隨著聯網功能、近場通訊手段的愈加增多，汽車上可被攻擊的地方也越來越多。要攻破一輛汽車的防線，能從哪些方面入手？汽車制造商和供應商們又該怎么防止入侵呢？在逐個分析完破解案例之后，下面進入總結篇。

　　汽車被入侵事件似乎告一段落，但是其背后暴露出的問題卻遠遠沒有。

　　在今年發生的案例中，ModelS被KevinMahaffey、MarcRogers揭發漏洞、比亞迪在360要公開演示破解過程時候，發布公告的內容中，都不約而同的提到了一個相當重要的前提，那就是“物理接觸”。因為對于汽車而言，只有遠程且可復制的攻擊才會真正帶來威脅。

　　原因顯而易見。物理接觸類攻擊雖然最終造成的危害大，但是實施難度卻很高，費時費力，對于追求收益的真正黑客們來說，付出回報比太大。遠程攻擊則靈活可期，而且被抓個現行的概率要降低多了。

　　必須要申明的一點是，這里的物理接觸攻擊與遠程攻擊是指在攻擊時采用的手段。在研究漏洞時，物理接觸是個必不可少的過程，并不能夠以“物理接觸過”為由來證明車輛無法被遠程攻擊。

　　從互聯網角度來說，有漏洞并不可怕，因為截至到目前，還并沒有哪一個系統能夠稱得上是絕對安全。有漏洞自然有措施來堵上漏洞、保護漏洞，以及如何減少漏洞的存在。

　　那么，在今年的案例中，車輛暴露出來的漏洞都有哪些呢？咱么挨個案例來看看其罪魁禍首。

　　克萊斯勒事件

　　在克萊斯勒被遠程控制事件之中，Uconnect最終成了背鍋的所在，成為了Miller與Valasek接管車輛控制系統的入口。但是導致車輛剎車、傳動被控制的真正原因，并不只是Uconnect一個。這一點，在之前的文章中也有點名：

　　為了防止黑客通過接入一條非重要網絡，進而“竄入”系統關鍵網絡內部搗亂，一般安全專家會在兩條線路之間安裝一個「安全隔離網閘」 （airgap）。然而在被“黑”的Jeep切諾基上，控制車輛運行的系統間并沒有網閘存在。因此，結合找到的其他幾處安全漏洞，查理和克里斯發現了車輛控制系統和Uconnect系統（支配儀表娛樂單元）之間的聯系。一張SIM卡存在的漏洞，加之“黑客”的其他攻擊，將原本理論上才可能出現的遠程控制變成了赤裸裸的現實。可以總結得出，導致這次事件的原因有二：一是Uconnect為無線接入車輛提供了接口，二是在Uconnect信息娛樂系統與車輛控制系統之間沒有進行隔離，進入Uconnect之后，就相當于魚入大海，暢通無阻。

　　在漏洞爆出之后，因為無法進行遠程更新，克萊斯勒無奈只能選擇了召回處理。好處在于漏洞事件的嚴重性引起了NHTSA的注意，或許對于信息安全標準的更改，有促進作用。

　　小結：弊端在于信息娛樂系統安防不到位、車輛不同系統之間隔離不到位、無法遠程更新修復漏洞，提供OTA升級、車輛內部控制系統與信息娛樂系統之間設置隔離網關，加強驗證手段以及信息娛樂系統本身的安防手段，都是可用的手段。

　　通用Onstar及其它有相同漏洞的車聯網服務App

　　SamyKamkar用Ownstar盒子打開了4家車企與一家后裝廠商的車聯網服務App的漏洞所在。原理我們已經清楚，Ownstar 會掃描手機曾經連接過的WiFi網絡并偽裝成其中一個，一旦手機連接上此WiFi網絡，就可以讀取到App的驗證信息，并借著驗證信息使用車聯網服務 APP所提供的所有功能，鎖車解鎖、車輛定位、遠程啟動等等。

　　在這個過程中，漏洞點在于：

　　1.手機連接過的WiFi網絡可被任意掃描并讀取，自動連接相同名字的WiFi（手機存在的問題）

　　2.只有一次驗證信息，在通過驗證之后，并沒有二次驗證，并且驗證信息不會更新，一次獲取終身受益

　　這與之前車云菌親眼目睹的360破解汽車事件可以歸屬于同一案例，同樣是驗證手段的缺乏。至于這個方式能夠破獲更多云服務權限，乃至讓云端命令優先級大于本地服務，Kamkar并沒有試，俺們也不得而知。

