楊玚　朱科屹　宋娟

摘? ?要：車聯(lián)網(wǎng)信息安全是車聯(lián)網(wǎng)產(chǎn)業(yè)健康發(fā)展的重要環(huán)節(jié)，車載終端是智能網(wǎng)聯(lián)汽車連接車內(nèi)網(wǎng)與車外網(wǎng)，實現(xiàn)信息交互的重要子系統(tǒng)。文章在編制車載終端信息安全測評指標的基礎上，對車載終端信息安全開展測試。文章從系統(tǒng)安全、應用安全、通信安全、數(shù)據(jù)安全各個方面介紹了檢測工作中發(fā)現(xiàn)的若干典型信息安全風險，為車聯(lián)網(wǎng)安全研究提供參考。

關鍵詞：車載終端;車聯(lián)網(wǎng);信息安全;測試

中圖分類號：TN915.08? ? ? ? ? 文獻標識碼：A

Abstract： Cybersecurity plays an important role in the development of IoV， and the in-vehicle terminal is an important subsystem that connects the interior network to the broader V2X network. Based on the CSTC security evaluation specification for in-vehicle terminals， comprehensive cybersecurity tests were conducted by CSTC. This paper summarizes characteristic cybersecurity vulnerabilities of contemporary in-vehicle terminals， classified into system security， application security， communication security， and data security.

Key words： in-vehicle terminal; IoV; cybersecurity; testing

1 引言

近年來，隨著國內(nèi)車聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)的逐步建立，車聯(lián)網(wǎng)信息安全保障已正式提上日程。2018年年底，工信部《車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）產(chǎn)業(yè)發(fā)展行動計劃》要求2020年實現(xiàn)安全管理制度與安全防護機制落地實施，安全保障和服務能力逐步完善。以此為目標，汽標委、信安標委等機構積極地推進車聯(lián)網(wǎng)信息安全標準規(guī)范的制定，研究從整個車到零部件的信息安全測試評價的方法。中國汽車工程學會、信通院、奇虎等單位也紛紛發(fā)布了車聯(lián)網(wǎng)信息安全白皮書、年度安全報告等，從不同層面、不同角度展示了各自的關注領域和重點工作，表明了車聯(lián)網(wǎng)的安全服務開始從布局轉(zhuǎn)入實戰(zhàn)。

車載終端是智能網(wǎng)聯(lián)汽車的重要子系統(tǒng)。按照一般的定義，它是具備數(shù)據(jù)輸入輸出、計算處理、存儲、通信等功能，可以采集車內(nèi)相關的ECU數(shù)據(jù)并發(fā)送控制ECU的指令，集成定位、導航、娛樂等多種功能，是汽車網(wǎng)聯(lián)化、接入移動互聯(lián)網(wǎng)和車際網(wǎng)的功能單元[1]。舉例說明，側(cè)重于車內(nèi)信息娛樂的IVI、側(cè)重于遠程服務的T-Box，都是典型的車載終端，二者還有融合的趨勢。本文不嚴格限定車載終端的邊界，而將其視為連接車內(nèi)網(wǎng)與車外網(wǎng)，實現(xiàn)信息交互的抽象節(jié)點。在實際產(chǎn)品中，車載終端通常具有電話、藍牙、Wi-Fi、GPS等無線通信功能。汽車安全黑客Craig Smith特別強調(diào)：“車載終端存在的遠程攻擊面，比車上其它任何組件都要豐富[2]。作為內(nèi)外交通的咽喉要道，安全攻防的必爭之地，車載終端的安全保障，無論對廠商還是用戶都具有直接的現(xiàn)實意義”。

2018年發(fā)表的《車載終端信息安全測評指標體系研究》中，梳理了車載終端信息安全的關鍵測評指標，形成了包含整體安全、硬件安全、操作系統(tǒng)安全、應用安全、通信安全和數(shù)據(jù)安全各個方面的測評體系，為信息安全測評奠定了基礎[3]。本文從第三方測評的角度，介紹在實際檢測工作中發(fā)現(xiàn)的若干種信息安全風險。案例的選擇不求豐富全面，而是注重典型實用，并適當加以討論，以期見微知著。

