1. 背景简介
车外安全技术主要从智能网联汽车的运行生态为基础,由上至下考虑,卫星通信,车云安全,V2X安全,以及近端通信安全和车联网安全运营及管理体系,其中V2X安全又分为网络通信,业务应用层,物理层考虑,尽可能的覆盖汽车信息安全的技术要求,接下来我们将逐一进行介绍。
全景图:车外信息安全技术
2. 卫星通信安全
全球卫星导航系统国际委员会公布的全球4大卫星导航系统供应商,包括美国的全球定位系统GPS、俄罗斯的格洛纳斯卫星导航系统(GLONASS)、欧盟的伽利略卫星导航系统(GALILEO)和中国的北斗卫星导航系统(BDS)。其中GPS是世界上第一个建立并应用于导航定位的全球系统,中国的北斗三号全球卫星导航系统已于今年8月份宣布建成。由于目前GPS信号仍广泛使用,我们暂且以GPS举例来说明卫星通信安全。那来谈谈常见的GPS的欺骗攻击。
GPS定位主要由卫星和接收机组成。每个参与定位的卫星都配有一个原子钟,并以相同的工作频率发送包含有当前位置,时间和PRN码等信息的无限信号。采用“三球定位”原理,一个GPS接收机只要通过测量分别获得3颗卫星之间的距离,就可以通过数据公式计算得到其空间位置坐标。考虑到时钟同步过程中GPS接收机与卫星之间存在的授时误差,在实际定位过程中还需要1颗卫星参与r值的计算,即一个接收机同时至少需要4颗卫星参与。
GPS网络由美国空军管控,参与定位的卫星同时广播未加密的民用PRN码和经加密处理的军用PRN码,任何一款GPS接收机都能接收到两种类型的PRN码,但目前普遍使用的民用接收机因不具有对加密的PRN码的解密功能,所以无法利用军用GPS信号。
基于GPS导航系统机理分析,在GPS欺骗攻击系统中,攻击者在锁定被攻击对象(GPS接收机)后,一般可以通过两种方式进行欺骗攻击。一种利用GPS测距计算伪距离的原理,通过一台干扰机对接收到的卫星信号进行高保真处理,然后再延时转发出去,误导GPS接收机计算得到错误的伪距离,也称为转发式欺骗攻击。
另一种是攻击者根据被攻击对象所在区域内能够接收到的卫星信号特征,直接伪造GPS干扰信号,并将伪造后的信号冒充卫星信号广播到GPS接收机的接收范围,使其获得错误的伪距离和定位信息。
2011年伊朗就通过GPS欺骗,俘获了一架美国RQ-170”哨兵”无人机,利用无人机GPS信号微弱,易于操纵的弱点,切断其余美国基地的通信线路,然后重构它的GPS坐标,引导它降落在伊朗境内,也算是GPS欺骗的经典案例了。
3. 车云安全
由远及近我们该谈谈云安全了,它并非在空中飘荡的云,而是车辆的云端服务平台,也叫车联网云控服务平台。
汽车通过T-BOX采集数据后,通过GPRS模块使用SIM卡或者蜂窝网4G/5G通讯将采集到的信息按既定的传输协议打包发送给云控服务平台。云控服务平台认证解析后获取车辆运行状况,告警信息,SOC,位置轨迹等等信息,云端对这些信息进行分析并存储。根据不同需求,云控服务平台可以下发指令进行相应锁车,远程OTA升级等操作,实现车辆的管理与控制。另外还可以使用手机APP端进行交互,下发指令,相应的ECU做出回应,实现对车辆的远程控制,比如开启车窗,关闭空调,锁车等等操作。
车联网云控服务平台当前是基于传统的云计算技术构建。因此,云计算本身的安全性问题也将引入车联网服务平台中,面临的安全威胁主要包括:平台中特定操作系统的漏洞威胁或虚拟资源控制问题;应用面临 SQL(Structured Query Language 结构化查询语言)注入,跨站点脚本安全攻击等问题;访问控制还面临账号验证权限和秘钥泄露等安全问题,并且云控服务平台中还存在传统的拒绝服务攻击。
智能汽车数据接入至云平台并由平台进行数据交互与调度控制,因此平台需要很高的操作权限,并且需要完善的访问控制策略来实现与智能汽车的互连,以确保用户敏感信息的私密性。
但是,许多管理平台的访问控制策略在此阶段相对较弱,仅通过固定凭据进行的身份访问控制无法满足较强的控制需求,攻击者可以通过伪造凭据来准备进一步的渗透,从而异常地访问管理平台。
根据云平台控制指令功能以及数据的汇聚存储,可以参考成熟的云平台安全保障技术,以确保车联网云控服务平台的安全。通过部署网络防火墙、入侵检测、监视和防御系统等保障手段,并覆盖多个层面,例如系统,网络和应用程序。