　　與克萊斯勒事件的不同點在于，App提供的不僅僅是入口。因為服務內容的原因，App本身就可以與車輛的部分控制系統進行通訊并獲取控制權限，所以一旦App在權限設置、驗證手段上出現問題，這些控制權限就是白送的。

　　這個問題還可以進行擴展，比如現在已經開始有車輛支持從智能手表進行基礎功能的遠程控制。

　　小結：這些車聯網服務本身并沒有問題，確實給消費者帶來了方便，不能因噎廢食就此解除服務，所以關鍵在于加強App的安防措施：加密方式的加強、增加驗證手段如短信驗證以及嚴格的權限設置。

　　用OBD控制雪佛蘭科爾維特

　　與克萊斯勒事件相同，在這起案例中，“犯人”有兩個，一個是MobileDevices的OBD設備，一個是科爾維特的車輛CAN總線。

　　MobileDevices的OBD問題一是開發者模式與使用同樣的密鑰讓黑客們可以輕松獲取最高權限，二是通過短信方式下發指令，短信不用經過任何驗證的手段給黑客大開方便之門。不過解決方式也并沒有那么難，都可以通過OTA完成更新，一個是更改權限設置，二則是增加短信控制的白名單，只能經由指定的手機號發送命令才能生效。

　　小結：從根本上來說，OBD所存在的漏洞與克萊斯勒的Uconnect性質十分類似，因為它們的可以聯網且存在安防漏洞，給了黑客可乘之機，但是根源同樣在于CAN總線的安全策略設置之上，對于車輛控制功能沒有增加驗證的關卡，才得以讓黑客長驅直入。

　　無線鑰匙解鎖車門

　　RollJam破車門而入的方式我們都知道了，通過監聽并存儲無線鑰匙用來解鎖的密碼，就可以將其用來開門。

　　在360的Hackpwn上，車云菌咨詢過關于SamyKamkar關于解鎖與鎖閉車門所使用密碼不同如何處理的問題。Kamkar的解釋是，有些車輛使用的是同樣的密碼，只不過有不同的命令，讓汽車知道是解鎖還是鎖閉，而有的車輛則是分別使用了不同的密碼。RollJam可以識別出密碼與對應的命令，只會存儲用于解鎖的密碼。而且，存儲密碼的數量是可以自由設定的，可以存儲1個，也可以存儲4個。

　　這一漏洞最終被SamyKamkar歸結到了芯片問題。因為在他使用RollJam攻擊凱迪拉克新款汽車沒有成功，就是在于這款汽車使用的 Keelop芯片上有一種密鑰系統，給密鑰設定了一個很短的有效期，時間一過，密鑰即會時效，便可以阻擋這類竊聽存儲密碼式的攻擊。

　　小結：設置密碼的時效性，讓人拿到了密碼也無計可施。

　　汽車點火防盜系統

　　與無線鑰匙解鎖不同，點火防盜系統的問題在于密碼組成被破譯，而且這個密碼的設置方式，讓人能夠輕松對密碼的內容進行讀寫操作。

　　這個除了更換新的密碼協議，就沒有別的辦法了。好消息是在新款車型中，越來越多的用到了無鑰匙啟動的方式。當然，無鑰匙啟動也有無鑰匙啟動的漏洞需要注意了。

　　小結：

　　從以上這些案例中，可以看出汽車能夠被攻擊的點在于：一是入口，二是內部安全策略。OBD、Uconnect、或者App本身都只是提供了一個入口而已。入口本身安全措施不足、開放的權限太大給了黑客們機會，而車輛內部安全策略的設置則是根本所在，也是需要車企們花費心思去考慮的。

　　但是你以為車輛可被遠程控制的入口只有這些而已么，那就tooyoungtoosimple啦。

　　隨著聯網功能、近場通訊手段的愈加增多，汽車上可被攻擊的地方也越來越多。要攻破一輛汽車的防線，能從哪些方面入手？汽車制造商和供應商們又該怎么防止入侵呢？在逐個分析完破解案例之后，下面進入總結篇。上回的總結篇中，我們說到今年這里案例里頭，黑客們都用了什么方式去進行破解汽車，以及其中表現出來的安全問題所在。

　　當然，最后俺們說到，這些攻擊方式和漏洞并不是僅有的。那在汽車上還有哪些？

　　其實早在2011年，來自UCSD（加州大學圣地亞哥校區）和華盛頓大學的兩個研究團隊就以“汽車安全攻擊綜合分析”為題進行了實驗與驗證，并從威脅類型、具體漏洞分析以及威脅評估三個方面進行了分別論述與實驗。在這一份調研報告中，被研究的主體是安裝在汽車中那一塊塊功能各異的ECU。