2 車載終端信息安全基本要求

2.1 系統(tǒng)安全

系統(tǒng)安全要求操作系統(tǒng)具備符合車載終端應用場景的身份鑒別、權限管理、訪問控制、安全審計等安全防護措施，防范針對操作系統(tǒng)的溢出攻擊、暴力破解等威脅，實現(xiàn)了操作系統(tǒng)資源及文件的安全可用。

2.2 應用安全

應用安全要求安裝在車載終端上的應用軟件具備來源標識、數(shù)據(jù)加密、完整性校驗等防護措施，可以對抗逆向分析、篡改、非授權訪問等威脅，實現(xiàn)了應用軟件在啟動、運行、登錄、退出、升級等環(huán)節(jié)處于安全狀態(tài)。

2.3? 通信安全

通信安全主要包括對內(nèi)通信安全和對外通信安全。對內(nèi)通信安全是指車載終端與車內(nèi)總線以及電子電氣系統(tǒng)之間的通信，根據(jù)對內(nèi)通信場景要求采用安全的通信協(xié)議、身份認證、完整性校驗、訪問控制等措施，抵御重放攻擊、拒絕服務攻擊、報文篡改等威脅，實現(xiàn)外部威脅與內(nèi)部網(wǎng)絡之間的安全隔離，車載端與車內(nèi)各個子系統(tǒng)間通信數(shù)據(jù)保密、完整、可用。車與外部通信安全要求通過安全協(xié)議、完整性校驗、身份鑒別等措施，抵御報文破解、中間人攻擊等威脅，實現(xiàn)車載終端與其他節(jié)點的安全通信。

2.4 數(shù)據(jù)安全

數(shù)據(jù)安全要求數(shù)據(jù)在采集、存儲、處理、傳輸過程中安全可用，通過訪問控制、異常處理等機制，保障了關鍵數(shù)據(jù)的機密性、完整性、可用性。

3 車載終端信息安全典型風險

3.1 系統(tǒng)安全

Android系統(tǒng)以其豐富的功能、完整的應用生態(tài)、較低的開發(fā)門檻，占據(jù)了目前車載終端操作系統(tǒng)的最大份額，但是Android碎片化嚴重的問題，也從手機向車機蔓延。出于降低資源占用、加快開發(fā)進度等考慮，一些廠商寧愿采用較低、較舊的系統(tǒng)版本。不同的是，一旦暴露系統(tǒng)安全漏洞，手機廠商可以在幾個月內(nèi)推送補丁，保障服務期內(nèi)的大部分手機安全無憂。而車機系統(tǒng)的升級方式差別較大，安全更新的滯后時間較長，有的產(chǎn)品實際是“一次安裝永不更新”，安全隱患會被持續(xù)暴露。

臟牛（Dirty Cow）漏洞是較常用的系統(tǒng)安全檢測手段，不僅適用于Android系統(tǒng)，也適用于直接基于Linux內(nèi)核開發(fā)的其它系統(tǒng)，覆蓋了市面常見的大部分車機產(chǎn)品[4]。該漏洞由2007年9月發(fā)布的2.6.22版Linux內(nèi)核引入，到2016年10月正式公布時，期間推出的所有Linux內(nèi)核版本都被危及。測試所見的車機系統(tǒng)往往采用Android 4.4版左右，而7.0版之前的未更新版本均受臟牛漏洞影響。

