本文作者:雷锋网网络安全频道主笔,李勤
老公,你最近去了什么地方?
啊,我就去上班了啊。
你骗谁呢你?你看你的GPS记录,你说,你去的这个地方是不是做大保健的?!你太没良心了!
你委屈得想发誓,低头一看GPS记录,卧槽,为什么GPS上真的显示的是“天上人间休闲娱乐会所”?
只见隔壁老王听见你们的吵架声偷偷乐呵着……
如果隔壁老王是个资深黑客,篡改你的GPS记录完全不是难事。
别说篡改GPS了,直接控制你的车车将你导向沟里,或者让你的车在高速行驶中紧急刹车,谋财害命也不是没可能的事。
这次,雷锋网编辑并没有讲故事。这也不是一件新奇事,2014年,黑客破解了某汽车,让驾驶员眼睁睁地把车开到水沟里面,当时的驾驶员是一名记者(虽然宅宅只是枚编辑,但是我也怕呀)。
半个月前,雷锋网给大家介绍了两个男人不用钥匙就开走了一个女黑客的车的方法,万万没想到,在BLACKHAT大会上,腾讯科恩实验室又花式演示了一把“第二次攻破特斯拉”的绝技。
随后,宅宅又发现,外媒曝出,车厂商提供的TCU有问题,会导致数据泄密,还有外媒警告,CAN总线很危险,以编程方式控制你的汽车轻而易举!
绿盟科技的应急响应中心负责人李东宏在一间小会议室里面带微笑,说出了这个终极真理。
李东宏目前负责绿盟对汽车中控平台的攻防分析,并参与车联网安全检测标准的制定。
事实上,在汽车车联网的安全研究上,作为守护安全的这一方,防卫者第一次比攻击者可能领先5年左右。
众所周知,汽车联网还是近几年的“新兴事物”,一些机构预测,车联网在2020年才可能蓬勃发展。所谓比攻击者领先5年,是指在车联网尚未全面普及的情况下,防守方已经预见到攻击者对联网汽车的多个攻击路径。
李东宏介绍,他所了解到黑客对车联网汽车的攻击,有四类攻击面。
从黑客的角度看,想控制一台汽车,最简单的方式是装一个后门,夺取控制权。
用李东宏的话来说,这一种很可能是“熟人作案”,因为装后门首先要开车门,如果不是撬开车门,那就是拿到了钥匙。
事实上,最早对特斯拉的攻击也就是通过OBD去做的。
OBD,就是“车载诊断系统”。这个系统随时监控发动机的运行状况和尾气后处理系统的工作状态,一旦发现有可能引起排放超标的情况,会马上发出警示。当系统出现故障时,故障灯(MIL)或检查发动机(CheckEngine)警告灯亮,同时OBD系统会将故障信息存入存储器,通过标准的诊断。
通过向OBD接口插入一些外置设备,比如,通过这个接口,连接一个特殊设备可以把恶意软件植入ECU(电子控制单元,又称“行车电脑”、“车载电脑”等),对车不太了解的朋友可以直接理解成:ECU是车的大脑。
脑子进水很可怕,你说车脑子进了恶意软件是什么感受?
除了OBD是被黑客瞄中的易入侵区域,李东宏介绍,汽车中控台也有USB接口,如果有人以“听歌”为名,插入一个U盘,而这个U盘又存储了恶意代码,车内的系统固件都可能被替换掉。
会造成什么危害?
中控台主要是多媒体,比如,需要听的歌听不了、需要看的视频看不了,中控台还有一个温度控制开关,如果你被锁在车里,温度被升到奇高,怎么办?
如果中了恶意代码,这个恶意代码可能会连接到服务器,个人数据,如GPS定位数据可能被盗走,你最近开车去过什么地方一览无遗。”李东宏说。
雷锋网编辑不仅捏了把汗,万一是国家、企业涉密人员的车辆,后果不堪设想。
这不是最可怕的,“害命”也可能发生在其中。
中控台虽然与汽车CAN总线之间有隔离,但通过分析后,也是可以穿透CAN总线,相当于通过中控台控制CAN总线的数据,让CAN总线瘫痪或者下发特殊指定。
一个可怕的场景是,你正在高速行驶中,黑客下发了一个紧急刹车的指令,车毁人亡。
为什么在中控台与CAN总线隔离的情况下,黑客依然可以“穿透”这层网关隔离?
雷锋网了解到,这个网关会对数据危险操作有一个类似白名单的过滤机制,但这个白名单可能会被绕过。
例如,当中控台发现危险操作行为时,会把数据封在操作中下发到CAN总线,黑客就是利用这点,改变了数据内容,将可信的内容替换成危险内容,从而绕过了这一层隔离。
还有一种情况就是,隔离网关在设计上有一个缺陷,会发送一个升级的数据包,让整个隔离设备重新升级,结果黑客趁机让其安装了一套属于黑客的假冒固件。
至此,可能造成车体整体失灵,真是“要命”。
既然说到中控台,还有一种可怕的攻击路径需要指出。
李东宏介绍,因为以后GPS数据不光要存到车厂的云,还要存到监管单位,而中控台连接云端,如果黑客把恶意代码下载到车的中控台中,可以攻击云端、车厂、政府机构的监管平台。
这意味着,这种攻击已经不是针对个人“要钱或要命”这么简单,而是发动了大规模袭击。
此时,一个个中控平台可能成为一台台肉鸡,要搞大事情!