　　三年之后，CharlieMiller與ChrisValasek又重新進行了這個工作。他們的目的同樣是想搞清楚如果要對汽車發起攻擊，哪些有可能入手。

　　欲善其事，必利其器

　　這個研究的關鍵在于兩位研究員的思路。

　　需要再次重申的原則是，這次的攻擊依然是圍繞遠程可復制攻擊，而重點關注的是哪些會引起安全事故的攻擊，也就是他們今年對克萊斯勒發起的這類攻擊：遠程操控汽車的轉向、剎車或者加速功能，讓車輛脫離駕駛員的掌控，進入不安全狀態。圍繞鑰匙、防盜等車輛偷竊類攻擊就不再考慮之類了。

　　第二步思路是，如果要得到這個結果，需要怎么做？

　　最關鍵的一點是，黑客需要能夠對這些控制車輛轉向、剎車或加速的ECU下達命令，那就是說，必須拿到與車輛內部CAN總線通訊的方式，而CAN總線并不止一條線路，這些核心控制功能在更加底層的地方。遠程攻擊不可能直接與其接觸，那么就需要「橋梁」。

　　這個橋梁就是并不處于核心位置的、大多是承擔接收和處理無線電信號的這一批ECU，他們都具有兩個特征：

　　1.能夠接受外部信息

　　2.這個信息有可能通過CAN總線傳遞給那些控制核心功能的ECU

　　所以，思路就是找到這些ECU之后，先把他們黑掉，再以之為跳板，向核心功能ECU發布假消息。可以把這類ECU想象成古代戰場上傳令的小兵，如果其能陣前倒戈，傳遞敵方給予的假命令，打勝仗也是手到擒來。

　　不過這是理想狀態，如果被發現是假命令呢？

　　雖然橋梁ECU們能夠作為入口向內部發送消息，但是這個消息并不是想發就發的，在不同的ECU之間，可能存在網關，攔截非法消息;核心 ECU上，可能有安全策略設置，某些動作只能在特定的行駛狀態下才能實現，或者只聽從指定的命令。要想達成目的，或者偽裝成合法的，那么就要知道通訊協議;或者繞過網關，需要知道通過密碼;或者把網關也黑掉，讓其為自己所用……等等，不一而足。

　　因而，黑客要做的工作有三：

　　1.找到遠程接入的入口——帶有橋梁ECU的功能模塊，比如上篇里頭的車載Wi-Fi、OBD、云服務App，還包括與手機同步的藍牙功能、瀏覽器等車內應用等等，所有兼顧外部消息接收與內部通訊功能的，都存在可能性，都可以以此展開研究

　　2.找到從橋梁ECU到核心功能ECU之間的通訊道路

　　3.解決通訊道路上的各式攔路馬

　　“等等”的內容并不止于通訊模塊

　　上面提到的入口，也就是橋梁，起到溝通內外的作用，一般大家想到的就是車輛通訊模塊。但其實，并不止于此，還有一部分比較特殊功能的ECU，他們也起到相同的作用，但卻是為了完全不同的目的——ADAS（高級駕駛輔助）。

　　現在的ADAS，常見的比如車道保持、防碰撞系統，還有受到很多新手司機歡迎的泊車輔助技術。這些功能最終都會為了保證車輛處于車道之上、保證不發生碰撞或降低碰撞產生傷害、泊車而對車輛進行轉向、剎車等功能。還有ACC，在轉向、剎車之后，還有自動加速功能。

　　也就是說，這些ADAS系統的ECU會根據傳感器的數據，對核心控制功能ECU發出命令，在特定的時候讓其工作，同樣可以作為橋梁使用。當然，毋庸置疑的是，這些系統的目的是為了輔助駕駛和提高安全性能，所以本身也會設置到限定速度之下。可能比較謹慎的車企，還會多設置幾道關卡來保證系統功能。

　　之所以提到這些系統，并不說他們不安全，而是因為他們給黑客攻擊汽車帶來了一個可能性。因為與核心控制功能有信息交互，那么就存在一種可能性，以他們為橋梁發出假消息。需要評估的是，這個可能性有多大。

　　因而，遵循這個三步法則，兩位研究員開始了研究。

　　俺們知道，車輛的CAN總線是個很復雜的東西，會隨著車輛上技術、功能的增減而改變，在不同的制造商之間、同一制造商不同車型之間、同一車型不同年款之間，都會有差別。因而他們以2014年款為主，挑了13款車型，同時也挑了這些車型的2006年款或者2010、2015年款作為對比研究。