臟牛漏洞的原理是利用Linux內(nèi)核中寫拷貝機制實現(xiàn)上的條件競爭漏洞，使只讀內(nèi)存映射區(qū)變?yōu)榭蓪?，進而得到了 /etc/passwd、/etc/group 等關鍵文件的修改權，直到取得Root權限。測試方法是下載臟牛漏洞的POC代碼，編譯為可執(zhí)行程序，然后通過USB接口或無線連接將程序adb push接入系統(tǒng)，在adb shell中添加可執(zhí)行權限后即可運行。該漏洞繞過了SELinux的防護，應用范圍又相當廣泛，例如可以注入shellcode到passwd、crontab等suid程序，是很實用的系統(tǒng)提權途徑。

如果用戶無法輕易接觸系統(tǒng)內(nèi)部，這種內(nèi)核級漏洞是否還有必要進行修補。具體到臟牛漏洞，由于工程樣品開放了ADB訪問權限，才在測試中發(fā)現(xiàn)問題，設備上市前則會關閉調(diào)試模式，是否還會產(chǎn)生實際危害，這也是一些委托廠商的疑問。應該認識到，信息安全是一個系統(tǒng)工程，對于復雜度稍高的保護對象來說，可行的攻擊路徑就相當多樣，單一的防護手段往往無法做到全面覆蓋，防護機制本身還面臨著被攻破、暫時失效的問題。因此，需要部署多種獨立的安全機制，形成多層次防護體系，也就是“縱深防御”（Defense in Depth）的思想[5]。具體到臟牛漏洞，即使設備出廠時關閉了調(diào)試權限，在用戶界面上也不允許開啟，根據(jù)2018年公布的研究成果，仍然可能通過USB連接發(fā)送AT命令的方式啟用[6];即使禁用了USB的訪問，還可能會利用無線連接發(fā)現(xiàn)新的突破渠道。一般來說，越是系統(tǒng)底層的安全漏洞，可能造成的危害越大。所以應該盡量在合理的層次正面解決問題，而不是通過看似巧妙的手段回避問題。

車載系統(tǒng)售后升級是修復安全漏洞的常規(guī)方式。隨著汽車軟件化程度的提高，傳統(tǒng)的4S店服務難以滿足及時更新的需要，用戶可以自主下載升級包手動升級，空中下載（OTA）也有望成為主流。對于升級包的共同要求是：重要的數(shù)據(jù)無法被竊取，關鍵的程序無法被破解，篡改的升級包無法被刷入。常規(guī)保護措施是使用對稱加密算法（如AES）加密升級包文件，然后使用簽名算法（如RSA）生成數(shù)字簽名，分發(fā)至車端。開始升級前，車載系統(tǒng)先校驗簽名的有效性，確認升級包來源可信且未被篡改，然后解密出升級包文件，執(zhí)行升級流程。既然升級包的安全性依賴于加密和簽名兩個手段，車載端對于解密密鑰、驗簽公鑰的安全管理就成為重中之重。一般來說，車載端會將驗簽公鑰妥善存儲于安全芯片或系統(tǒng)內(nèi)部，作為廠商身份的可信標識。解密密鑰則是根據(jù)升級方式的不同，采用類似的方式存儲，或者通過與服務器端的動態(tài)交互進行獲取。

工作中，大部分送測升級包確實采用了上述的防護策略，但是不少樣本在實現(xiàn)方面較為簡單，使加密和簽名幾乎形同虛設。例如，某升級包的解密密鑰直接明文存儲在車機系統(tǒng)的某個服務應用中，將該應用導出后，實現(xiàn)邏輯就一覽無余，如圖1所示。

從圖1可得，加密采用了AES算法，密鑰極其簡單，就是從0到15的16個字節(jié)，初始化向量（IV）則是16個0字節(jié)。通過對臨近代碼的分析，很容易掌握升級包的存儲結(jié)構，解密出升級包的所有內(nèi)容，進而分析了其中的關鍵數(shù)據(jù)和程序，實現(xiàn)了較深層次的攻擊。更有甚者，某車載系統(tǒng)將升級包的簽名私鑰也明文存儲在某應用中，一旦被攻擊者利用，將會導致升級包的信任體系崩潰，攻擊者能夠生成任意內(nèi)容的偽造升級包，再誘使用戶刷入，就獲得了成千上萬輛“肉車”的控制權。廠商不得不大規(guī)模召回，更換車載系統(tǒng)，付出的代價很慘重。還有的被測樣本盡管采用了數(shù)字簽名，但在升級時并未正確校驗，從逆向代碼可以看出，校驗函數(shù)無論返回True還是False，系統(tǒng)升級都照常執(zhí)行，攻擊者就能任意篡改升級包的內(nèi)容，通過試錯了解升級包結(jié)構，進而向系統(tǒng)引入各種不可預知的危害。

