霍全瑞，寧玉橋，于奇

智能網(wǎng)聯(lián)汽車智能終端硬件安全性研究

霍全瑞，寧玉橋，于奇

（中汽數(shù)據(jù)有限公司，天津 300300）

隨著車輛逐步向著智能化發(fā)展，帶動(dòng)了車載智能終端的智能化，在功能豐富多樣的同時(shí)，其作為智能硬件設(shè)備，硬件本身的信息安全也至關(guān)重要，文章對多款車載智能終端進(jìn)行安全研究，根據(jù)結(jié)果來對當(dāng)下的漏洞風(fēng)險(xiǎn)進(jìn)行分析并提出建議防護(hù)措施。

車載智能終端；硬件安全；防護(hù)策略

前言

隨著車輛網(wǎng)聯(lián)化的高速發(fā)展，車輛的聯(lián)網(wǎng)功能也愈漸豐富多樣，作為出行的交通工具，萬物互聯(lián)的愿景中必然無法脫離智能網(wǎng)聯(lián)汽車的參與，通過云端的聯(lián)網(wǎng)，實(shí)現(xiàn)了方便的遠(yuǎn)程控制功能，同時(shí)作為車輛數(shù)據(jù)交互的傳輸媒介，將車輛間通信，車輛與道路設(shè)備通信連接在一起，加速V2X及更高級(jí)別的自動(dòng)駕駛場景落地，而在聯(lián)網(wǎng)的同時(shí)，也同樣引入相應(yīng)的信息安全風(fēng)險(xiǎn)。

IVI（In-Vehicle Infotainment）車載信息娛樂系統(tǒng)被稱為連接車主和車輛生產(chǎn)企業(yè)的紐帶[1]，IVI作為車輛與外界通信的中轉(zhuǎn)站，也同樣銜接了用戶與車輛之間的交互。IVI是集成了各種無線通信（WIFI/藍(lán)牙/4G/NFC/GPS）、有線通信（車內(nèi)網(wǎng)絡(luò)）等模塊于一體的嵌入式設(shè)備。IVI與車內(nèi)網(wǎng)絡(luò)進(jìn)行連接，以便進(jìn)行車輛的設(shè)置和控制。通過IVI可對車主用戶提供車輛導(dǎo)航、上網(wǎng)服務(wù)、資訊推送、車輛事實(shí)信息等功能。IVI已逐漸成為現(xiàn)代化的智能網(wǎng)聯(lián)車輛必不可少的車內(nèi)輔助設(shè)備。

1 車企信息安全現(xiàn)狀

IVI 安全現(xiàn)狀。IVI作為用戶輸入的終端，對外提供信息娛樂功能，其本身的功能不存在安全風(fēng)險(xiǎn)，但具備聯(lián)網(wǎng)功能后（或外接Tbox設(shè)備），會(huì)影響車輛的功能和控制。通過遠(yuǎn)程或近程通信對車機(jī)系統(tǒng)發(fā)起攻擊后，可接管車機(jī)控制權(quán)限，進(jìn)一步來對車輛進(jìn)行控制，故從硬件方向主要面臨PCB硬件層面的風(fēng)險(xiǎn)和系統(tǒng)本身的安全風(fēng)險(xiǎn)，PCB硬件層面包括PCB板上的JTAG口、UART口、絲印標(biāo)識(shí)等，通過此類風(fēng)險(xiǎn)可對車輛系統(tǒng)運(yùn)行數(shù)據(jù)及系統(tǒng)內(nèi)數(shù)據(jù)進(jìn)行獲取分析；系統(tǒng)本身安全風(fēng)險(xiǎn)包括不安全的配置及存在漏洞的第三方組件，通過此類風(fēng)險(xiǎn)可對系統(tǒng)進(jìn)行進(jìn)一步的漏洞利用和權(quán)限提升。