现今云平台的功能逐步增强,已部署了多种类型的云安全组件,以增强云平台的集中管理和控制能力,包括:安全检测服务、分析特定车型的云端交互数据和车辆日志数据、检测智能终端是否异常、数据是否泄漏等;改进远程 OTA 更新,加强更新验证和签名认证,减少召回成本和漏洞暴露时间;建立用于权鉴认证的证书,为用户的加密密钥和登录凭证提供安全管理,都是云控平台加强智能汽车安全保护的有效手段。
4. 汽车近端通信安全
对于车辆用户而言,高级方便的功能基本都通过近端通信来实现,我们可以通过车载蓝牙连接手机,利用的音响和扬声器播放音乐,也可以通过车载蓝牙开启免提电话,在正常行驶过程中自由的通话,当然可以采用PKE/RKE实现PEPS功能,轻松上车,TPMS让我们轻松的知道胎压并及时识别胎压的风险,WIFI热点共享也是不错的上网功能。
随着近端通信的功能的不断丰富,从安全的角度来说暴露的攻击面越多,在Upstream 发布《Security's 2020 Global Automotive Cybersecurity Report》中,通过统计2010-2019年近十年的安全事件,得出如下的攻击排名,无钥匙进入就排到了第一名,近端通讯安全的问题可见一斑。
Source:Security's 2020 Global Automotive Cybersecurity Report
由于蓝牙的广泛使用,其安全问题不容小觑。为此,青骥团队成员整理了蓝牙的基本威胁,具体如下:
Ø 蓝牙漏洞攻击(Bluesnarfing). Bluesnarfing利用蓝牙的OBEX文件传输协议,使攻击者可以与受害者蓝牙设备进行配对。这种攻击强制建立了一个到蓝牙设备的连接,并允许访问储存在设备上的数据,包括设备的国际移动设备身份码(IMEI)。IMEI是每个设备的唯一身份标识,攻击者有可能使用它把所有来电从用户设备路由到攻击者的设备。
Ø 蓝牙劫持(Bluejacking). Bluejacking是一种在开启蓝牙功能的设备上实施的攻击,例如对手机的攻击。攻击者通过发送未经请求的消息给开启蓝牙功能的设备用户来发起Bluejacking。实际的消息不会对用户的设备造成损害,但是它们可以诱使用户以某种方式做出响应或添加新联系人到设备的地址薄。这种消息发送攻击类似于对电子邮件用户进行垃圾邮件和网络钓鱼攻击。当用户对包含有害目的之bluejacking消息发起了一个响应,则Bluejacking能够造成危害。
Ø 蓝牙窃听(Bluebugging). Bluebugging利用一个在一些较老设备固件上存在的漏洞来获取设备和其命令的访问权限,发生在RFCOMM协议。这种攻击无需通知用户就使用设备的命名,从而让攻击者可以访问数据、拨打电话、窃听通话、发送信息和利用设备提供的其他服务与功能。
Ø 蓝牙蜜罐(Bluetooth Honeypots),使用一种名为Bluepot的基于Linux的工具。这个实用工具是设计来接受传入的恶意软件和回应蓝牙攻击。这个实用程序可以使蓝牙设备的发现和定位更容易。
Ø BlueBorne,IOS7到9中实现的Low Energy Audio Protocol,大量的audio命令可以发送到目标设备导致堆溢出,并可以填充攻击者的字段,导致攻击者能够获取ios蓝牙栈中较高的权限,进而控制系统。
Ø 汽车偷听(CarWhisperer). Car Whisperer是由欧洲安全研究人员开发的一种软件工具,它利用了在汽车蓝牙免提车载套件中一个实现上的关键问题。Car Whisperer软件让攻击者能发送音频到或接收音频自车载套件。攻击者可以将音频发送到汽车的喇叭或从车内麦克风接收(窃听)音频。
Ø 拒绝服务(Denialof Service).像其他无线技术一样,蓝牙也容易受到DoS攻击。影响包括让设备的蓝牙接口无法使用和耗尽设备电池。这些类型的攻击效果并不显著,而且因为需要接近才能使用蓝牙,所以通常可以很容易地通过简单的移动到有效范围之外来避免。
Ø 模糊测试攻击(FuzzingAttacks).蓝牙fuzzing attacks包括发送格式错误或其他非标准的数据给设备的蓝牙射频接口和观察设备如何反应的。如果一个设备的运作被这些攻击减慢或停止,一个严重的漏洞可能存在于协议栈之中。
