OTA技术随着汽车新四化的推进,逐步成为了主机厂在市场售后交付汽车新功能特性的重要手段。本质上,OTA升级是一种汽车软件的版本更新;与之前传统OEM提供的软件升级方式不同,当汽车拥有联网功能后,OEM可以直接通过在线推送的方式完成软件的远程升级,用户可以不用前往线下特定4S店通过OBD进行升级,极大地降低了OEM的维护成本,为终端用户提供了便利。虽然OTA为汽车功能的迭代提供了极大便利,但这也为黑客们提供了新的汽车网络攻击方向;例如安装恶意软件、恶意中止软件更新导致功能缺失等。所以今天我们来聊聊OTA升级的信息安全风险。OTA升级总体架构
OTA总体架构如下,软件供应商将待更新的软件上传至OTA服务器平台,OEM运营人员登录云服务器平台审核并选择待更新软件,推送至目标车辆,车辆联网后通过4G/WIFI等方式下载软件包,通过中控屏幕通知用户,由用户选择并授权进行软件的更新,OTA升级控制台通过UDS或者私有协议开始对车内目标ECU进行升级,并将升级结果反馈至OTA服务器平台。
上述描述我们可以看到,有三个大方向存在着信息安全风险,分别是云服务器(云端)、数据传输通道(管端)、车载终端(车端)。下面我们依次来看。
汽车OTA云端主要负责与车载终端进行数据同步、软件更新升级等功能。当需要进行软件远程推送时,云端首先会与车端进行数据同步,根据当前汽车的运行状态。很明显,在云端服务器上存放着目标汽车的车主各种私人信息,例如车主账号、车主自定义偏好设置、目标车型配置等等,所以云端的信息安全尤为重要。
与众多云服务器一样,汽车OTA云端同样会遭受到网络黑客的各种攻击,例如DDos(Distributed Denial of Service Attack)攻击、MITC(Man In The Cloud)攻击、编排攻击、密码劫持等,导致OTA软件的篡改、车主信息的篡改,从而严重威胁到汽车以及人员财产人身安全。
管端很好理解,就是OTA云端与车载终端之间的桥梁,作用是将待更新的软件完整安全地护送给车载终端,同时运送升级结果给云端。管端的通信载体一般为4G/5G/WIFI,运送的内容为升级包或者升级结果。大家可以回忆一下家里的自来水管,运送载体为钢管、运送内容为自来水。水管很容易遇到被污染、被堵塞或者被拦截的问题,那么这个OTA的管道自然也会遭遇到攻击。例如最常见的窃听攻击、中间人攻击。如果升级包在推送过程中使用弱认证或者明文传输,则很容易被拦截、对软件包进行解析、篡改,导致软件的功能逻辑、关键数据信息泄露;此外,如果这个管道使用的通信协议没有足够的安全防御能力,也会受到攻击者的重放、Dos(Denial of Service Attack)攻击,从而导致升级失败等威胁场景。车端,也是最重要的升级执行端,主要负责下载OTA云端推送的软件数据包,对数据包进行验签、解密、版本对比、差分升级、还原等工作;进一步的,在升级过程中,现阶段充当升级主控一般为IVI,IVI对智能ECU(智驾、IVI自身)使用以太网及私有升级协议进行软件升级,对于传统ECU,例如EPS、OneBox、ESP等等采用传统的UDS升级。因此对于上述升级流程来说,引导程序、软件版本号等可信机制如果不完善或者不安全,会存在漏洞导致升级失败或者升级为恶意程序。
例如,以IVI充当BootLoader刷写上位机对传统ECU进行软件升级时,如果IVI被黑客发现后门漏洞或者被恶意伪装,则很有可能升级的软件包也会被篡改。
此外,当汽车电池电量不足、汽车车内网络通信被劫持时,也会导致汽车OTA升级失败。
通过上面对OTA“云管端”的分析,我简单地总结了不同端的攻击方式和潜在风险;对于车端的OTA升级方案,现在已有很多供应商和OEM结合ISO\SAE-21434以及整车电子电气架构重新设计方案;当前比较欠缺的还是在云端和管端的解决方案,后面我也会逐步完善这方面的业务知识。