2 IVI安全測試與分析

IVI作為車輛連接車主和車輛企業(yè)的紐帶，IVI本身的數(shù)據(jù)安全十分關(guān)鍵。中汽數(shù)據(jù)（天津）有限公司車聯(lián)網(wǎng)信息安全團(tuán)隊(duì)對目前世面上的智能網(wǎng)聯(lián)汽車智能終端IVI硬件的安全情況進(jìn)行了分析和整理。

2.1 IVI測試過程及方法

本次測試使用滲透測試、逆向分析等測試方法并參照國家相關(guān)標(biāo)準(zhǔn)，借助ADB、Binwalk、Nmap、TCPdump、Putty等工具對10款I(lǐng)VI進(jìn)行滲透測試，對相應(yīng)的風(fēng)險(xiǎn)項(xiàng)給出防護(hù)建議。

2.1.1硬件安全測試

拆解IVI設(shè)備，分析PCB上相應(yīng)的存儲(chǔ)芯片，使用BGA焊接臺(tái)對存儲(chǔ)芯片進(jìn)行吹取，使用專用編程器對芯片內(nèi)容進(jìn)行讀取，對讀取數(shù)據(jù)使用binwalk解包分析；拆解PCB板，觀察板上是否存在明顯調(diào)試口標(biāo)識(shí)絲印或接口調(diào)試座；在IVI上電運(yùn)行時(shí)對相應(yīng)的測試點(diǎn)信號(hào)進(jìn)行分析。

2.1.2固件安全測試

通過使用Binwalk、unyaffs等解包分析提取工具，對固件進(jìn)行逆向分析，還原固件初始的文件結(jié)構(gòu)，發(fā)掘其配置錯(cuò)誤及敏感信息泄漏等問題。

2.1.3硬件接口識(shí)別

對PCB板上外接的硬件接口識(shí)別，對常見的USB（Type- A、Type-C、Micro-B）、JTAG、UART接口連接相應(yīng)線束來探測該接口的功能和用途。

2.1.4主芯片引腳測試

通過查看芯片絲印確定芯片型號(hào)，查找對應(yīng)芯片data- sheet，查看芯片內(nèi)存布局，調(diào)試功能引腳和使能引腳，測量相應(yīng)的信號(hào)情況。

2.2 IVI測試結(jié)果及分析

2.2.1安全漏洞數(shù)量統(tǒng)計(jì)

圖1 IVI漏洞數(shù)量

對滲透測試結(jié)果進(jìn)行總結(jié)，其中H-015V這款I(lǐng)VI出現(xiàn)漏洞的數(shù)量為4個(gè)，B-005V和B-025V這兩款I(lǐng)VI出現(xiàn)漏洞的數(shù)量為3個(gè)。其余幾款I(lǐng)VI有做一些安全措施，出現(xiàn)的漏洞數(shù)量在2個(gè)以內(nèi)。如圖1所示。

2.2.2安全漏洞類型數(shù)量統(tǒng)計(jì)

如圖2和圖3所示：10款I(lǐng)VI中JTAG口和UART口、固件逆向漏洞的數(shù)量較多。其中，JTAG口和UART口出現(xiàn)次數(shù)最多，達(dá)到6次，占比為28.6%。絲印標(biāo)識(shí)漏洞出現(xiàn)次數(shù)較少，為4次，占比為19%[2]。

圖2 漏洞類型數(shù)量

圖3 漏洞類型數(shù)量占比

2.2.3安全漏洞危害等級(jí)統(tǒng)計(jì)

根據(jù)漏洞危害利用影響情況，可以將危害分為低危、中危、高危、三個(gè)等級(jí)[3]。此次滲透測試結(jié)果，在三類等級(jí)中，高危漏洞出現(xiàn)的個(gè)數(shù)多，為12個(gè)，中危漏洞為5個(gè)，低危漏洞為4個(gè)。如圖4所示。

