括 GPS、衛星接收機、數字廣播接收機等公用的通信鏈路，還包括蜂窩網、遠程協助系統（如OnStar）、遠程控制系統（如Jeep Uconnect和寶馬ConnectedDrive）等專用的通信鏈路。這些遠距離攻擊向量是最大的威脅，因為黑客可以在任何地方發起攻擊。

3.6 物聯網時代的汽車電子

在物聯網時代，所有接入網絡的設備都面臨安全威脅

除了汽車內網以外，汽車和其他物聯網設備有很多共通的地方，例如利用了共同的網絡基礎設施，采用了相同的網絡架構，如果發現了公共的網絡基礎設施的漏洞，那么這些漏洞非常有可能同時影響到汽車和其他物聯網終端的安全。

汽車是由許多子系統組成的一個大系統

上圖中的每個子系統都由單獨的或共享 ECU 進行控制，這些 ECU 相互之間又經過汽車內部網絡（如CAN）相互連接，共同實現對汽車的整體控制

3.6.1 什么是ECU？

ECU 類似于我們的個人電腦，是一個閉環控制系統。個人電腦通過鍵盤、鼠標等輸入設備感知用戶的意圖或命令，并去驅動顯示器、喇叭等輸出設備執行命令，用戶通過監測輸出設備看是否達到控制預期。如果沒有達到，就修正輸入設備的輸入最終實現目的，整個控制過程形成一個閉環。ECU 也是一樣的道理，它通過傳感器采集到被控制設備的各種參數（比如壓力、轉速、車速等），如果這些參數不符合要求則驅動執行器去改變這些參數，這樣就形成了一個閉環控制系統。

通常我們所說的ECU指的不是某一個具體模塊，而是指一類模塊，是一個統稱，比如控制發動機的ECU叫ECU（Engine Control Unit）或者EMU、控制變速器的ECU叫ETC（Electronic Transmission Control）等，這些都稱為ECU，所以將來看到某些資料里提到某模塊縮寫時，要根據上下文判斷具體是在講什么。例如，要根據上下文分清楚資料里提到的ECU到底是指發動機控制單元還是泛指電子控制單元。汽車的某些功能需要控制各個功能模塊的ECU協同工作才能實現，比如電子穩定控制系統（ESP，Electronic Stability Control）。

3.6.2 V2V 需要保護嗎？

V2V 網絡需要數據交換，數據交換的車參與主體必須要能夠信任對方，這就要求接收數據的V2V設備能夠實時地對收到的數據進行驗證。
那么此時，我想大家應該也能想到，V2V系統是否需要擁有能抵御來自內部和外部的攻擊了吧？

需保護部分：

（1）通信[傳輸媒介、傳輸車輛消息或數據，證書（后面講解），以及其他數據交換所依賴的模塊]，例如前面提到的V2V安全應用，如果攻擊者可以偽造這些告警數據，將會導致安全隱患。

（2）設備（車載設備、路基設備等）。要保證通信安全，勢必會涉及前面介紹的加密、證書等安全機制，設備中存儲著證書、密碼等敏感信息，因此需要保護好。

（3）運營組織（如管理后臺、V2I 基礎設施等），通過管理后臺來攻擊可能造成很大的影響，就像已經出現過的針對國內某品牌汽車的管理后臺進行攻擊的案例表明的那樣，攻擊者可以通過管理后臺打開車門，獲取車輛信息、車主信息等。

3.7 在線診斷系統（OBD）

由于OBD初期是為排放測試而生，所以排放相關數據必須通過DLC提供，大多數廠家將DLC作為查詢或診斷汽車數據的唯一接口，不僅通過OBD接口傳輸與排放相關的數據，還利用其實現其他功能，通過OBD接口可以訪問發動機控制單元ECU的數據，這些數據可以為汽車故障診斷提供非常有用的信息。