Ø 配对窃听(PairingEavesdropping).PIN码/传统配对(蓝牙2.0及更早版本)和LE配对(蓝牙4.0)都易受到窃听攻击。如果给予足够的时间,成功的窃听者会收集所有的配对帧,然后他/她能够确定这个(些)机密的密钥——它允许受信设备模拟和主动/被动数据解密。
Ø 安全简单配对攻击(SecureSimple Pairing Attacks).许多技术 可以强制远程设备使用立即工作SSP,然后利用其缺乏MITM保护的特性(例如,攻击设备声称它没有输入/输出功能)。此外,固定万能钥匙也可能让攻击者进行MITM攻击。
5. V2X安全
V2X通信的基本元素包括:车辆(V, vehicle),行人(P, pedestrian),用户类型路边单元(UE-type RSU, UE-type road side unit),基站类型路边单元(eNode B-Type RSU, eNode B-type Road side unit),基站(E-UTRAN),其中V,P和UE-type RSU 可以归类为UE.V2X按照链路类型不同可以分为V2V(Vehicle to Vehicle)/V2I(Vehicle to Instrument),V2P(Vehicle to Pedestrian)和V2N (Vehicle to Network) 4种,而整体的安全。
我们参考LTE-V2X安全技术白皮书内容,从网络通信,业务应用,车载终端,路侧设备描述各要素面临的安全风险。
5.1 网络通信安全风险
蜂窝通信接口
蜂窝通信接口场景下,LTE-V2X车联网系统继承了传统LTE网络系统面临的安全风险,主要有假冒终端、伪基站、信令/数据窃听、信令/数据篡改/重放等。
在未经保护的情况下,非法终端可以假冒合法终端的身份接入运营商的蜂窝网络,占用网络资源,获取网络服务。
同时,假冒合法终端身份,发送伪造的网络信令或业务数据信息,影响系统的正常运行。
攻击者部署虚假的LTE网络基站并通过发射较强的无线信号吸引终端选择并接入,造成网络数据连接中断,直接危害车联网业务安全。
利用LTE-Uu接口的开放性以及网络传输链路上的漏洞,攻击者可以窃听车联网终端与网络间未经保护直接传输的网络信令/业务数据,获取有价值的用户信息,例如短消息、车辆标识、状态、位置等,造成用户隐私泄露;攻击者可以发起中间人攻击,篡改车联网终端与网络间未保护直接传输的网络信令/业务数据,或者重新发送过期的网络信令/业务数据,导致网络服务中断或者业务数据错误,出现异常的行为及结果,危害LTE-V2X车联网业务安全。
直连通信接口
不论是基站集中式调度模式(Mode 3)还是终端分布式调度模式(Mode 4),直连传输的用户数据均在专用频段上通过PC5接口广播发送,因此短距离直连通信场景下LTE-V2X车联网系统在用户面面临着虚假信息、假冒终端、信息篡改/重放、隐私泄露等安全风险。
利用PC5无线接口的开放性,攻击者可以通过合法的终端及用户身份接入系统并且对外恶意发布虚假信息;攻击者可以利用非法终端假冒合法车联网终端身份,接入直连通信系统,并发送伪造的业务信息;攻击者可以篡改或者重放合法用户发送的业务信息,这些都将影响车联网业务的正常运行,严重危害周边车辆及行人的道路交通安全。
此外,利用PC5无线接口的开放性,攻击者可以监听获取广播发送的用户标识、位置等敏感信息,进而造成用户身份、位置等隐私信息泄露。严重时,用户车辆可能被非法跟踪,直接威胁着用户的人身安全。除了用户面数据交互,Mode 3模式下车联网终端及UE型路侧设备还需接收LTE eNB基站下发的无线资源调度指令。
因此,在Mode 3模式下V2X系统同样面临着:伪基站、信令窃听、信令篡改/重放等安全风险。
业务应用
LTE-V2X业务应用包括基于云平台的业务应用以及基于PC5/V5接口的直连通信业务应用。
基于云平台的应用以蜂窝通信为基础,在流程、机制等方面与移动互联网通信模式相同,自然继承了“云、管、端”模式现有的安全风险,包括假冒用户、假冒业务服务器、非授权访问、数据安全等。在未经认证的情况下,攻击者可以假冒车联网合法用户身份接入业务服务器,获取业务服务;非法业务提供商可以假冒车联网合法业务提供商身份部署虚假业务服务器,骗取终端用户登录,获得用户信息。
在未经访问控制的情况下,非法用户可以随意访问系统业务数据,调用系统业务功能,使系统面临着信息泄露及功能滥用的风险。业务数据在传输、存储、处理等过程中面临着篡改、泄露等安全风险。