圖4 安全漏洞危害等級(jí)占比

2.3 IVI面臨的安全風(fēng)險(xiǎn)/漏洞

2.3.1 JTAG接口

JTAG接口是CPU層面的調(diào)試接口，通常由VCC電源信號(hào)、GND接地信號(hào)以及TDI（數(shù)據(jù)輸入）、TDO（數(shù)據(jù)輸出）、TCK（時(shí)鐘信號(hào)）、TMS（狀態(tài)選擇）這4個(gè)調(diào)試信號(hào)組成，部分芯片還會(huì)有TRST信號(hào)，用來復(fù)位JTAG狀態(tài)機(jī)狀態(tài)，或nSRST信號(hào)用于復(fù)位CPU等。JTAG接口需要芯片廠家對應(yīng)的調(diào)試器方可進(jìn)行調(diào)試，由于直接讀寫CPU寄存器數(shù)據(jù)，在芯片底層的開發(fā)工作，也需要用到JTAG，但是在開發(fā)完成后，暴露開放的JTGA接口會(huì)存在相應(yīng)的安全風(fēng)險(xiǎn)，通過JTGA接口對芯片內(nèi)存儲(chǔ)內(nèi)容進(jìn)行轉(zhuǎn)儲(chǔ)，燒錄相應(yīng)的Flash程序等。

2.3.2 UART接口

通用異步收發(fā)傳輸器，通常稱作 UART。它將要傳輸?shù)馁Y料在串行通信與并行通信之間加以轉(zhuǎn)換[4]。作為把并行輸入信號(hào)轉(zhuǎn)成串行輸出信號(hào)的芯片，UART通常有TTL、RS232、RS-485、RS-422等邏輯電平信號(hào)，在智能網(wǎng)聯(lián)終端硬件中，通常使用TTL電平協(xié)議（邏輯1：2.4V–5V，邏輯0: 0V–0.5V），TTL電平傳輸?shù)腢ART接口是一種不傳輸時(shí)鐘的“異步通訊”方式[5]，使用Rx（信號(hào)接收端口）、Tx（信號(hào)發(fā)送端口）、GND即可完成設(shè)備間通信，PCB板上暴露UART口，如沒有設(shè)置角色權(quán)限控制規(guī)則，則可能有直接控制文件系統(tǒng)的風(fēng)險(xiǎn)。

2.3.3固件逆向

通過對提取的固件進(jìn)行解包分析，獲取在系統(tǒng)配置文件中的硬編碼信息和賬號(hào)密碼信息、第三方組件及硬件驅(qū)動(dòng)文件，通過漏洞掃描和逆向分析來發(fā)現(xiàn)在組件中可被利用的漏洞。

2.3.4絲印標(biāo)識(shí)

通過查看PCB板上絲印標(biāo)識(shí)，可確定相應(yīng)測試點(diǎn)功能，而其中存在絲印標(biāo)識(shí)的測試點(diǎn)，泄漏了相應(yīng)測試點(diǎn)功能信息，增加了相應(yīng)調(diào)試點(diǎn)被攻擊者識(shí)別的風(fēng)險(xiǎn)。

3 IVI安全防護(hù)策略

智能網(wǎng)聯(lián)汽車智能終端整體攻擊面較廣，針對以上的滲透測試情況，本文從三個(gè)方向提出相應(yīng)的防護(hù)建議。

3.1 硬件防護(hù)

硬件層面的防護(hù)對于智能終端硬件為最底層的防護(hù)，關(guān)系著整個(gè)設(shè)備的運(yùn)行安全，需將調(diào)試測試點(diǎn)的標(biāo)識(shí)絲印去除；相應(yīng)的調(diào)試接口關(guān)閉或添加訪問認(rèn)證，增加對訪問調(diào)試接口用戶做相應(yīng)的身份校驗(yàn)；對JTAG口可開啟對應(yīng)的讀寫保護(hù)功能。

3.2 系統(tǒng)防護(hù)