此時，我們可以看出通過OAD接口可以請求自定義的數據，由此看出OBD是一個潛在攻擊點，原因是通過OBD可以對汽車進行控制。

通過OBD獲取的信息量可能因為不同的汽車型號而不同，最早的OBD在檢測到故障時只是簡單地點亮故障燈而不提供具體的故障信息，而現代的OBD提供了一個標準的數字通信接口（也就是常說的OBD接口）來獲取汽車的更多實時數據及一些標準的診斷故障碼（DTC，Diagnostic Trouble Code），這些數據一般都是通過汽車解碼器（或者叫診斷儀）連接OBD接口來獲取的。這樣車主或者維修人員就可以快速定位故障。

OBD-II是OBD1的升級版，OBD標準除了規定了數據接口（DLC，Data Link Connector，也就是OBD接口）的引腳、數據通信協議、消息格式等，DLC有專門的電源引腳為解碼器提供電源，OBD-II還提供了一個可擴展的故障碼列表，可根據提供的標準來查詢任何汽車ECU數據以及可對ECU 固件進行篡改。

3.8 汽車總線協議

汽車內網采用了多種協議，例如FlexRay、MOST、CAN、LIN等，這些協議的速率和成本不同，因此有各自的應用場景，如圖6-1所示。例如，MOST常用于多媒體系統中高速傳輸數據，FlexRay用于實時性要求較高的X-By-Wire，CAN常用于連接控制器，LIN則用于門窗開關等。

3.8.1 為何使用高低速CAN總線呢？

為了節約成本（例如：發動機系統的總線對數據的傳輸率要求就比舒適系統的要求高，而舒適系統的總線一般離連接設備較遠，比較更容易收到干擾或損壞），不同子系統采用了不同速率的總線（高速CAN總線和低速CAN總線）

高速CAN總線（High Speed CAN，CAN-C）：CAN-C的標準是ISO11898-2，速率是 125bit/s 到 1Mbit/s，因此這個速率可以滿足驅動系統的實時性數據傳輸要求。CAN-C經常被用于連接以下子系統：

· 發動機控制單元

· 變速器控制單元

· 車身穩定控制

· 儀表系統

低速CAN總線（Low Speed CAN，CAN-B）：CAN-B的標準是ISO11898-3，速率是 5～125kbit/s，對汽車舒適系統和車身控制系統（如天窗、車門等）的一些應用來說這個速率是足夠的，CAN-B應用的例子如下：

· 空調系統（AC）

· 座椅調節

· 電動車窗

· 天窗控制

· 后視鏡調節

· 燈光系統

· 導航系統控制

我們之前提供CAN 總線也被應用于汽車診斷系統，汽車的各個ECU(電子控制單元)通過跟CAN總線連接，那么診斷汽車的設備可以直接接收診斷所需的數據。

有些ECU還可能和多條總線相連，ECU之間通過發送CAN數據包進行通信。CAN數據包是廣播到網絡上每個ECU的，而且CAN數據包沒有源地址和目的地址，只有一個消息ID，收到數據的ECU根據這個ID判斷是否對這個數據感興趣，從而傳輸到應用層進行處理。因此，如果攻擊者取得了CAN總線的訪問權，他很容易就可以監聽網絡上的數據或者偽造數據。同時，也提高了逆向分析的門檻，因為很難直接判斷到底是網絡上哪一個ECU發出了某個ID的數據，導致溯源困難。

3.8.2 CAN 協議特點

• 去中心

CAN協議不需要中央控制節點來協調通信

• 基于消息的尋址

CAN不對網絡中的節點進行尋址而對消息進行尋址，每個消息都有一個消息ID，根據ID判斷是什么數據（例如速度消息、車窗控制消息等），但是各ID的消息里也可以有多個信號，所以每個節點發送消息時都是廣播的，接收節點只接收那些感興趣的ID的消息。