上文也提到,在《两个男人不用钥匙就开走了一个女黑客》一文中,360独角兽团队演示了在距离车50米处运用信号放大传输设备将钥匙的微弱信号“放大”成正常距离的车钥匙信号,欺骗汽车,让它误以为钥匙就在身边,车主正在正常开门。
其实,这就是一次针对汽车的近场攻击。
还有一类车是利用手机的NFC功能,充当迷你车钥匙开车,但是,在手机接替钥匙的功能时,手机上的App需要和车钥匙进行一次“秘密交接与匹配”,此后手机才能行使“职权”。
在这次“秘密交接与匹配”的过程中,使用的也是NFC功能,黑客也可能拿下车辆的控制权。
李东宏说,这是一次“突袭”。
黑客可能会拦截这个信号,进行放大重放,放大重放后就用自己的手机进行注册,而你注册失败还以为自己用了个假手机。
回到最前面,就算不使用手机App代替车钥匙,而是使用车钥匙(在无钥匙功能中,不需要打开车门,而是靠“心灵的感应”),大部分车钥匙是单频认证,李东宏认为,依然面临安全威胁。
“我们希望车钥匙能进行双频认证。好处就是,比如,左手给你一个苹果,右手会给你一把钥匙进行验证。两个在不同频段上,这样对于攻击者来说,攻击成本会增加。
所有安全需要解决的就是提高攻击成本,比如,攻击这辆车,如果说在3个小时之内可以攻击、破解成功,这就是有效的。如果在一年之内才能攻击成功,这就不叫破解。”
雷锋网了解到,目前可以同时发双频信号的设备不是太多,需要买到这个设备,可能需要定制,而且这个设备价格相对较高,国外能发射稳定双频信号的设备约1.4-1.5万元,还没有包括天线等其它设备。
除了这些看上去难度较高的攻击方法,黑客还有可能对车辆信号进行攻击。
一般来说都是数据欺骗,数据欺骗主要就是让驾驶人员有一个错误认识,比如。本来胎压正常的,黑客利用欺骗的技能,让胎压显示为零,这时车主就会下车。
从信息角度看,看上去不会产生太大危害。但是从生活角度看,很危险。
你并不知道,这一次攻击是图财还是害命。
如果是图财,趁你下车之时,车内物品很可能被抢走,如果是害命,下车检查时,说不定绑匪趁其不备将车主绑架。
还有针对GPS的欺骗攻击。
本来你要去一个地址,GPS被动手脚后,将你导航到了一个可能荒无人烟的地址,叫天天不应,叫地地不灵。
李东宏介绍,针对车联网汽车的远程攻击主要从3G、4G信号下手。
“我们在中控台上可能会访问一些网页或者访问一些数据,攻击者可以把这个伪造数据下发给你,比如,你安装一个软件,你认为安装的可能是一个Key,结果是黑客把伪造的Key发给你,你就装到中控台上去了。”
真是偷梁换柱!
通过3G、4G伪造一个软件完全替换原版本在李看来,完全是一个很容易的操作。
实际上,使用类似的方法甚至可以用来劫持飞机。
李东宏表示,因为机场是通用网络频道,属于广播信号,对广播信号进行欺骗,可能会导致飞机的航线发生变化。但在国内,还没有哪个科研实验室敢做这种实验,国外有人做类似实验,在一个国外网站上,甚至可以看到每一架飞机的实时飞行数据。
前文提到,在汽车车联网的安全研究上,作为守护安全的这一方,防卫者第一次比攻击者可能领先5年左右。
预先了解这些攻击方法,为防守争取了应对的余地。
李东宏认为,防守方法很简单:第一,数据通道加密;第二,设备可信任接入,所有设备都要可信任;第三,安全代理网关,在中控台或者车体里安装一个安全代理网关,对所有非正常操作行为进行审计,一旦发现恶意行为,要么远程切断,要么记录在案并对车主告警。
所谓数据通道加密,车内就是对CAN总线加密,而车外就是3G、4G网络,数据通道把整个车内通信、车外通信分离开。
每个设备都有一个认证认证码,在交付时有一个认证,在认证时,车上的公钥加密,植入车上的私钥才可以解密。
李还称,告警层一般设置在系统最底层,属于完全封闭的系统,只有厂商可以接触,安全开发人员根本无法接触,同理,黑客也无法接入。
但是,天下没有绝对安全的系统。
李提醒,谨防内鬼。
“为什么通过ODB就可以植入恶意代码?基本都是内鬼搞,因为外面的人根本不可能进到车厂里,所以一般这种代码植入途径要么是厂商维修,要么是4S店维修,要么就是外面小店维修,才会搞这个东西。”
最后上一张李东宏的照片吧,毕竟,他说,在白帽子和黑客等群体中,知道这么多种汽车攻击及防守技术的人,不超过30%。