寧玉橋，馬超，劉天宇

(中國(guó)汽車(chē)技術(shù)研究中心有限公司數(shù)據(jù)資源中心，天津 300393)

0 引言

隨著互聯(lián)網(wǎng)、人工智能、云計(jì)算、大數(shù)據(jù)等技術(shù)的快速發(fā)展，以萬(wàn)物互聯(lián)為目標(biāo)的物聯(lián)網(wǎng)技術(shù)正在快速發(fā)展，而車(chē)聯(lián)網(wǎng)正是物聯(lián)網(wǎng)技術(shù)在傳統(tǒng)汽車(chē)行業(yè)的典型應(yīng)用。典型的車(chē)聯(lián)網(wǎng)系統(tǒng)分為3個(gè)模塊，分別是車(chē)載智能終端、網(wǎng)絡(luò)傳輸和云平臺(tái)，主要目標(biāo)是實(shí)現(xiàn)車(chē)輛與人、車(chē)輛與車(chē)輛、車(chē)輛與路基設(shè)備、車(chē)輛與云平臺(tái)之間的通信[1]。通過(guò)車(chē)載傳感設(shè)備感知車(chē)內(nèi)及車(chē)外狀況，實(shí)時(shí)收集道路交通狀況等信息并通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)傳輸給云平臺(tái)進(jìn)行分析和計(jì)算，為網(wǎng)聯(lián)汽車(chē)提供實(shí)時(shí)精準(zhǔn)的道路導(dǎo)航、應(yīng)急搶險(xiǎn)等綜合服務(wù)[2]。在車(chē)聯(lián)網(wǎng)技術(shù)給用戶(hù)帶來(lái)智能化體驗(yàn)的同時(shí)，也面臨著信息安全方面的風(fēng)險(xiǎn)。

T-Box被稱(chēng)為與云端通信的橋梁，T-Box作為車(chē)內(nèi)與外界進(jìn)行信息交換的系統(tǒng)，主要功能是實(shí)現(xiàn)汽車(chē)與車(chē)聯(lián)網(wǎng)服務(wù)云平臺(tái)之間的通信，是車(chē)聯(lián)網(wǎng)的核心部分。T-Box是集成了OBD、MCU/CPU、FLASH、SENSOR、GPS、3G/4G、WiFi/藍(lán)牙等模塊于一體的嵌入式系統(tǒng)。它對(duì)內(nèi)與車(chē)載CAN總線(xiàn)相連，對(duì)外通過(guò)云平臺(tái)與手機(jī)/PC實(shí)現(xiàn)互聯(lián)。通過(guò)T-Box可主要實(shí)現(xiàn)遠(yuǎn)程控制、遠(yuǎn)程查詢(xún)、安防服務(wù)等功能[3]，如：遠(yuǎn)程控制車(chē)門(mén)、車(chē)窗、空調(diào)等開(kāi)啟，遠(yuǎn)程車(chē)輛定位、查詢(xún)車(chē)況信息，車(chē)輛異動(dòng)報(bào)警緊急救援求助等。T-Box作為智能網(wǎng)聯(lián)汽車(chē)不可分割的一部分，已越來(lái)越受到整車(chē)廠商和消費(fèi)者的歡迎[4]。

T-Box直接連接車(chē)內(nèi)總線(xiàn)，經(jīng)T-Box可從總線(xiàn)獲取到汽車(chē)數(shù)據(jù)上傳給用戶(hù)，用戶(hù)亦可通過(guò)T-Box向車(chē)內(nèi)總線(xiàn)發(fā)送指令，實(shí)現(xiàn)對(duì)車(chē)的控制。隨著網(wǎng)聯(lián)汽車(chē)技術(shù)的應(yīng)用越來(lái)越廣泛，T-Box也為汽車(chē)帶來(lái)了更多的信息安全隱患[5]。例如：2018年英國(guó)廣播公司報(bào)道，中國(guó)一家網(wǎng)聯(lián)安全實(shí)驗(yàn)室的研究顯示黑客可以通過(guò)插入U(xiǎn)盤(pán)、使用藍(lán)牙以及車(chē)輛自帶的3G/4G數(shù)據(jù)連接等方式入侵T-Box，在汽車(chē)行駛時(shí)取得部分控制權(quán)。這無(wú)疑對(duì)車(chē)輛安全行駛造成了巨大的威脅，因此加強(qiáng)T-Box的信息安全防護(hù)已迫在眉睫[6]。