　　研究主要圍繞三個方面：

　　1.存在多少種不同的入口以及入口的安全性

　　有些橋梁ECU與核心ECU通訊的可能性有，但是很小，因而可以認為安全性較高，比如ADAS，雖然可以直接與核心功能ECU通訊，但是安全策略與門檻會較多。而藍牙、Wi-Fi通訊則因為作用距離、可實現功能與安全策略的問題，導致安全性較低。如果這類入口較多，則評估得到的威脅程度會高。

　　2.車輛的內部網絡拓撲圖

　　一方面，通過同一車型不同年款來對比分析車輛內部網絡隨著時間發展的狀況;另一方面，也是想進行驗證，對于車內網絡的攻擊，是否因為差異性巨大而難以直接復制。

　　自然還有第三個目的，那就是分析具體的拓撲結構，以此來分析從橋梁ECU通往核心ECU之前道路通過的成功可能性有多大，來評估其帶來的威脅程度。

　　3.攻擊的反面就是防守

　　攻擊并不是最終目的，最終目的是為了更好的防守。從可攻擊路線發現可能漏洞所在，也就是可以加強防護的地方。

　　不同年不同車不同命

　　這個研究的最終結果，就十分有意思了。在他們最后公開的研究報告中，都進行了具體分析，因為篇幅所限，本文無法一一列出，感興趣的同學可以到這里去看原文。

　　對具體分析內容不那么感興趣的，俺們一起來看結果。

　　他們一共分析了21款車，涉及到奧迪、寶馬、通用、福特、克萊斯勒、本田、豐田、英菲尼迪、路虎品牌及其旗下品牌車型，以2014年款為主，共13款，對比年款2006年款4個，2010年款3個，2015年款1個。具體易受攻擊程度見下圖（圖片來自CharlieMiller與 ChrisValasek的研究報告），表中只列出了20款車型，少了一個2006年款英菲尼迪G35。

　　20款車型易受攻擊列表（從--、-、+到++受攻擊程度依次提高，表格從左至右分別代表攻擊面、網絡架構與核心功能）

　　從研究的內容中，他們還得到了一些結論：

　　1.隨著時間推進，所有品牌車型都表現出ECU數量的增多，不僅是整體ECU數目，橋梁ECU數目更是大幅增加，功臣有兩個：車聯網與駕駛輔助技術的發展。也就意味著，車輛的被攻擊可能性、可選擇手段都在增加。

　　2.車內網絡拓撲結構的復雜性隨著ECU增多也在增加，被分割的網絡架構越來越多。但是這些網絡架構的分割并不都是以“將控制核心功能 ECU與其他類ECU分開”為目的。在2014年款中，有6款并沒有根據功能重要性不同進行隔離，而更多的，雖然隔離了，但是并不代表安全性就高。因為隔離之后并沒有設置網關或者安全邊界，沒有增加安全策略，而只是單純的分開。

　　3.盡管內部結構大不相同，但是大多數車輛都采用了類似PC的技術，比如瀏覽器和車內App等，這些都是黑客們十分熟悉的東西，提供了與PC、移動端類似的攻擊方式

　　4.在所有入口中，胎壓監測與無鑰匙進入是被遠程攻擊威脅性最大的橋梁ECU

　　5.同一地區的汽車制造商的內部拓撲圖有著類似的結構，日系車（豐田與英菲尼迪）、德系車（奧迪與寶馬）、美系車（通用與福特）之間都表現出來這個特性。兩位研究員認為可能是因為他們思考問題的方式比較類似，還有就是工程師的跳槽~

　　6.存在這些問題的車輛，都沒有OTA功能，發現問題只能召回處理。最終得出了兩個排名：

　　1.最容易被破解三甲：2014Jeep切諾基，2015凱迪拉克凱雷德、2014英菲尼迪Q50

　　2.最不容易被破解三甲：2014道奇蝰蛇，2014奧迪A8，2014本田雅閣

　　發現問題了么？為什么今年他們拿切諾基開刀，原來根源在這里。

　　小結：

　　其實研究到這里并沒有結束。兩位白帽黑客的雄心壯志在于想對所有車型進行分析并得出答案，無奈這些資料并不是那么好拿到的，因而只有這些款。而且，因為他們并不是這些車型都有，也沒有對每一款車進行具體實驗分析，以確定分割更多網絡等是否能夠成為黑客破解的障礙。不過，在去年出研究成果之后，今年對切諾基下手就證明了他們的研究并沒有停止，而是會繼續前行。