3.2 應用安全

得益于移動互聯(lián)網(wǎng)的安全實踐，車載終端的應用安全大體可以沿用現(xiàn)有的成熟經(jīng)驗，測試方面也已經(jīng)建立了較成體系的標準規(guī)范，例如中國軟件評測中心制定的《移動應用軟件安全測試規(guī)范（2.0版）》等。盡管如此，移動安全起步階段常見的若干問題，仍然成為車載終端應用的典型癥結(jié)。

測試Android車機應用時，首先通過ADB的方式將預裝應用導出，然后提取清單文件，分析包名、顯示名等信息，結(jié)合委托方的測試需求，排出測試的優(yōu)先級。中國軟件評測中心內(nèi)部建有移動應用安全檢測平臺，能夠批量掃描車載應用，自動生成包括應用權限、敏感行為、數(shù)據(jù)存儲等檢測項的報告。重點應用需要結(jié)合人工測試進行逆向分析，檢查代碼邏輯、數(shù)據(jù)內(nèi)容、內(nèi)外部通信等。大部分車載終端還需要測試能否向系統(tǒng)中安裝第三方應用、經(jīng)篡改的應用等。

根據(jù)經(jīng)驗，車載服務類應用往往直接與車載終端產(chǎn)品相匹配，對它們的分析往往可以獲得不少高價值的線索。例如某應用以明文資源的形式保存了進入工程模式的撥號代碼、內(nèi)部服務的調(diào)用參數(shù)等資料，還有的應用直接將部分源代碼打包進來，為攻擊者提供了便利。在應用簽名封裝之前增加一道自動化掃描工序?qū)γ舾形募奶卣鬟M行匹配，一般就能有效地避免類似問題。

另一個典型的問題是關鍵代碼缺乏保護。攻擊者不僅能輕易分析敏感操作的執(zhí)行步驟，有時還可以提取賬號口令等機密數(shù)據(jù)，之前介紹的AES密鑰存儲就是一個例子。在與客戶交流中，有些技術人員不太理解代碼保護的基本概念，比如認為apk經(jīng)過簽名就可以防止篡改，對字節(jié)碼加以混淆就無法分析，將關鍵代碼用C語言實現(xiàn)就絕對安全等。還有被問到為何某些關鍵應用沒有任何保護，連基本的混淆都沒做時，回答竟然是它屬于第三方開發(fā)，對方未提供源代碼，所以無法混淆。這也表明，車載應用可能還處于車載終端“附屬品”的階段，尚未得到廠商的足夠重視。它們可能包含高價值信息，攻擊難度卻不大易于自動化執(zhí)行，也許會成為注重性價比黑客的首選目標。

3.3 通信安全

信息通訊是車載終端的核心功能。自從奠基性的“機動車安全攻擊層面的實證性綜合分析”[7]一文發(fā)表以來，研究者和黑客們紛紛將目光轉(zhuǎn)向汽車信息安全，車載終端迅速成為攻防對抗的主戰(zhàn)場。由于通信的方式多種多樣，典型的例子不勝枚舉，如藍牙協(xié)議漏洞[8]、使用弱密碼算法、車內(nèi)通信缺乏身份認證等，測試方法大多可以借鑒PC互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)安全的經(jīng)驗。