一方面，T-Box可與車(chē)內(nèi)總線(xiàn)通信，實(shí)現(xiàn)指令和信息的傳遞；另一方面，其內(nèi)置調(diào)制解調(diào)器，可通過(guò)數(shù)據(jù)網(wǎng)絡(luò)、語(yǔ)音、短信等與車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)交互，是車(chē)內(nèi)外信息交互的紐帶[7]。T-Box主要面臨幾方面的安全威脅：(1)固件逆向，攻擊者通過(guò)逆向分析T-Box固件，獲取加密算法和密鑰，解密通信協(xié)議，用于竊聽(tīng)或偽造指令；(2)信息竊取，攻擊者通過(guò)T-Box預(yù)留調(diào)試接口讀取內(nèi)部數(shù)據(jù)用于攻擊分析，或者通過(guò)對(duì)通信端口的數(shù)據(jù)抓包，獲取用戶(hù)通信數(shù)據(jù)[8]。

1 T-Box安全測(cè)試與分析

T-Box作為車(chē)內(nèi)外信息交互的紐帶，保證T-Box通信安全至關(guān)重要。某公司數(shù)據(jù)資源中心信息安全團(tuán)隊(duì)對(duì)當(dāng)前智能網(wǎng)聯(lián)汽車(chē)車(chē)載智能終端T-Box的安全現(xiàn)狀進(jìn)行了深入研究，對(duì)5款T-Box進(jìn)行多維度的安全測(cè)試與分析，最后對(duì)各款T-Box的信息安全測(cè)試結(jié)果進(jìn)行歸納統(tǒng)計(jì)與分析。

1.1 T-Box測(cè)試過(guò)程及方法

主要采用信號(hào)欺騙、暴力破解等測(cè)試方法并參照相關(guān)安全指導(dǎo)標(biāo)準(zhǔn)，借助IDA、Kali Linux、Wireshark、gdb、CANoe等工具對(duì)5款T-Box進(jìn)行攻擊性測(cè)試，并針對(duì)有缺陷的T-Box系統(tǒng)提出了修復(fù)及改進(jìn)意見(jiàn)。

(1)硬件安全測(cè)試

吹取PCB板芯片，并逆向提取芯片數(shù)據(jù)emmc/SOC/MCU及存儲(chǔ)單元，并對(duì)提取數(shù)據(jù)進(jìn)行分析；連接WiFi熱點(diǎn)，使用掃描工具對(duì)T-Box進(jìn)行全端口掃描并通過(guò)USB接口進(jìn)行網(wǎng)絡(luò)/數(shù)據(jù)攻擊；在T-Box工作期間監(jiān)控關(guān)鍵數(shù)據(jù)信號(hào)并進(jìn)行分析，同時(shí)進(jìn)行MCU和SOC通信攻擊以及MCU和CAN通信攻擊。

(2)數(shù)據(jù)安全測(cè)試

通過(guò)使用SSH等工具，檢測(cè)文件系統(tǒng)中是否存在配置文件以及板端內(nèi)存/控制器內(nèi)部數(shù)據(jù)是否進(jìn)行加密防護(hù)；掃描測(cè)試T-Box靜態(tài)文件以及報(bào)文數(shù)據(jù)、代碼數(shù)據(jù)和存儲(chǔ)數(shù)據(jù)，并通過(guò)T-Box熱點(diǎn)連接，檢查文件系統(tǒng)中的個(gè)人隱私信息以及位置信息。

(3)應(yīng)用安全測(cè)試

通過(guò)連接T-Box熱點(diǎn)，登陸SSH服務(wù)獲取系統(tǒng)權(quán)限，使用命令查看系統(tǒng)內(nèi)核更新版本，檢查是否及時(shí)安裝補(bǔ)?。幌蛳到y(tǒng)中安裝惡意軟件，檢查系統(tǒng)中是否存在監(jiān)控機(jī)制能夠記錄惡意軟件的運(yùn)行流程并查看惡意軟件是否能夠正常運(yùn)行，確定系統(tǒng)中是否存在防護(hù)機(jī)制以及防護(hù)機(jī)制是否有效。