直连通信应用以网络层PC5广播通道为基础,在应用层通过V5接口实现,该场景下主要面临着假冒用户、消息篡改/伪造/重放、隐私泄露、消息风暴等安全风险。利用PC5/V5无线接口的开放性,攻击者可以假冒合法用户身份发布虚假的、伪造的业务信息,篡改、重放真实业务信息,造成业务信息失真,严重影响车联网业务安全;同时,攻击者可以在V5接口上窃听传输的业务信息,获取用户身份、位置、业务参数等敏感数据,造成用户隐私泄露;此外,攻击者还可通过大量发送垃圾信息的方式形成消息风暴,使终端处理资源耗尽,导致业务服务中断。
车载终端
车载终端承载了大量功能,除了传统的导航能力,近年来更是集成了移动办公、车辆控制、辅助驾驶等功能。
功能的高度集成也使得车载终端更容易成为黑客攻击的目标,造成信息泄露,车辆失控等重大安全问题。因此车载终端面临着比传统终端更大的安全风险。接口层面安全风险车载终端可能存在多个物理访问接口,在车辆的供应链、销售运输、维修维护等环节中,攻击者可能通过暴露的物理访问接口植入有问题的硬件或升级有恶意的程序,对车载终端进行入侵和控制。
另外,车载终端通常有多个无线连接访问接口,攻击者可以通过无线接入方式对车载终端进行欺骗、入侵和控制。如通过卫星或基站定位信号、雷达信号进行欺骗,无钥匙进入系统入侵等。
5.2 设备层面安全风险
访问控制风险:当车载终端内、车载终端与其它车载系统间缺乏适当的访问控制和隔离措施时,会使车辆整体安全性降低。
固件逆向风险:攻击者可能通过调试口提取系统固件进行逆向分析。设备的硬件结构、调试引脚、Wi-Fi系统、串口通信、MCU固件、CAN总线数据、T-BOX指纹特征等均可能被逆向分析,进而利用分析结果对终端系统进行进一步攻击。不安全升级风险:黑客可能引导系统加载未授权代码并执行,达到篡改系统、植入后门、关闭安全功能等目的。权限滥用风险:应用软件可能获得敏感系统资源并实施恶意行为(如GPS跟踪,后台录音等),给行车安全和用户信息保护带来了很大的安全隐患。系统漏洞暴露风险:如果系统版本升级不及时,已知漏洞未及时修复,黑客可能通过已有的漏洞利用代码或者工具能够对终端系统进行攻击。
例如,黑客可能利用漏洞提权或关闭安全功能,发送大量伪造的数据包,对车载终端进行拒绝服务攻击。应用软件风险:车载终端上软件很多来自外部,可能缺少良好的编码规范,存在安全漏洞。不安全的软件一旦安装到设备上,很容易被黑客控制。数据篡改和泄露风险:关键系统服务和应用内的数据对辅助驾驶和用户对车况判断非常关键。
数据被篡改可能导致导航位置错误、行车路径错误、车附属传感内容错误,车载应用的相关内容不正确。内容数据的泄露同样会造成诸多安全问题和隐患。
5.3 路侧设备
路侧设备是LTE-V2X车联网系统的核心单元,它的安全关系到车辆、行人和道路交通的整体安全。它所面临的主要安全风险如下:
Ø 非法接入:RSU通常通过有线接口与交通基础设施及业务云平台交互。黑客可以利用这些接口接入RSU设备,非法访问设备资源并对其进行操作和控制,从而造成覆盖区域内交通信息混乱。攻击者甚至还能通过被入侵或篡改的路侧设备发起反向攻击,入侵整个交通专用网络及应用系统,在更大范围内危害整个系统的安全。
Ø 运行环境风险:与车载终端类似,RSU中也会驻留和运行多种应用、提供多种服务,也会出现敏感操作和数据被篡改、被伪造和被非法调用的风险。
Ø 设备漏洞:路侧设备及其附件(智能交通摄像头等终端)可能存在安全漏洞,导致路侧设备被远程控制、入侵或篡改。
Ø 远程升级风险:通过非法的远程固件升级可以修改系统的关键代码,破坏系统的完整性。黑客可通过加载未授权的代码并执行来篡改系统、关闭安全功能,导致路侧设备被远程控制、入侵或篡改。
Ø 部署维护风险:路侧设备固定在部署位置后,可能由于部署人员的失误,或交通事故、风、雨等自然原因导致调试端口或通信接口暴露或者部署位置变动,降低了路侧设备物理安全防御能力,使破坏和控制成为可能。
6. 最后的总结
随着车联网技术的不断发展,汽车也将逐步成为物联网的一部分,车辆逐步从封闭走向开放,车外安全技术随着车联网技术的发展也将成为信息安全领域的重点关注对象。
原文来源:汽车信息安全
在线咨询
在线咨询
0371-63319761