系統(tǒng)是智能網(wǎng)聯(lián)汽車智能終端的核心，由于大部分的系統(tǒng)為修改版的Linux或Android系統(tǒng)，所以整個(gè)系統(tǒng)的安全尤為重要，可使用一些安全策略來保證系統(tǒng)的安全，如開啟相應(yīng)的防火墻功能；將重要的配置文件進(jìn)行編碼或混淆，不使用硬編碼的方式來儲(chǔ)存相應(yīng)的憑證；隱私信息使用加密的方式進(jìn)行存儲(chǔ)和傳輸，避免直接的明文儲(chǔ)存；關(guān)閉系統(tǒng)常見的危險(xiǎn)端口；對其中的工廠調(diào)試模式添加二次驗(yàn)證；避免開啟有漏洞的配置（WIFI開啟WPS）；對車輛內(nèi)部APN網(wǎng)絡(luò)劃分和隔離。

3.3 組件防護(hù)

由于大部分的智能網(wǎng)聯(lián)汽車智能終端使用了開源的系統(tǒng)，其內(nèi)部集成的各種系統(tǒng)組件存在的漏洞便不可忽視，制造商需關(guān)注新暴露的組件漏洞利用情況，如果使用了相應(yīng)的漏洞組件，需安排全量更新，對系統(tǒng)中存在漏洞的組件進(jìn)行完全升級(jí)，以保證系統(tǒng)不會(huì)因組件漏洞影響安全運(yùn)行。

4 結(jié)論

隨著智能網(wǎng)聯(lián)車輛市場占有逐漸增高，車載智能終端功能也逐步增強(qiáng)，本文首先介紹了IVI目前發(fā)展的現(xiàn)狀和面臨的風(fēng)險(xiǎn)，并針對目前的車聯(lián)網(wǎng)環(huán)境選取十款不同型號(hào)設(shè)備利用滲透測試、逆向分析等測試方法統(tǒng)計(jì)，針對本次結(jié)果從硬件、系統(tǒng)、組件三個(gè)方向給出有效的防護(hù)策略。本文通過對目前世面上主流IVI設(shè)備的測試驗(yàn)證，旨在提高智能網(wǎng)聯(lián)汽車智能終端硬件整體的安全性，為更加安全的智能網(wǎng)聯(lián)車輛發(fā)展提供安全指導(dǎo)建議[6]。

[1] 陳朋,許勇.車載防盜與信息娛樂系統(tǒng)集成設(shè)計(jì)[J].現(xiàn)代電子技術(shù), 2015,38(09):147-150.

[2] 寧玉橋,馬超,劉天宇.智能網(wǎng)聯(lián)汽車T-Box安全性研究[J].汽車零部件,2020(05):98-101.

[3] 李龍杰,郝永樂.信息安全漏洞相關(guān)標(biāo)準(zhǔn)介紹[J].中國信息安全, 2016(07):68-72.

[4] 楊晶.基于FPGA的UART接口協(xié)議轉(zhuǎn)換模塊設(shè)計(jì)[D].哈爾濱:哈爾濱工業(yè)大學(xué),2014.

[5] 于赫.網(wǎng)聯(lián)汽車信息安全問題及CAN總線異常檢測技術(shù)研究[D].長春:吉林大學(xué),2016.

[6] 陳桂華,于勝波,李喬,等.中國智能網(wǎng)聯(lián)汽車測試示范區(qū)發(fā)展調(diào)查研究[J].汽車工程學(xué)報(bào),2020,10(02):79-87.

Research on the Hardware Security of Intelligent Terminals of Intelligent Connected Vehicles

HUO Quanrui, NING Yuqiao, YU Qi

( Automotive Data of China Co., Ltd., Tianjin 300300 )

With the gradual development of intelligent vehicles, it has also led to the intelligentization of vehicle-mounted intelligent terminals. At the same time, as an intelligent hardware device, the information security of hardware itself is also very important. This article conducts security research on a variety of vehicle-mounted intelligent terminals, and after statistics of their results, corresponding protection suggestions are put forward for corresponding existing security risks.

In-vehicle intelligent terminal; Hardware security; Protection strategy

A

1671-7988(2021)22-38-03

U495

A

1671-7988(2021)22-38-03

CLC NO.: U495

霍全瑞，學(xué)士，工程師，就職于中汽數(shù)據(jù)有限公司，主要從事汽車信息安全技術(shù)研究等工作。

10.16638/j.cnki.1671-7988.2021.022.009