通過(guò)測(cè)試攻擊可以查看Linux應(yīng)用是否安裝防護(hù)、防火墻是否配置安全策略以及系統(tǒng)是否開(kāi)啟防堆棧溢出攻擊、是否存在內(nèi)核漏洞。

(4)系統(tǒng)安全測(cè)試

連接T-Box熱點(diǎn)，登陸SSH服務(wù)，遍歷文件系統(tǒng)，獲取升級(jí)包，將升級(jí)包下載到本地，查看升級(jí)包是否可被正常打開(kāi)并對(duì)升級(jí)包進(jìn)行解包，并在本地掛載升級(jí)鏡像修改配置文件進(jìn)行升級(jí)包替換。在此過(guò)程中使用中間人攻擊工具對(duì)升級(jí)進(jìn)行劫持，竊取升級(jí)數(shù)據(jù)。

(5)網(wǎng)絡(luò)通信安全測(cè)試

使用偽基站、屏蔽房重建蜂窩數(shù)據(jù)網(wǎng)絡(luò)，將T-Box網(wǎng)絡(luò)連接到偽基站網(wǎng)絡(luò)，監(jiān)聽(tīng)T-Box通信數(shù)據(jù)包，并進(jìn)行分析，查找敏感數(shù)據(jù)；登入SSH，使用抓包工具對(duì)網(wǎng)卡進(jìn)行數(shù)據(jù)分析；連接T-BOX熱點(diǎn)，使用端口掃描工具進(jìn)行掃描并對(duì)掃描結(jié)果進(jìn)行分析。

1.2 T-BOX測(cè)試結(jié)果及分析

1.2.1 安全漏洞數(shù)量統(tǒng)計(jì)

通過(guò)對(duì)測(cè)試結(jié)果進(jìn)行統(tǒng)計(jì)分析得知：B-026J和B-029C兩款T-Box出現(xiàn)漏洞的數(shù)量最多，高達(dá)4個(gè)；B-010C這款T-Box出現(xiàn)漏洞的數(shù)量次之，達(dá)到2個(gè)；B-020C和B-019C這兩款T-Box安全性能較好，只發(fā)現(xiàn)一個(gè)安全漏洞，如表1所示。

表1 T-Box漏洞數(shù)量

1.2.2 安全漏洞類(lèi)型數(shù)量統(tǒng)計(jì)

如表2和表3所示，5款T-Box中通信端口漏洞、系統(tǒng)升級(jí)漏洞出現(xiàn)的數(shù)量較多。其中，通信端口漏洞出現(xiàn)次數(shù)最多，達(dá)到4次，占比高達(dá)33%；重放攻擊漏洞的漏洞類(lèi)型出現(xiàn)次數(shù)最少，為1次，占比為8%。

表2 漏洞類(lèi)型數(shù)量

表3 漏洞類(lèi)型數(shù)量占比

重放攻擊漏洞這種漏洞類(lèi)型出現(xiàn)的次數(shù)雖然較少，但是安全問(wèn)題不可忽視，因?yàn)檫@種類(lèi)型的安全漏洞會(huì)給智能汽車(chē)的安全性帶來(lái)很?chē)?yán)重的威脅。

1.2.3 安全漏洞危害等級(jí)統(tǒng)計(jì)

根據(jù)漏洞的影響范圍、利用方式、攻擊后果等情況，可以將危害分為低危、中危、高危、嚴(yán)重4個(gè)等級(jí)。此次測(cè)試結(jié)果表明：4類(lèi)中，高危漏洞出現(xiàn)的次數(shù)最多，占比42%，中危漏洞出現(xiàn)次數(shù)占比33%，嚴(yán)重漏洞出現(xiàn)次數(shù)占比8%，如表4所示。應(yīng)該及時(shí)加強(qiáng)對(duì)高、中危漏洞的修補(bǔ)和防護(hù)。