3.8.3 CAN消息協議

CAN總線上傳輸的有以下4種幀

• 數據幀：消息中包含發送節點的數據（如發動機轉速）

• 遠程幀：一個節點向其他節點請求數據

• 錯誤幀：當一個節點檢測到錯誤時，將發送錯誤幀通知其他節點

• 超載幀：當一個節點無法及時處理數據時，即正在處理之前發送的數據，發送這種幀來告訴其他節點延遲發送下一個數據

3.8.4 CAN的上層協議

3.8.4.1 ISO-TP

ISO-TP 是CAN的上層協議用于發送大于8個字節的數據

3.8.4.2 CANopen

CANopen 是一種架構在控制局域網絡上的高層通信協議

當傳輸數據發生沖突時，CAN總線的仲裁機制會使COB-ID最小的信息繼續傳送，不用等待或重傳。COB-ID的前4位是CANopen的功能碼，因此數值小的功能碼表示對應的功能重要，允許的延遲時間較短。

CANopen設備間的通信可以分為三種通信模型

• 主從（master/slave）模型：一個CANopen設備為主設備（master），負責發送或接收其他從設備（slave）的數據

• 客戶端服務器（client/server）模型：在SDO協定中，SDO 客戶端（client）將對象字典的索引及子索引傳送給 SDO 服務器，因此會產生一個或數個請求數據（對象字典中，索引及子索引對應的內容）的SDO封包

• 生產者/消費者（producer/consumer）模型：數據產生者與數據消費者，模型采用了心跳信號（心跳協議）

• 心跳協議（Heartbeat Protocol）用來監控網絡中的節點及確認其正常工作。心跳信息的生產者（一般是slave設備）周期性地送出功能碼1110、ID為本身節點ID的信息，信息的資料部分有一個表示節點狀態的位。

心跳信息的消費者負責接收上述資料，若在指定時間（于設備的對象字典中定義）內，消費者均未收到信息，可采取相關行動（例如，顯示錯誤或重置該設備）。

由一個生產者送出數據給消費者，同一個生產者的數據可能給一個以上的消費者。又可分為推送和拉取兩種：

• 推送（push-model）：生產者會自動送出數據給消費者。

• 拉取（pull-model）：消費者需送出請求信息，數據生產者才會送出數據。

3.8.5 統一診斷服務

UDS 規定了診斷系統的要求，它定義了一系列診斷服務（service），這些診斷服務允許診斷儀（client 客戶端）控制ECU（server服務器）的診斷功能，這些功能包括電子燃油噴射、自動變速箱和ABS系統，而這些控制單元都是通過車上的串行數據鏈路（如CAN總線）連接起來的。說它是獨立于數據鏈路層的也就是說它可以基于各種數據傳輸協議實現，如基于CAN、Wi-Fi、FlexRay等?；贑AN的UDS的具體實現標準是ISO15765-3。

3.9 CAN分析工具及逆向分析方法

要對汽車發起攻擊，攻擊者要通過CAN總線使汽車執行剎車、轉向等危險操作前了解CAN總線上的控制數據，這就需要對CAN數據進行逆向分析，破解控制協議。

CAN 協議的分析可以使用汽車行業所采用的標準工具。

例如，VehicleSpy、BusMaster、CANSpy等，還有一些安全研究人員使用的開源工具如CANToolz。

• 1．VehicleSpy

VehicleSpy是美國英特佩斯控制系統有限公司的產品，是一款集成了診斷、節點/ECU仿真、數據獲取、自動測試和車內通信網絡監控等功能的工具，支持標準的CAN數據庫（即．dbc 文件），與配套的接口適配器硬件結合還可以支持 CAN 以外的其他協議，如FlexRay、LIN、汽車以太網等。

它支持的硬件有很多，分析CAN協議使用ValueCAN就可以。能同時查看、篩選、分類、定制和記錄多種總線網絡的信號和消息。它的自動消息高亮顯示能準確清晰地指示車輛總線上正在變化的數據，這在對CAN進行逆向分析時非常方便。消息編輯界面能讓用戶方便地設定汽車網絡通信的發送或接收消息和信號。VehicleSpy還有非常強大的圖形化數據分析功能，包括復合Y軸、復合X軸、數據文件重疊、圖表、復制到剪貼板、多種指針儀表等

