车联网解决方案中的安全漏洞
The following article is from 智能汽车开发者平台 Author nicole
在过去十年里,汽车行业见证了嵌入汽车的计算机组件数量的大幅增加。今天,汽车实际上是带轮子的计算机,就像我们的计算机相互连接一样,汽车也是如此。Security Innovation 首席执行官埃德·亚当斯 (Ed Adams) 指出,虽然波音梦想客机的代码行数接近 650 万行,但福特皮卡的代码行数大约是这个数量的 20 倍,其中包含 1.3 亿行代码以及 100 多个不同的芯片,两英里的线束距离 10 个操作系统。
添加这些计算机系统的目的是为了让我们的生活更轻松、更安全,包括GPS 跟踪、远程信息处理数据分析、车道偏离警告系统 (LDWS)、碰撞检测和预防系统、自适应巡航控制,和通过内置组件或外部添加的模块自动碰撞响应和辅助功能,但是这些模块都可以被黑客利用并造成伤害。如果制造商对重要的车辆网络安全措施置若罔闻,引入这些先进的计算机可能会增加攻击面和潜在风险。
本文将分析一个案例研究,其中使用无线攻击手段破坏了车辆的安全性,然后确定策略,旨在缓解漏洞。
作为 IBM 的员工,我选择了一个真实的行业案例研究,IBM X-Force Red 团队参与了一项汽车制造商开发的端到端渗透测试,该汽车制造商正在开发售后连接汽车“插入式”解决方案。该插件将允许客户将他们的汽车转变为联网汽车,为他们提供诸如GPS 跟踪和其他远程信息处理数据跟踪等好处。该解决方案由三部分组成,如图所示。安装在汽车中以提取远程信息处理的设备。一个基于云的数据收集和通信的应用程序,以及一个允许客户访问数据或与汽车通信的移动应用程序。
攻击的性质
然而,汽车制造商意识到与联网汽车解决方案相关的潜在安全风险和漏洞,并聘请 X-Force Red 团队对该插件的解决方案进行了渗透测试。
为了更全面地了解,解决方案及其潜在漏洞,该团队首先创建了一个威胁模型。接下来对解决方案的每个单独组件进行手动测试。这包括对车载设备进行逆向工程。X-Force Red 团队采用了犯罪攻击者,用来破坏解决方案的相同工具和方法。
漏洞利用和攻击的结果
制造商最初担心车载设备收集的数据可能会被犯罪攻击者读取并传输到他们自己的云端后端基础设施。该解决方案经过 X Force 团队测试后,证明了这种担忧是正确的。设备和云之间的通信很容易受到攻击。该团队制定了一项技术,将通信重定向到其个人 GSM 接入点,以捕获和篡改数据。
此外,他们在硬件和固件中发现了一个更令人担忧的漏洞,即车载设备没有任何操作来防止自身干扰车辆的运行。这可能会让攻击者利用该漏洞在汽车行驶时激活制动器、锁上门窗或打开加热系统。
该团队能够在解决方案的每个组件中找到漏洞,包括硬件、云服务以及移动应用程序。他们能够干扰固件并利用每个未使用的可用端口。
制造商是如何解决这个问题的?
通过渗透测试结果和发现被带回到初始的威胁模型,来了解安全弱点和威胁级别。基于此评估,该团队开发了一个框架来帮助制造商减轻已识别的问题。该方法还有助于硬件开发,以避免一些已发现的问题。
制造商实施了由X-Force Red 团队设计的框架,并提高其售后市场联网汽车插件解决方案的安全性。该产品的范围也仅限于它的 GPS 跟踪功能,并排除了控制汽车本身各种组件的能力,以降低潜在风险。这一变化使制造商能够在市场上提出解决方案。
进一步的解决方案
该解决方案中的一个关键漏洞是车载设备与云之间的通信。在进一步分析设备和实现的通信协议时,我发现,尽管2G或GSM是目前最流行、使用最广泛的无线电通信协议,但由于存在一些安全设计缺陷,这些协议已经过时且容易受到攻击。首先,缺乏加密。当数据通信缺乏加密时,大多数设备不会提醒用户。为保护数据的机密性和完整性,应在将其发送到云端之前对数据进行加密。此外,在云端对设备进行身份验证是至关重要的,反之亦然,能用来解决普遍存在的缺乏相互验证的问题。
X-ForceRed 团队对硬件和固件的评估也让我更深入地研究了联网车辆中 OBD-II 协议和 CAN 的风险和漏洞。一个主要关注点是,是否可以在不实际访问汽车的情况下访问这些网络。事实上,车辆已与外部网络隔离。然而,随着智能手机革命的到来和小型化程度的提高,通过将设备插入 OBD-II 端口的联网汽车解决方案的数量越来越多。虽然最初由机械师用来诊断车辆的健康状况,但一个允许车主通过手机甚至互联网访问相同信息的市场正在兴起。这些 OBD-II 端口提供对 CAN 总线的原始访问,可能允许直接操纵车辆中的 CAN 通信。
有时 CAN 直接从车辆通过设备传递到外部网络。直接将数据传递到外部网络是非常危险的,它可能允许攻击者向总线上的 ECU 提交任意 CAN 命令。这个功能应从网络架构中分离出来,并且允许应用程序仅从预先选择的 OBD-II 命令列表中发送请求。另一个主要漏洞是固件更新。固件更新应始终进行加密签名和加密,以防止攻击者修改固件。
总结
随着时间的推移,车辆远程信息处理必将变得越来越复杂,如所讨论的联网汽车插入解决方案等设备需要构建安全性,并吸取传统信息技术和移动计算已经学到的教训。当车辆网络与信息安全涉及到人们的生命与财产时,我们不能自满在当前的技术成果下。
APP逆向分析/渗透测试/安全检测/隐私合规如何选择手机机型或系统