表4 安全漏洞危害等級(jí)占比

1.3 T-Box面臨的安全風(fēng)險(xiǎn)/漏洞

1.3.1 已知漏洞

已知漏洞是指系統(tǒng)中的應(yīng)用或使用的組件中存在的已經(jīng)公開(kāi)的漏洞，由于這些漏洞都屬于公開(kāi)漏洞，因此大多數(shù)都具有公開(kāi)的漏洞利用程序。雖然在車(chē)內(nèi)嵌入式系統(tǒng)中，這些漏洞的利用條件非?？量?，但是公開(kāi)漏洞的存在仍是潛在的安全隱患，其安全問(wèn)題越來(lái)越受到人們的重視。

通過(guò)分析已測(cè)車(chē)型存在的組件漏洞，發(fā)現(xiàn)存在漏洞的組件為66種，總計(jì)存在1 022個(gè)公開(kāi)漏洞，如圖1所示。

在這些組件漏洞中，存在漏洞較多的組件為ffmpeg和tcpdump，分別占所有組件漏洞的20%和12%。這些存在漏洞的組件一般存在于Linux系統(tǒng)的自帶程序中，較為常見(jiàn)，如表5所示。

圖1 公開(kāi)組件漏洞

表5 存在已知漏洞的組件占比

1.3.2 未知漏洞

相對(duì)于已知漏洞而言，未知漏洞是通過(guò)二進(jìn)制靜態(tài)漏洞掃描工具對(duì)系統(tǒng)中存在的二進(jìn)制文件進(jìn)行漏洞掃描，發(fā)現(xiàn)程序代碼中可能存在的漏洞。

經(jīng)分析，這些未知漏洞大多位于read、fscanf、fread、scanf、accept、connect等函數(shù)的調(diào)用中，存在的安全問(wèn)題為Unchecked Return Value(未檢查返回值)。

此類(lèi)漏洞可能導(dǎo)致緩沖區(qū)溢出、空指針解引用等較為嚴(yán)重的安全問(wèn)題。對(duì)于其他函數(shù)的調(diào)用，也需注意返回值的檢查，以確保函數(shù)的安全使用，如表6所示。

表6 存在未知漏洞的函數(shù)數(shù)量

2 T-Box安全防護(hù)策略

T-Box應(yīng)用領(lǐng)域很廣，大體可分為兩大類(lèi)：安全相關(guān)應(yīng)用以及其他應(yīng)用。安全相關(guān)應(yīng)用主要用于輔助駕駛，在生命受到威脅的情況下可能會(huì)阻止事故的進(jìn)一步惡化。這一類(lèi)的安全是強(qiáng)制性的，因?yàn)檫@些應(yīng)用程序的任何操作都必須得到保障，哪怕正遭受黑客攻擊。其他應(yīng)用則包括交通優(yōu)化、GPS 服務(wù)、信息娛樂(lè)等，這一類(lèi)別的應(yīng)用出現(xiàn)的目的是方便生活，此類(lèi)應(yīng)用會(huì)在用戶(hù)使用的過(guò)程中產(chǎn)生大量跟用戶(hù)相關(guān)的個(gè)人隱私數(shù)據(jù)，因此安全問(wèn)題也必須引起重視?；谏衔闹械臏y(cè)試結(jié)果和分析，本文作者從4個(gè)方面給出了防護(hù)策略。

2.1 硬件防護(hù)

硬件防護(hù)是汽車(chē)最底層的防護(hù)措施，智能網(wǎng)聯(lián)汽車(chē)的防護(hù)必須先從硬件防護(hù)開(kāi)始。如今相關(guān)企業(yè)研發(fā)硬件安全模塊(Hardware Security Module，HSM)，將加密算法、訪(fǎng)問(wèn)控制、完整性檢查嵌入到汽車(chē)控制系統(tǒng)，以加強(qiáng)ECU的安全性，提升安全等級(jí)。例如：隱藏PCB板中存在的調(diào)試接口；將PCB絲印、芯片型號(hào)等信息清除，通過(guò)隱藏這些芯片信息來(lái)增加敏感芯片和組件被識(shí)別出的難度；同時(shí)移除云端的固件下載接口，使用具有讀寫(xiě)保護(hù)存儲(chǔ)能力的芯片，可以通過(guò)設(shè)置使得設(shè)備不可讀。