VehicleSpy還支持腳本編程，功能非常強大，具體可以查看其用戶手冊。

• 2．BusMaster

BusMaster是一款開源的免費軟件，支持多家廠商的硬件，例如Kavaser、Vector等廠家的硬件。圖6-13所示為BusMaster支持的硬件。

BusMaster支持CAN數據的重放、記錄、圖形化顯示、模擬，以及加載CAN數據庫（但不是標準的DBC文件而是后綴名為．dbf的文件）等，功能非常強大。由于它是免費的，所以非常適合入門學習。Kavaser Leaf Light與BusMaster一起使用非常穩定

• 3．SocketCAN

SocketCAN是大眾公司向Linux內核貢獻的CAN驅動及協議棧實現，支持虛擬CAN設備、內置CAN芯片、USB或者串口CAN接口設備。

傳統的Linux CAN驅動程序采用的是字符設備模型，通常情況下只支持單個進程發送或者接收CAN數據。SocketCAN采用的是網絡設備模型

• 4．CANToolz

CANToolz又叫YACHT（Yet Another Car Hacking Tool），是一個分析CAN和設備的框架。該工具基于不同的模塊組裝在一起，可以被安全研究人員和汽車業/OEM的安全測試人員用來進行黑盒分析等，可以使用 CANToolz 發現電子控制單元（ECU）、中間人攻擊測試、模糊測試、暴力破解、掃描或R＆D測試和驗證。

3.10 LIN總線

在汽車內，還有許多ECU的控制并不需要CAN這樣高速率和高安全的通信，本地互聯網 LIN 就是為適應這類應用而設計的低成本解決方案。LIN 是一個公開的協議，它基于SCI（UART）串行通信的格式，結合了汽車應用的特點。

LIN的傳輸速率最高可到20kbit/s，主要受EMI和時鐘同步的限制。LIN 器件很常見，幾乎所有的 IC 都帶有 SCI（UART）接口，LIN很快就在車內低端控制器領域取得領先地位。典型的LIN應用有車門、后視鏡、導向輪、馬達、照明及其他智能傳感器。LIN不但定義了物理層和數據層，還定義了相關的應用軟件層。

LIN支持單線雙向通信，采用廉價的由RC振蕩器驅動的單片機，可以省掉晶體振蕩器或陶瓷振蕩器的費用。但在時間和軟件上卻要付出代價，每條報文必須經過一個自動確定波特率的過程。LIN協議支持最高20kbit/s的傳輸速率，以及一個低功耗休眠模式，此時總線將被關閉，不再消耗汽車電池。采用8位單片機并結合外部或內部RC有助于降低系統成本，減少PCB實際的面積。

當任意一個節點將總線拉低時，總線處于低電平，意味著總線進入占用狀態；當所有節點都使總線浮空時總線處于電池的電壓，意味著總線處于非占用狀態（Recessive State）；在空閑狀態下浮空的總線通過電阻被上拉到高電平?？偩€工作在9V～18V的電壓下，但所有連接到總線上的器件必須能承受40V的電壓。一般情況下，微控制器通過線路驅動器或接收器與總線隔離?？偩€上的每一個節點被上拉電阻上拉到Vbat（電池電壓），主節點通過一個1kΩ的上拉電阻上拉，而從節點則通過一個阻值為20kΩ～47kΩ的上拉電阻上拉，通常是30kΩ?？偩€最大長度為40米。

位錯誤：正在發送的節點應該對希望發送的數據與總線上實際出現的數據進行比較，控制器必須等待足夠時間以確保總線對發出的數據做出反應，然后才可以測試這一數據。假定總線響應信號的最小邊沿變化速率為1V/μs，最大總線電壓為18V，那么發送器應等待18μs后才可進行測試。

3.11 MOST總線

• MOST：媒體導向系統傳輸（MOST，Media Oriented Systems Transport）是一種用于汽車的高速多媒體網絡技術，可以用于汽車及其他領域。串行MOST總線采用環形拓撲，同步數據傳輸機制，采用光纖傳輸音頻、視頻等。