本文僅介紹一個車機啟動時芯片間雙向認證的例子。與常見的通信安全問題不同，它不是具體實現(xiàn)的漏洞，而是通信協(xié)議設計的缺陷。兩個芯片C1、C2的交互邏輯如圖2所示。

車機出廠前，將生成的RSA公私鑰分別封裝入C1、C2的安全存儲區(qū)。車機每次啟動時，C1、C2彼此驗證身份才進入正常的工作流程。這里采用一對公私鑰就完成了雙向認證，而常規(guī)的方式需要兩對公私鑰來標識雙方身份。這里的私鑰和公鑰都必須保密存儲，實際上都是“私鑰”，并不具備字面的含義。

這個協(xié)議利用RSA算法[9]的對稱性省去了一對公私鑰，通過取反操作省去了C2本應獨立生成的隨機數(shù)M2，確實頗具巧思。然而，為了節(jié)省計算和通信，C1在認證過程中處于主導地位，C2只是接受請求、驗簽、返回新簽名。一旦總線中植入了惡意節(jié)點，記錄C1發(fā)送到C2的報文并進行重放，就可以偽裝成C1的身份與C2通信。如果在現(xiàn)有的框架上補救，C2可能要用非易失性存儲保存近期收到的簽名S1，每次收到認證請求都檢索一遍，并將新簽名加入存儲。即便如此，存儲區(qū)裝滿后，重放攻擊仍會生效，而存儲介質(zhì)的管理無論在成本還是實現(xiàn)上都頗具挑戰(zhàn)。為了抵御重放，C1、C2應該獨立生成隨機數(shù)，在兩個方向上進行挑戰(zhàn)-應答，而不是一廂情愿的“自問自答”，使公鑰私鑰失去意義。建議將同一個對稱密鑰置入C1、C2的安全存儲區(qū)，雙方計算HMAC值即能實現(xiàn)雙向認證。

3.4 數(shù)據(jù)安全

數(shù)據(jù)安全測試包含多方面的細致工作，往往與具體業(yè)務相關。若干內(nèi)容在本文的系統(tǒng)安全、應用安全中已有提及，本節(jié)僅作補充性說明。

與手機系統(tǒng)相似，部分車載終端裝有共享存儲，允許大部分程序自由訪問。由于其使用的便利性，不少程序直接將密碼、私鑰等敏感信息直接寫入共享存儲。測試時，使用簡單的字符串匹配工具進行掃描，往往就能發(fā)現(xiàn)不少有價值的信息。

運行日志是另一個常見的問題。程序開發(fā)過程中，為了輔助調(diào)試，往往需要將一些運行信息輸出到系統(tǒng)日志中。作為產(chǎn)品發(fā)布前，應該將不必要的日志關閉，否則攻擊者可能借此分析程序的運行邏輯，進而發(fā)現(xiàn)突破口。測試中發(fā)現(xiàn)，不少運行日志包含豐富的信息，有加密參數(shù)、執(zhí)行流程、系統(tǒng)狀態(tài)等敏感內(nèi)容。訪談后得知，有些程序并未采用glog等專用日志庫，而是直接調(diào)用原始的fprintf函數(shù)輸出日志，很難在合適的層次上一鍵關閉。

此外，不少的Android應用允許直接導出用戶數(shù)據(jù)，這是在Android開發(fā)中熟知的安全問題。應用清單中如果沒有將Android：allowBackup屬性設為False，就能通過ADB導出該應用的私有數(shù)據(jù)，可能被攻擊者直接盜用。

4 結(jié)束語

通過本文發(fā)現(xiàn)車載終端的信息安全基本要求并不復雜，之所以暴露出大大小小的問題，有的是設計時缺乏安全考慮，有的則是因為沒有理解各種安全策略的作用，未能準確嚴謹?shù)貙崿F(xiàn)。另外，車載系統(tǒng)涉及的模塊較多，可能由不同的團隊甚至公司開發(fā)，模塊間的調(diào)用與協(xié)作往往成為安全問題的高發(fā)區(qū)。

