前言

我想再次重復2個月之前提出的一個觀點：2015年是汽車安全的元年!

這屆的黑客大會掀起了汽車攻擊的一次高潮，文章開始部分我想感謝Chirs等安全人士在汽車安全領域的專注和貢獻，是他們用自己的努力一步一步地讓保守的美國車廠將之前只有內(nèi)部知道的汽車安全隱患不得不慢慢讓公眾了解，直到宣布召回140萬輛車。此外，還有早在2010年發(fā)表汽車安全問題論文的美國研究人員，使他們掀開了汽車安全隱患的神秘面紗;還有那些致力于義務推動汽車安全標準的草根機構，他們不惜辭職，減少自己收入，用更多的時間投入到汽車安全標準推廣活動中去。

[[145212]]

同時作為較早的一批投身于車聯(lián)網(wǎng)安全的一員，我也欣慰地看到過去兩年中，汽車安全如何從一個偏門的研究領域到現(xiàn)在被人們重視，而且這群“人們”里面包括了車廠和相關的車聯(lián)網(wǎng)廠商。

1. 克萊斯勒JEEP的91頁破解報告“Remote Exploitation of an Unaltered Passenger Vehicle”

其實昨天8月10號的時候，我就在等這篇報告出爐，但是等到半夜沒見作者如期放出來。好在第二天上午首先在illmatics.com網(wǎng)上看到了PDF版本，91頁足夠多了。http://illmatics.com/Remote%20Car%20Hacking.pdf我不可能把里面的細節(jié)一一描述，就根據(jù)我了解的背景知識和之前作者做的一些工作，來向讀者介紹他們最近研究工作和之前有什么不同，實現(xiàn)思路和用什么方式來進行防護類似黑客的攻擊。我會根據(jù)自己的理解寫我的感受，不一定非要按照報告里的內(nèi)容翻譯。

注意報告里的“unaltered”這個詞，意思是不加改變的，不包括插上OBD盒子，對汽車內(nèi)部做手腳，接入WIFI熱點等等。這個詞背后的意思就是叫板，我不做手腳照樣搞掂你!

報告前面幾頁介紹了汽車安全研究工作，09年以來的工作大多是以物理接觸攻擊為主，這次他們的工作想從遠程攻擊入手，實現(xiàn)大規(guī)?？蓮椭菩缘钠嚬?，這恰恰是病毒攻擊的特點也是車廠最擔心的。另一個原因是：物理攻擊的局限性也是車廠反饋的集中點。OBD入口攻擊，車里放入一個設備(例如這次黑客大會攻擊ONSTAR的OWNSTAR設備)都是通過這個理由而遭到車廠有選擇性的忽視的。所以，這次的遠程攻擊是研究者的一次亮劍，看看到底車廠還有什么理由來回避。

為什么選JEEP不是偶然的

JEEP躺著中槍了兩次!去年黑客大會上，作者發(fā)表了對不同汽車的一項調(diào)研成果，在眾多的汽車中，JEEP由于潛在的風險很多被認為是容易受攻擊的一種車輛。所以JEEP才被榮幸的成為候選車輛。所以如果你也了解這段歷史，當你第一眼看到JEEP爆出漏洞的時候，你會和我一樣有這樣的念頭“怎么又是JEEP?!”

另外一個插曲，作者的研究經(jīng)費是由DARPA提供的，這是一個研究性質(zhì)的項目，而不是由作者所在公司提供的。我猜想應該是作者利用工作之外的時間做的，所以報告里沒有過多現(xiàn)在公司的信息。所以說，作者還是非常professional的，這一點希望大家能學習一下!

2. 破解思路：為什么選擇從娛樂系統(tǒng)入手?

誰讓你把娛樂系統(tǒng)直接連到CAN總線上?攻破了娛樂系統(tǒng)就可以把CAN指令寫入到CAN總線里，之前作者積累的私有協(xié)議CAN指令就有用武之地了。

第9-19頁介紹了2014款JEEP的一些輔助功能和對應的潛在攻擊點，不是特別重要。值得一提的WIFI熱點，作者就是通過這個攻入了汽車。之后的幾頁介紹了JEEP的Uconnect，操作系統(tǒng)，文件系統(tǒng)等等。其中的IFS越獄會在報告稍后部分介紹。第25頁是很重要的，因為這次破解工作的出發(fā)點：JEEP的WPA2密碼設置很弱：按照固定的時間加上車機啟動的秒數(shù)，生成一個密碼。這樣，只需要試試不超過幾十次，密碼就可以攻破了!原本想按照車機開啟時間加上車機啟動時間，但是車機無法知道何時啟動的，所以在函數(shù)start()就硬編碼了一個固定的時間：2013年1月1號零時，oops!