MOST主要用于汽車的信息娛樂系統的聯網，例如CD播放器、收音機等，除了這些還有更新的功能（如DVD視頻播放等），這些都需要較高的數據傳輸速率。

信息娛樂系統對數據傳輸的速率要求較高，例如傳輸音頻、視頻等多媒體數據要求數據發送方和數據接收方支持較高的傳輸數據速率及較準確的同步性。另外，要將MOST應用于汽車這種高電磁干擾的環境中還要求其滿足電磁兼容性、抗干擾性等。

MOST 特點：

• MOST總線幾乎只用于影音娛樂系統的連接

• MOST總線最多可以連接64個設備

• MOST有多個版本，不同版本的速率不同：MOST25的速率是24.8Mbit/s，MOST50的速率是50Mbit/s，MOST150的速率是150Mbit/s。

• MOST采用環形拓撲

• MOST總線的信道分為控制、同步和異步3種。

• MOST 總線系統中一個節點壞掉就會癱瘓整個網絡，所以可以采用直接旁路某節點的方式檢查故障，MOST節點的接口可以被拔掉進行旁路。

3.12 FlexRay 高速總線

FlexRay：FlexRay是高速總線，在汽車上主要用于開環或閉環控制系統，主要特點是可靠性高、容錯性好、實時性好。主要用于對可靠性和實時性要求比較高的應用場景，如電控轉向、電控剎車、電控驅動等系統、電控油門，以及其他主動安全系統。這些系統可能沒有機械備用系統，也就是說，如果電子系統故障將無法補救，所以對可靠性要求較高，并且X-By-Wire是一種趨勢

靜態部分使用TDMA（Time Division Multiple Access）方法，每個節點會均勻分配時間片，每個節點只有在屬于自己的時間片里才能發送消息，即使某個節點當前無消息可發，該時間片依然會保留（也就造成了一定的總線資源浪費）

靜態部分使用TDMA（Time Division Multiple Access）方法，每個節點會均勻分配時間片，每個節點只有在屬于自己的時間片里才能發送消息，即使某個節點當前無消息可發，該時間片依然會保留（也就造成了一定的總線資源浪費）

3.12.1 FlexRay拓撲

點對點：這是最簡單的配置，即兩個FlexRay節點直接相連，最大距離為24米。

總線結構：FlexRay系統配置為總線結構時可以支持4～22個節點，任意兩個節點間的距離小于24米。還有星形、混合型、級聯型等結構。

3.12.2 FlexRay硬件

FlexRay節點由主控制器（Host）、通信控制器（Communication Controller）和總線驅動器組成，每個節點還可能包括總線保護器（BUS Guardian）用于監控總線驅動器。

在Metasploit Framework 6大模塊中有一個Payload模塊，在該模塊下有Single、Stager、Stages這三種類型，Single是一個all-in-one的Payload，不依賴其他的文件，所以它的體積會比較大，Stager主要用于當目標計算機的內存有限時，可以先傳輸一個較小的Stager用于建立連接，Stages指利用Stager建立的連接下載后續的Payload。Stager和Stages都有多種類型，適用于不同場景。

FlexRay采用的傳輸介質是雙絞線，屏蔽和非屏蔽的都可以。通信控制器用于實現FlexRay協議的功能（如同步、調度、控制總線訪問等）?？偩€驅動器的功能是將比特流轉換為電平信號發送到總線上或者將總線上的電平信號轉換為比特流。總線監控器負責控制節點在允許通信的情況下才能訪問總線。

