我們的世界變得越來越數(shù)字化，越來越多的使用設備被網(wǎng)絡連接起來。但是，這些快速變化也會帶來了風險。在過去的幾年里，像福特，吉普，日產和豐田這樣的汽車制造商都曾遭遇過汽車黑客漏洞。而最近一項研究發(fā)現(xiàn)，某些大眾汽車中車載信息娛樂系統(tǒng)（IVI）可能會被遠程黑客入侵。

這個漏洞是Daan Keuper與Thijs Alkemade兩位研究人員發(fā)現(xiàn)的，他們發(fā)現(xiàn)大眾及奧迪某些車型存在安全漏洞，車載信息娛樂系統(tǒng)與車載網(wǎng)絡易遭黑客攻破。該漏洞在2015年生產的大眾高爾夫GTE和奧迪3系車中都有發(fā)現(xiàn)。計算機研究人員Daan Keuper和發(fā)現(xiàn)該缺陷的Thijs Alkemade說，在某些情況下，IVI漏洞能讓攻擊者能夠指揮車載麥克風并監(jiān)聽司機的談話，打開和關閉麥克風，以及訪問系統(tǒng)的完整地址簿和對話歷史記錄。他們表示，在任何時候，黑客都有可能通過導航系統(tǒng)跟蹤汽車。

高訪問級別的漏洞

研究人員表示，他們能夠利用哈曼制造的模塊化信息娛樂（MIB）平臺中未公開的漏洞通過Wi-Fi遠程訪問IVI系統(tǒng)。然后，利用暴露的端口訪問系統(tǒng)的管理軟件。兩位研究人員公布了其研究報告，報告中稱“我們可以遠程侵入MIB IVI系統(tǒng)，并從那里向IVI CAN 總線上發(fā)送任意CAN 消息……因此，我們可以控制中央屏幕，揚聲器和麥克風，這已經是很高的訪問級別。”

最初，他們使用該漏洞從磁盤讀取任意文件，但很快他們發(fā)現(xiàn)可以將其擴展為完全遠程代碼執(zhí)行。訪問并不止步于此，Computest的研究人員通過這個漏洞發(fā)現(xiàn)，他們可以訪問IVI系統(tǒng)的多媒體應用單元（MMX）主處理器，該處理器負責屏幕合成和多媒體解碼等任務。從那里，他們能夠控制無線電和汽車控制單元（RCC）。報告稱：“下一步將是通過總線發(fā)送任意CAN消息，以了解我們是否能夠接觸任何安全關鍵組件。”

但是，向CAN總線發(fā)送任意的CAN消息將涉及到黑客直接連接到網(wǎng)關的芯片，并且用于在不同的CAN總線之間防火墻消息。在這一點上，Computest的研究人員表示，他們決定放棄他們的研究，因為它需要使用物理矢量從芯片中提取固件。

“經過慎重考慮，我們決定在這一點上停止研究，因為這可能會損害制造商的知識產權并可能違反法律，”Computest研究人員說。

漏洞不可通過OTA進行修復

Computest于2017年夏季將其研究工作納入大眾汽車。Keuper表示，2018年4月，大眾汽車向Computest提供了一封確認這些漏洞的信件，并聲明他們已經修復了信息娛樂系統(tǒng)的軟件更新。

盡管大眾汽車已經修復了目前正在生產的汽車，但Computest的研究人員強調，他們不會透露更多有關該漏洞的細節(jié)，因為這些更新無法通過無線（OTA）進行修復； 因此，受影響的車主可能要與他們的經銷商當面解決漏洞問題。

智能網(wǎng)聯(lián)給汽車帶來的漏洞

目前，由于智能網(wǎng)聯(lián)技術的發(fā)展，車變得更智能，同時也出現(xiàn)了很多風險。在過去，汽車主要是機械車輛，它們依靠機械來實現(xiàn)轉向和制動等功能操作。現(xiàn)代汽車主要依靠電子來控制這些系統(tǒng)。通過線控，與傳統(tǒng)的機械方法相比，有很多優(yōu)點。由于組件是由計算機控制的，所以可能有多種安全功能。例如，如果前方雷達檢測到障礙物，認為碰撞是不可避免的，車輛會自動剎車。通過線控也可用于自動停車等，遠程駕駛等。