在汽車加速軟件化的今天，車企應該向IT行業(yè)取經(jīng)，借鑒從設計到測試的最佳實踐，提高了技術人員的自主開發(fā)能力與信息安全水平，將開發(fā)流程正規(guī)化、安全思維常識化、測試手段多元化，并委托專業(yè)安全人員把關。據(jù)近期報道，一汽大眾公司2020屆的春季校招，一改機械、車輛為主的傳統(tǒng)需求，大力向計算機專業(yè)傾斜，顯示了可貴的決心。

現(xiàn)代汽車行業(yè)的信息安全，需要依靠計算機安全界與車企的齊心協(xié)作，就像計算機安全界與PC廠商的緊密合作[7]。汽車領域的信息安全正處于奮力起步的破曉期?；仡?002年的PC行業(yè)，微軟公司毅然推行“可信計算”計劃，將信息安全提到前所未有的高度。2011年前后的移動安全行業(yè)，盡管Android、iOS系統(tǒng)在設計之初就將安全置于首位，但是仍然經(jīng)歷了較多的探索，才逐漸實現(xiàn)從嘗試到常規(guī)的過程。又一個九年即將過去，智能汽車的安全有幸借鑒前兩個時代的經(jīng)驗，面臨的問題又復雜得多，車載終端只是其中一隅。“世紀開新幕，風潮集遠洋。欲閑閑未得，橫槊數(shù)興亡。”謹借梁任公的五律《壯別》，寄望于車聯(lián)網(wǎng)的下一個九年。

基金項目：

國家重點研發(fā)計劃資助（項目編號： 2018YFB0105204）

參考文獻

[1] 中國汽車工程學會. 智能網(wǎng)聯(lián)汽車車載端信息安全測試方法（征求意見稿）[S]. 2019.

[2] 朱科屹，宋娟，葉璐，路鵬飛.車載終端信息安全測評指標體系研究[J].工業(yè)技術創(chuàng)新，2018，05（06）：7-13.

[3] Craig Smith. The Car Hacker's Handbook： A Guide for the Penetration Tester[J]. Chapter 9， No Starch Press， 2016.

[4] Dirty COW. CVE-2016-5195. https：//cve.mitre.org/cgi-bin/cvename.cgi？name=CVE-2016-5195. [DB/OL] POCs： https：//github.com/dirtycow/dirtycow.github.io/wiki/PoCs.

[5] O. Sami Saydjari. Engineering Trustworthy Systems： Get Cybersecurity Design Right the First Time[M]. McGraw-Hill， 2018.

[6] Dave （Jing） Tian， Grant Hernande? et al. ATtention Spanned： Comprehensive Vulnerability Analysis of AT Commands Within the Android Ecosystem[M].USENIX Security 2018.

[7] Stephen Checkoway et al. Comprehensive Experimental Analyses of Automotive Attack Surfaces[M]. USENIX Security， 2011.

[8] CVE-2017-0782. A remote code execution vulnerability in the Android system （bluetooth）[DB/OL]. https：//www.cvedetails.com/cve/CVE-2017-0782/.

[9] Ronald Rivest， Adi Shamir， and Leonard Adleman. A Method for Obtaining Digital Signatures and Public-Key Cryptosystems， Communications of the ACM[J]. 21：120-126， 1978. https：//dl.acm.org/citation.cfm？id=359342.

作者簡介：

楊玚（1980-），男，漢族，江蘇人，中國科學技術大學，博士，高級工程師;主要研究方向和關注領域：網(wǎng)絡信息安全。

朱科屹（1991-），女，蒙古族，內(nèi)蒙古人，北京航空航天大學，碩士，工程師;主要研究方向和關注領域：智能網(wǎng)聯(lián)汽車網(wǎng)絡安全。

宋娟（1984-），女，漢族，陜西人，北京交通大學，博士，高級工程師;主要研究方向和關注領域：智能網(wǎng)聯(lián)汽車網(wǎng)絡安全。