3.12.3 FlexRay數據幀格式

FlexRay 在每個周期的靜態段或者動態段的時間槽中進行數據傳輸所采用的實際數據報文包含幾個部分

FlexRay幀結構

FlexRay的每個數據包可以傳輸254個字節的數據（因為數據長度域只有7個比特，而且FlexRay的載荷數據總是以2個字節組成的字為單位進行傳輸的）

案例一

假設，如果我們能入侵車機就能訪問CAN IHS（中速CAN）和CAN-C（高速CAN）網絡上的ECU。

可以，嘗試把信息發送到所有的ECU上，而這些ECU控制著車輛的各種物理特性。

最后能入侵車機后，并沒能直接訪問CAN總線而是還需要利用漏洞更新一個固件。

被動防盜系統（PATS）

汽車的點火鑰匙中都植入了一個小芯片，與車輛上的傳感器通信。

胎壓監測系統（TPMS）

汽車上每個輪胎都有一個胎壓傳感器，會時刻測量胎壓并把數據通過無線傳輸給對應的ECU。

遙控進入（RKE）

無鑰匙進入，也就是遙控鑰匙中有一個短距離的無線收發器，可以與車輛上的ECU 通信，這個無線電收發器會發送認證信息數據給汽車，然后汽車會判斷這些認證信息是否有效，從而決定是否執行上鎖、解鎖和啟動引擎等指令。

0x04 遠程攻擊入口

攻擊者可能選擇的一些切入點。很多人在看到這些項目時想到的都是各種技術術語，但是對于攻擊者來說，每項與外界交互的技術都是一個潛在的攻擊切入點。

• 攻擊入口及對應的總線

4.1 藍牙

大多數汽車都能夠通過藍牙與設備同步數據，如打電話、發短信、播放音樂等，藍牙不同于現有的其他信號，藍牙棧很龐大，同時也存在著大量的攻擊漏洞，所以攻擊面很大。一般來說，涉及藍牙棧的攻擊方案有兩種。第一種是利用未配對的設備。這種攻擊的危險程度最高，因為任何攻擊者都可以獲取設備的代碼。第二種利用方法是在配對完成后，因為涉及了用戶交互，所以威脅性沒那么大。曾經就有研究人員演示了如何利用藍牙接口入侵一輛汽車。Codenomicon的研究人員還發現，汽車中常用的藍牙接收器有很多崩潰的情況。

4.2 Wi-Fi

無線電接收機不僅可以接收聲音信號，也可以接收數據。無線電接收機可以接收多種無線輸入，比如GPS、AM/FM廣播和衛星廣播。多數情況下，這些信號被簡單地轉換成音頻輸出，數據解析的數量也不大，這就說明其中不太可能有可以利用的漏洞。但是，一個可能的例外是無線電數據系統，這種系統在傳輸FM模擬信號的同時傳輸如歌曲名、電臺名字等數據。因此就涉及對數據的解析從而可能出現安全漏洞。

有些具備蜂窩數據連接的汽車會通過Wi-Fi熱點的方式和乘客共享網絡連接

4.3 車載通信系統/互聯網/應用程序

如今許多汽車都配備了蜂窩網功能（如GPRS、3G、4G等），一般叫作車載通信系統，用于將車輛連接到數據網絡，例如通用安吉星系統。蜂窩連接也可以用于接收交通或天氣信息等數據。

這套系統是最重要的攻擊入口，因為攻擊距離很廣，廣到只要目標汽車上有蜂窩通信就可進行。即使車載通信系統沒有被直接連接到CAN總線上，這個通信單元仍然可以用來傳輸如數據、聲音等數據。有的研究人員此前就在沒有涉及用戶交互的情況下，遠程利用過汽車上的通信單元。

4.4 硬件信息收集方法

首先對系統進行分析，找出可能的攻擊向量，然后再研究特定的攻擊向量，首先是物理攻擊向量。

可能會存在的物理攻擊向量：

• CID有兩張可插拔的存儲卡

• CID有一個USB接口

• 一個4針的以太網接口

• 各種測試點和調試診斷接口

其他可能存在的攻擊向量：

• 瀏覽器：不僅CID運行的操作系統是老版本的Ubuntu系統，其運行的瀏覽器也是比較老的版本，瀏覽器基于WebKit 534.34，這個版本的瀏覽器引擎有幾個比較知名的漏洞。通過這些漏洞可以讓瀏覽器崩潰但是沒有實現代碼執行。

• 藍牙：沒有找到漏洞。USB：可以通過CID的USB接口讓CID重啟進入NVIDA Tegra的Recovery模式，但是bootloader是通過密碼保護的，所以沒有辦法通過這種方式提取固件。