2.2 數(shù)據(jù)、通信防護(hù)

通信是當(dāng)代智能網(wǎng)聯(lián)汽車(chē)最為重要的功能，為了提升智能網(wǎng)聯(lián)汽車(chē)整體的安全性，必須加強(qiáng)車(chē)聯(lián)網(wǎng)通信的防護(hù)，如在T-Box中配置安全策略，限定網(wǎng)絡(luò)可訪(fǎng)問(wèn)的地址、通信端口、通信協(xié)議，加強(qiáng)網(wǎng)絡(luò)訪(fǎng)問(wèn)控制：敏感信息避免使用日志的方式進(jìn)行打印輸出；避免使用硬編碼的方式存儲(chǔ)用戶(hù)名、密碼、密鑰等敏感信息；隱私信息使用軟編碼、加密形式進(jìn)行傳輸；采用復(fù)雜的加密方式對(duì)敏感數(shù)據(jù)進(jìn)行加密處理，避免明文存儲(chǔ)；遠(yuǎn)程通信采用HTTPS等加密協(xié)議進(jìn)行數(shù)據(jù)傳輸；安全存儲(chǔ)用于解密數(shù)據(jù)公鑰和私鑰。

2.3 系統(tǒng)防護(hù)

為了加強(qiáng)用戶(hù)及網(wǎng)聯(lián)汽車(chē)數(shù)據(jù)隱私等各方面的安全，必須加強(qiáng)系統(tǒng)的整體防護(hù)，關(guān)閉常見(jiàn)的危險(xiǎn)端口，如21、22、23、5555等；設(shè)置防火墻過(guò)濾規(guī)則；及時(shí)更新端口所對(duì)應(yīng)的應(yīng)用程序；關(guān)注內(nèi)核漏洞并及時(shí)更新系統(tǒng)內(nèi)核；增加系統(tǒng)最高權(quán)限用戶(hù)名密碼的復(fù)雜度等。

2.4 應(yīng)用防護(hù)

在系統(tǒng)開(kāi)發(fā)過(guò)程中，使用第三方組件時(shí)，需注意其安全狀態(tài)，及時(shí)更新至最新版本；在系統(tǒng)開(kāi)發(fā)過(guò)程中，建議遵守MISRA 2012和CERT-C編程規(guī)范；增加反調(diào)試機(jī)制，用來(lái)識(shí)別應(yīng)用程序是否被調(diào)試，或者讓調(diào)試器失靈，以此來(lái)防止攻擊者使用調(diào)試器來(lái)觀察應(yīng)用程序的運(yùn)行過(guò)程；增加代碼混淆，將代碼轉(zhuǎn)換成功能上等價(jià)但是難于閱讀和理解的形式。

3 結(jié)論

隨著汽車(chē)車(chē)載系統(tǒng)越來(lái)越精密、功能越來(lái)越繁雜，T-Box會(huì)變得更加普及、更加智能。本文作者首先介紹了T-Box的發(fā)展以及在發(fā)展過(guò)程中面臨的信息安全問(wèn)題，并針對(duì)車(chē)聯(lián)網(wǎng)環(huán)境下T-Box面臨的安全威脅，利用信號(hào)欺騙、威脅攻擊、暴力破解等測(cè)試方法對(duì)現(xiàn)有的5款智能網(wǎng)聯(lián)汽車(chē)的T-Box從多維度進(jìn)行了信息安全測(cè)試，并對(duì)相應(yīng)的測(cè)試結(jié)果進(jìn)行統(tǒng)計(jì)及分析，最后根據(jù)測(cè)試分析結(jié)果，從硬件、通信、系統(tǒng)以及應(yīng)用4個(gè)方面提出了相對(duì)應(yīng)的防護(hù)措施。本文作者通過(guò)對(duì)多款T-Box進(jìn)行測(cè)試分析，旨在為智能網(wǎng)聯(lián)汽車(chē)高速發(fā)展的環(huán)境下設(shè)計(jì)更加安全、智能的T-Box獻(xiàn)計(jì)獻(xiàn)策。