所有這些新功能都是可以實現(xiàn)的，因為現(xiàn)代汽車中的每個組件都連接到中央總線，由它來交換消息，最常見的總線系統(tǒng)是CAN總線。 CAN協(xié)議本身相對簡單，在基礎上，每條消息都有一個仲裁ID和一個有效載荷。那里沒有身份驗證，授權，簽名，加密等。一旦進入總線，就可以發(fā)送任意消息，被連接到同一總線的所有方都可以接收到。每個組件可以自行決定是哪些特定的消息適用于他們。

CAN協(xié)議原理圖

理論上，這意味著如果攻擊者能夠訪問車輛的CAN總線，就能控制汽車。例如，他們可以冒充前方雷達，指示制動系統(tǒng)緊急停車。攻擊者只需要找到一種方法來實際訪問連接到CAN總線的組件，而無需物理訪問。而且有很多遠程攻擊面可供選擇，其中一些需要靠近汽車，而另一些可從全球任何地方控制。一些需要與用戶互動的媒介可能會在不知不覺中襲擊乘客。

例如，現(xiàn)代汽車有一個監(jiān)測輪胎壓力的系統(tǒng)，稱為TPMS（輪胎壓力監(jiān)測系統(tǒng)），如果其中一層的壓力低，它將通知駕駛員。這是一個無線系統(tǒng)，輪胎將通過無線電信號或藍牙與汽車內的接收器通信。該接收器將通過CAN總線上的消息反過來通知其他組件。組合儀表將收到此消息，并作為響應打開相應的警示燈。另一個例子是鑰匙鏈，它與汽車內的接收器進行無線通信，而鑰匙鏈又與車門鎖和發(fā)動機中的防盜鎖通信。所有這些組件都有兩個共同點：它們都連接到CAN總線，并具有遠程攻擊面（即接收器）。

現(xiàn)代汽車有兩種防止惡意CAN消息的主要方式。首先是汽車所有部件的防御行為。每個組件都設計了始終選擇最安全的選項，以防止可能出現(xiàn)故障。例如，自動停車的自動轉向可能會在默認情況下禁用，只有在汽車倒車時和低速時才能啟用。如果公交車上的另一個惡意設備冒充前方雷達，試圖觸發(fā)緊急停車，那么真正的前方雷達將繼續(xù)發(fā)送信息。

第二種保護機制是現(xiàn)代汽車具有多個CAN總線，它將安全關鍵設備與便利設備分開。例如，制動器和發(fā)動機連接到高速CAN總線，而空調和擋風玻璃刮水器連接到分離的（并且最有可能的是低速）CAN總線。理論上一些車是完全可以分開的，但實際上它們通常通過所謂的網(wǎng)關連接。這是因為有些情況下數(shù)據(jù)必須從低速CAN總線流向高速CAN總線。例如，門鎖必須能夠與發(fā)動機通信來啟用和禁用防盜鎖，并且IVI系統(tǒng)從發(fā)動機接收狀態(tài)信息和錯誤代碼以顯示在中央顯示器上。對這些消息進行防火墻是網(wǎng)關的責任，它將監(jiān)控每條總線上的每條消息并決定允許哪些消息通過。

具有蜂窩連接的IVI系統(tǒng)連接到低速CAN總線，高速CAN總線由網(wǎng)關保護

在過去的幾年里，我們看到了智能網(wǎng)聯(lián)汽車的增加，甚至看到過兩個蜂窩網(wǎng)絡連接的汽車。例如，IVI系統(tǒng)可以使用此連接來獲取諸如地圖數(shù)據(jù)之類的信息，或者提供諸如互聯(lián)網(wǎng)瀏覽器或Wi-Fi熱點之類的功能，或者可以通過APP來控制某些功能。例如，遠程啟動集中供熱以預熱汽車，或通過遠程鎖定/解鎖汽車。在所有情況下，具有蜂窩連接的設備也要連接到CAN總線，這種遠程理論上可能危害車輛。其中一些是有可能受到攻擊的，因為蜂窩連接沒有受到防火墻的阻擋，而其他攻擊則依賴于用戶訪問車內瀏覽器上網(wǎng)頁產生的漏洞。

智能網(wǎng)聯(lián)汽車讓未來汽車更智能和便利，但是由電控取代機械控制將會引入新的安全風險。未來，在發(fā)展智能網(wǎng)聯(lián)汽車技術的同時，也要兼顧網(wǎng)聯(lián)安全性研究，設置更多的加密機制來確保車輛的出行安全。