• 存儲卡：其中一張存儲卡上有一個名叫 carkeys．tar 的文件，其中包含了這輛Model S的OpenVPN認證信息，也就是一個X509標準證書、一個RSA私鑰和一個OpenVPN靜態密鑰，這些相當于車鑰匙，所以未來汽車的鑰匙可能都是基于密碼算法的。

• Wi-Fi：將Model S連入Wi-Fi后并沒有發現開放的端口，但是當Model S連上Wi-Fi后首先會通過向一些服務器發起http請求確定網絡連通性，在確定網絡連通性后嘗試通過 OpenVPN 連接特斯拉服務器（地址是 vpn．vn．teslamotors．com）。

• 以太網接口：

通過這個接口可以與汽車的娛樂信息系統網絡通信，接入信息娛樂系統網絡后使用Nmap等工具對內網掃描就可以發現3個設備，一個是CID、一個是IC、另一個是網關。

三個設備發送了大量（約 1000 個包每秒）的 UDP 廣播包（目的地址192.168.90.255），根據數據類型的不同使用不同的端口，這就與CAN總線的機制非常類似，網絡上每個節點將數據廣播到網絡上，需要數據的節點就接收需要的數據，猜測這里的端口號類似于CAN的消息ID。

可以通過掃描發現開放的端口及對應的服務。

4.5 固件升級步驟

4.5.1 汽車一般升級固件大致步驟

• 首先，汽車廠家發布新版本固件到升級服務器，新版本固件包含了對漏洞的修復或者對性能的改進。

• 汽車從服務器下載新固件

• 汽車對新固件進行驗證

• 汽車更新固件

4.5.2 OTA 升級中的安全性

1、廠家發布新固件到升級服務器

• 服務的安全

• 汽車對服務器的認證（數字證書）

2、汽車下載固件

• 網絡通信安全，加密傳輸

• 斷點傳輸

• 防止固件泄露導致知識產權泄露

3、汽車驗證并升級固件

• 固件簽名：防止攻擊者利用篡改過的固件來更新系統

• 固件新鮮性：防止黑客利用存在漏洞老版本固件來更新系統然后利用漏洞發起攻擊

• 固件加密：可以防止黑客通過抓包來竊取固件從而造成知識產權泄露（比如輔助駕駛控制算法）

4.5.3 安全的OTA升級系統

典型的固件升級過程如下

• 開發人員開發出新版本的固件

• 廠家對新版本的固件進行加密并用私鑰進行簽名

• 簽名后的新版固件被上傳到廠家的升級服務器

• 汽車同服務器建立安全的通信鏈路（例如，通過驗證服務器證書來防止服務器被偽造）

• 汽車通過安全通信鏈路下載固件

• 汽車對固件進行解密

• 汽車驗證固件簽名

• 汽車利用固件進行升級

- 密鑰和證書這類重要信息最好引入防破解的硬件安全模塊 HSM（Hardware Security Module）來安全保存和處理。為了防止一輛汽車被破解而影響其他車輛的情況出現，每輛汽車需要有自己的密鑰，密鑰的管理問題也需要解決。

• 回滾需要用到的固件需要備份并加密保存，當更新出現問題時能夠保證回滾到可以運行的老版本固件，防止由于升級失敗而使汽車變磚。

• 固件更新程序（例如bootloader）控制遠程更新，而其本身一般無法更新，所以代碼的安全只能通過安全開發及測試保證。

0x05 汽車傳感器安全

非智能駕駛的汽車上這些傳感器的攻擊或者干擾因為有駕駛員的控制可能并不能造成嚴重的后果。這些傳感器只是被用于輔助駕駛系統，駕駛員會始終處于主導地位，但是智能汽車完全依賴于這些傳感器控制汽車時就要求這些傳感器采集的環境數據高度可靠，如果這些數據受到干擾，甚至偽造，則會威脅到駕乘人員的生命安全。所以非常有必要在智能汽車大規模應用之前對這些傳感器的安全性進行研究，無論是抗干擾還是抗偽造攻擊等都值得研究。