然后，在28頁擴大戰(zhàn)果，通過端口掃描發(fā)現(xiàn)了一系列開放的端口，包括6667D-Bus，一種IPC,RPC的進程通信的機制。由于D-BUS允許匿名登入，作者做了一系列的嘗試(P29)。最后，通過對D-BUS服務的分析，發(fā)現(xiàn)有幾種直接進行操作，比如調(diào)節(jié)車機音量大小和獲取PPS數(shù)據(jù)(P31頁)。

3.又一個發(fā)現(xiàn)：移動供應商內(nèi)部網(wǎng)絡

由于Uconnect可以連接到移動運營商Sprint,后者提供telematics服務，使用的高通3G基帶芯片。雖然車機里面的TIOMAP系統(tǒng)不能直接連接CAN總線，但是作者發(fā)現(xiàn)了另一個絕對需要保護的地方，就是我們俗稱的CAN控制器。這里的控制器是Renesas(有人習慣稱為NEC)V850 MCU,這是一個比較常用的處理器，連反調(diào)試神奇IDA Pro都有相應調(diào)試模塊(P33)。下面就是如何越獄Uconnect,作者指出這不是必要的，純碎是興趣所在，所以眾位看官可以跳過這一部分如果你不是一個GEEK。

第40頁開始再次回到攻擊的正路上：利用Uconnect發(fā)出控制娛樂系統(tǒng)音量，空調(diào)風扇，收音機甚至關閉頻幕，更改開機圖片換上你的大頭照等指令。前面提到的D-Bus再次給攻擊者提供了新的攻擊GPS，通過端口6667可以跟蹤任何一輛運行Uconnect的汽車，這對進行大規(guī)模，任意性攻擊提供了必要條件。

到此為止，報告我講解了一半了。但是一個非常大的挑戰(zhàn)是：還不能完全滿足遠程攻擊和不進行修改(unaltered)汽車的目的。

1.很多車主不購買WIFI熱點服務，所以這些車輛你無法攻擊到

2.WIFI信號還是近場攻擊。所以，下面我要介紹如果利用Sprint運營商的內(nèi)網(wǎng)進行遠程攻擊。

移動運營商的內(nèi)網(wǎng) P43-48

作者發(fā)現(xiàn)了2個A類IP地址段是用來分配給汽車的，汽車每次啟動的時候都會自動分配一個IP地址。又是D-BUS被用來和運營商網(wǎng)絡進行通信。作者在EBAY上買了叫Sprint Airave的設備并利用了這個設備公開的一個漏洞通過TELNET進入!這就意味著我們在一輛車上嘗試成功的攻擊手段可以通過運營商網(wǎng)絡傳播到所有的Uconnect車輛上!這里面有一個Sprint通信的特點，可以允許不同的設備(包括汽車)通過通信塔可以自由通信，這就是攻擊傳播通道。(漏洞爆出后，Sprint迅速修改了這個機制)P46，如果利用通信網(wǎng)絡掃描所有的車輛并且定位。掃描結果發(fā)現(xiàn)不僅僅是JEEP車型其他一系列車型都是受害者。作者估計了一下，大概有29-47萬輛車收到波及，結果車廠召回了140萬!

下一個倒霉蛋-V850

V850本來沒有往CAN總線寫指令的功能，但我們可以通過改寫V850固件插入惡意代碼進行控制汽車CAN總線。這是通過OMAP芯片做到的。P48-68是刷寫固件的具體方法。在利用SPI機制刷寫時，作者發(fā)現(xiàn)V850固件更新沒有采用簽名機制保護固件更新。P70頁描述了如何通過V850發(fā)出CAN指令的。P71頁對發(fā)現(xiàn)的漏洞進行了總結。后面介紹的是如果通過汽車診斷工具逆向CAN協(xié)議。P86頁向車廠通知和車廠反應的進度表里包括了很多有些意思的信息。我的理解，這還是算反應比較迅速的，即便這樣前后有10月的時間。車廠不是沒有做什么工作來彌補安全上的缺失。實際上，目前美國車廠都成立的安全小組負責車聯(lián)網(wǎng)安全問題，只是他們的行動慢了。同時這張表格還解釋通了我之前對美國車聯(lián)網(wǎng)安全進展的幾個疑問。當然，這和這篇文章無關，我就不多說了。

最后，是感謝列表和參考文獻，全文結束!

4. 如何進行防范?

對于防守而言，萬變不離其宗。你研究不同汽車攻擊的案例和方法，就會發(fā)現(xiàn)在幾個關鍵點和響應機制布局，就能否防范絕大多數(shù)的汽車攻擊。實際上，車廠本來應該有很好的時間窗口避免這種尷尬的曝光式的漏洞發(fā)布，但是他們錯過了。另一方面，目前汽車攻擊還是停留在通過點滲透到云端，再進行其他車輛攻擊，防御還是相對可控的。以后隨著V2X的普及，那將是災難性的。

這里做一個小廣告：8月底我會做一個汽車安全普及的微課堂，對汽車安全，業(yè)界看法，攻擊方式，防御體系做一個概括性的介紹。歡迎大家報名參加!具體信息屆時發(fā)布。

5. 結束語

再次向那些(大部分是美國的)汽車安全研究人員致敬。他們在研究的過程中少了些商業(yè)動機，多了些白帽子的敬業(yè)精神。無欲則剛，這樣才能在2年左右時間推動了業(yè)界對汽車安全的重視。我希望更多的傳統(tǒng)安全人士投身到汽車安全研究中去。隨著2017年國內(nèi)智能車的推出，汽車安全解決方案是一個無法繞過的議題。