最新研究：大众奥迪车载信息娱乐系统存安全漏洞，易被远程黑客侵入

（长按识别上方二维码，报名第29届IEEE IV大会 ）

我们的世界变得越来越数字化，越来越多的使用设备被网络连接起来。但是，这些快速变化也会带来了风险。在过去的几年里，像福特，吉普，日产和丰田这样的汽车制造商都曾遭遇过汽车黑客漏洞。而最近一项研究发现，某些大众汽车中车载信息娱乐系统（IVI）可能会被远程黑客入侵。

这个漏洞是Daan Keuper与Thijs Alkemade两位研究人员发现的，他们发现大众及奥迪某些车型存在安全漏洞，车载信息娱乐系统与车载网络易遭黑客攻破。该漏洞在2015年生产的大众高尔夫GTE和奥迪3系车中都有发现。计算机研究人员Daan Keuper和发现该缺陷的Thijs Alkemade说，在某些情况下，IVI漏洞能让攻击者能够指挥车载麦克风并监听司机的谈话，打开和关闭麦克风，以及访问系统的完整地址簿和对话历史记录。他们表示，在任何时候，黑客都有可能通过导航系统跟踪汽车。

高访问级别的漏洞

研究人员表示，他们能够利用哈曼制造的模块化信息娱乐（MIB）平台中未公开的漏洞通过Wi-Fi远程访问IVI系统。然后，利用暴露的端口访问系统的管理软件。两位研究人员公布了其研究报告，报告中称“我们可以远程侵入MIB IVI系统，并从那里向IVI CAN 总线上发送任意CAN 消息……因此，我们可以控制中央屏幕，扬声器和麦克风，这已经是很高的访问级别。”

最初，他们使用该漏洞从磁盘读取任意文件，但很快他们发现可以将其扩展为完全远程代码执行。访问并不止步于此，Computest的研究人员通过这个漏洞发现，他们可以访问IVI系统的多媒体应用单元（MMX）主处理器，该处理器负责屏幕合成和多媒体解码等任务。从那里，他们能够控制无线电和汽车控制单元（RCC）。报告称：“下一步将是通过总线发送任意CAN消息，以了解我们是否能够接触任何安全关键组件。”

但是，向CAN总线发送任意的CAN消息将涉及到黑客直接连接到网关的芯片，并且用于在不同的CAN总线之间防火墙消息。在这一点上，Computest的研究人员表示，他们决定放弃他们的研究，因为它需要使用物理矢量从芯片中提取固件。

“经过慎重考虑，我们决定在这一点上停止研究，因为这可能会损害制造商的知识产权并可能违反法律，”Computest研究人员说。

漏洞不可通过OTA进行修复

Computest于2017年夏季将其研究工作纳入大众汽车。Keuper表示，2018年4月，大众汽车向Computest提供了一封确认这些漏洞的信件，并声明他们已经修复了信息娱乐系统的软件更新。

尽管大众汽车已经修复了目前正在生产的汽车，但Computest的研究人员强调，他们不会透露更多有关该漏洞的细节，因为这些更新无法通过无线（OTA）进行修复； 因此，受影响的车主可能要与他们的经销商当面解决漏洞问题。

智能网联给汽车带来的漏洞

目前，由于智能网联技术的发展，车变得更智能，同时也出现了很多风险。在过去，汽车主要是机械车辆，它们依靠机械来实现转向和制动等功能操作。现代汽车主要依靠电子来控制这些系统。通过线控，与传统的机械方法相比，有很多优点。由于组件是由计算机控制的，所以可能有多种安全功能。例如，如果前方雷达检测到障碍物，认为碰撞是不可避免的，车辆会自动刹车。通过线控也可用于自动停车等，远程驾驶等。

所有这些新功能都是可以实现的，因为现代汽车中的每个组件都连接到中央总线，由它来交换消息，最常见的总线系统是CAN总线。 CAN协议本身相对简单，在基础上，每条消息都有一个仲裁ID和一个有效载荷。那里没有身份验证，授权，签名，加密等。一旦进入总线，就可以发送任意消息，被连接到同一总线的所有方都可以接收到。每个组件可以自行决定是哪些特定的消息适用于他们。

CAN协议原理图

理论上，这意味着如果攻击者能够访问车辆的CAN总线，就能控制汽车。例如，他们可以冒充前方雷达，指示制动系统紧急停车。攻击者只需要找到一种方法来实际访问连接到CAN总线的组件，而无需物理访问。而且有很多远程攻击面可供选择，其中一些需要靠近汽车，而另一些可从全球任何地方控制。一些需要与用户互动的媒介可能会在不知不觉中袭击乘客。

例如，现代汽车有一个监测轮胎压力的系统，称为TPMS（轮胎压力监测系统），如果其中一层的压力低，它将通知驾驶员。这是一个无线系统，轮胎将通过无线电信号或蓝牙与汽车内的接收器通信。该接收器将通过CAN总线上的消息反过来通知其他组件。组合仪表将收到此消息，并作为响应打开相应的警示灯。另一个例子是钥匙链，它与汽车内的接收器进行无线通信，而钥匙链又与车门锁和发动机中的防盗锁通信。所有这些组件都有两个共同点：它们都连接到CAN总线，并具有远程攻击面（即接收器）。

现代汽车有两种防止恶意CAN消息的主要方式。首先是汽车所有部件的防御行为。每个组件都设计了始终选择最安全的选项，以防止可能出现故障。例如，自动停车的自动转向可能会在默认情况下禁用，只有在汽车倒车时和低速时才能启用。如果公交车上的另一个恶意设备冒充前方雷达，试图触发紧急停车，那么真正的前方雷达将继续发送信息。

第二种保护机制是现代汽车具有多个CAN总线，它将安全关键设备与便利设备分开。例如，制动器和发动机连接到高速CAN总线，而空调和挡风玻璃刮水器连接到分离的（并且最有可能的是低速）CAN总线。理论上一些车是完全可以分开的，但实际上它们通常通过所谓的网关连接。这是因为有些情况下数据必须从低速CAN总线流向高速CAN总线。例如，门锁必须能够与发动机通信来启用和禁用防盗锁，并且IVI系统从发动机接收状态信息和错误代码以显示在中央显示器上。对这些消息进行防火墙是网关的责任，它将监控每条总线上的每条消息并决定允许哪些消息通过。

具有蜂窝连接的IVI系统连接到低速CAN总线，高速CAN总线由网关保护

在过去的几年里，我们看到了智能网联汽车的增加，甚至看到过两个蜂窝网络连接的汽车。例如，IVI系统可以使用此连接来获取诸如地图数据之类的信息，或者提供诸如互联网浏览器或Wi-Fi热点之类的功能，或者可以通过APP来控制某些功能。例如，远程启动集中供热以预热汽车，或通过远程锁定/解锁汽车。在所有情况下，具有蜂窝连接的设备也要连接到CAN总线，这种远程理论上可能危害车辆。其中一些是有可能受到攻击的，因为蜂窝连接没有受到防火墙的阻挡，而其他攻击则依赖于用户访问车内浏览器上网页产生的漏洞。

智能网联汽车让未来汽车更智能和便利，但是由电控取代机械控制将会引入新的安全风险。未来，在发展智能网联汽车技术的同时，也要兼顾网联安全性研究，设置更多的加密机制来确保车辆的出行安全。