5.1 GPS安全

智能汽車采用GPS主要是定位，然后結合地圖進行導航及結合其他傳感器數據感知環境，但是定位不光可以用 GPS，還可以用國產的北斗、俄羅斯的 GLONASS等。

5.1.2 GPS安全性分析

GPS 的安全性威脅主要分兩種，一種是干擾、另一種是欺騙。

• GPS干擾

• GPS欺騙

5.2 超聲波傳感器安全

超聲波傳感器根據發送出去的超聲波信號和接收到的反射信號的時間差計算出傳感器與物體間的距離

如果攻擊者要干擾這種傳感器可以通過不斷發射超聲波達到目的，如果要進行欺騙可以通過計算目標傳感器發射的超聲波的時間，有針對性的延時或者超前將超聲波信號發送給目標傳感器來偽造反射信號，從而使其計算出指定的距離，而且用于攻擊的設備成本也非常低，一個Arduino就可以搞定

5.3 攝像頭安全

智能器依靠攝像頭來識別障礙物、車道、甚至計算出與前車的距離，所以是非常重要的傳感器。例如，來自以色列的高級輔助駕駛系統廠商MobileEye就僅僅基于攝像頭實現了車輛識別、距離計算、車道識別等

• 前碰撞預警（Front Collision Warning，FCW）

• 行人探測與防撞警示（Pedestrian Collision Warning，PCW）

• 車道偏離預警（Lane Departure Warning，LDW）

• 車道保持與危險預警（Vehicle Distance Monitoring Warning，HMW）

• 城市前碰撞警告（Urban Forward Collision Warning，UFCW）

• 智能遠光燈控制（Intelligent High Beam Control，IHC）

5.4 Lidar安全

無人駕駛汽車利用Lidar探測障礙物，Lidar即激光雷達傳感器，Lidar是個合成詞，取自“light”（光）和“radar”（雷達）。輔助駕駛系統將 Lidar 的數據與其他傳感器的數據融合后來控制汽車。由于Lidar是汽車探測環境主要依賴的傳感器之一，所以Lidar被干擾或者欺騙的影響非常大

• Lidar的原理

Lidar發射激光束并經空氣傳播到地面或物體表面，再經表面反射，反射能量被Lidar接收并記錄為一個電信號。如果將發射時刻和接收時刻的時間精確記錄，那么激光器至地面或者物體表面的距離（R）就可以通過以下公式計算出來R=ct/2（c表示光速，t表示發射時刻和接收時刻的差）。

• 攻擊方法

最簡單的攻擊方法就是發送干擾信號來擾亂Lidar，使其無法檢測到障礙物，更高級的攻擊可以讓Lidar檢測到不存在的障礙，也就是欺騙

0x06 汽車遙控器及PKE系統安全

隨著汽車數量的增多，汽車被盜數量也逐年上升，車輛防盜器的安全已成為車主關注的問題，汽車采用的防盜技術有多種，例如在鑰匙里植入RFID、采用滾動碼遙控器，以及采用PKE（Passive Keyless Entry）系統等。汽車遙控器及PKE系統都是汽車防盜系統的關鍵技術，其安全性值得研究。

6.1 汽車遙控器安全

簡單來說，汽車遙控器的工作原理是將指令通過無線電發送給汽車，汽車在接收到指令后執行開門、關門等操作

由于無線信號的廣播特性，任何人只要在信號接收范圍內都可以接收到這個無線信號，所以如果不對遙控信號進行加密就存在被攻擊的危險。按照信號加密和不加密把遙控器分為兩類，即固定碼和滾動碼遙控器。

固定碼遙控器的編解碼電路目前已經朝著高度集成化發展，普通的固定碼遙控器已經被廣泛用于眾多領域，如遙控車庫門、無線門鈴、門禁、遙控玩具、遙控開關、防盜報警器、車位鎖等，然而這些采用固定碼的芯片并不能保證系統的安全，因為采用固定碼的這些芯片的無線遙控每次發送的數據都是一模一樣的，可以被重放攻擊。鑒于固定碼的脆弱性，其慢慢被滾動碼（Rolling Code）遙控器代替。

6.2 滾動碼

滾動碼是指采用了某種加密算法加密后的遙控器信號。