趨勢科技警告：CAN標準存在漏洞，聯網汽車可被遠程操控

事實上，最近幾年研究人員和工程師已經找到了很多種入侵現代互聯網汽車的方法，並且被記錄和報告過多次。查理·米勒和克里斯·瓦拉斯克（Chris Valasek）就曾發現過一個傑出的案例。在此之前的攻擊主要依賴於特定的製造商/汽車品牌的具體漏洞。因此一旦得到報道，這些漏洞很快得到解決。但是，當現在的黑客們發現的漏洞不僅能夠大幅影響汽車的性能和功能，並且可能對任何廠商都是有效的，這個時候又該怎麼去解決？

最近，米蘭理工大學的鏈路層實驗室和趨勢FTR團隊合作發現了一種有效的汽車Hacking方式。目前來看現在的汽車安全技術無法實現，要徹底解決這個問題，就需要在標準和車載網路和設備方面做出廣泛而全面的變化。實際上，需要解決這樣一個漏洞可能需要對整整一代汽車進行改變，而不僅僅是召回或OTA升級。

我們對您可能會遇到的問題做了個簡單的預測，並提供了以下答案參考。

這是另一個「汽車黑客」的POC？相比之前的它有什麼新的內容嗎？

最新的內容就在於這種攻擊是以一種對最先進的安全機制不可見的方式來禁用連接到汽車設備網路的設備（例如，安全氣囊，停車感測器，主動安全系統）。

這項研究的主要內容是什麼？

獲得其他人的車輛已經成為常見的情況，有許多合法的用例。現在是標準化機構，決策者和汽車製造商考慮到這一變化的時候了，這可能需要修改管理未來汽車的網路物理系統的設計，以確保它們的安全。

我的車會受到影響嗎？

毫無疑問，是的。我們的攻擊對廠商中立的。然而，具體的供應商可能會採取非標準的對策來使攻擊更難實施。

到目前為止，「Jeep hack」是不是最先進的攻擊？

「Jeep hack」確實非常先進和有效。然而，目前可用的車載網路安全技術已經（例如，售後市場IDS / IPS）可以檢測到這種攻擊，因為它需要幀來注入使其獲得能力。此外，汽車製造商可以簡單地升級在汽車設備上運行的軟體，以補救該攻擊所利用的漏洞。

汽車製造商需要多長時間才能解決這個問題？

這不是汽車製造商的錯，這不是他們引進的問題。我們在研究中利用的安全問題在於規定汽車設備網路（即CAN）如何工作的標準。汽車製造商只能通過採用特定的網路對策來減輕我們所展示的攻擊，但是不能完全消除這種攻擊。為了完全消除風險，應提出，採用和實施更新的CAN標準。整個過程可能需要另一代車輛。

我們詳細介紹了本文的研究，以及下面的視頻，我們的研究員費德里科·馬吉格（Magder）在7月6日在波恩舉行的DIMVA會議上發表了關於研究的完整內容講話。

那麼這種攻擊如何工作呢？它毫無顧忌鏈接到了所有車載設備（例如停車感測器，安全氣囊，主動安全系統）和系統（信息娛樂）的網路協議，並允許它們進行通信。該網路的標準稱為控制器區域網或CAN。

CAN是控制器區域網絡(Controller Area Network, CAN)的簡稱，是由以研發和生產汽車電子產品著稱的德國BOSCH公司開發的，其在1983年初步開發後，於1986年正式發布，1989年首次在生產車輛上發布。1993年，國際標準化組織（ISO）接受CAN作為標準，並發布道路車輛ISO 11898。此後，CAN已經被用作現在流行的幾乎所有輕型車輛的標準，並被推動成為美國聯邦法院唯一可接受的標準。。 在北美和西歐，CAN匯流排協議已經成為汽車計算機控制系統和嵌入式工業控制區域網的標準匯流排，並且擁有以CAN為底層協議專為大型貨車和重工機械車輛設計的J1939協議。

為什麼汽車中的各種設備和系統需要相互連接？事實上，這是因為各種車載子系統需要能夠自動運行，特別是在緊急情況下。例如，CAN使您的信息控制系統或安全系統能夠從汽車的安全氣囊系統接收消息，以了解在發生事故時是否需要啟動。另外它也可以增強您的駕駛體驗，例如，您的信息控制系統可以在讀取您正在踩踏發動機控制系統的信號，調高汽車音量。這樣您就可以聽到發動機的音量增加了。

圖1.典型的CAN網路圖

CAN消息（包括錯誤）被稱為「幀」。我們的攻擊重點是如何處理錯誤。當設備讀取與框架上的原始期望值不對應的值時，會出現錯誤。當設備檢測到這樣的事件時，它會將錯誤消息寫入CAN匯流排，以便「調用」錯誤的幀，並通知其他設備完全忽略被調用的幀。這種事故是非常常見的，通常是由於自然原因，瞬態故障，或者是太多的系統和模塊試圖通過CAN同時發送幀。

如果設備發出太多錯誤，那麼按照CAN標準規定，它將進入一個所謂的匯流排關閉狀態，它從CAN斷開，並阻止在CAN上讀取和/或寫入任何數據。此功能有助於隔離故障設備，並阻止它們觸發CAN上的其他模塊/系統。

這是我們的攻擊行為的確切功能。我們的攻擊通過引發足夠的錯誤來觸發這個特殊功能，使CAN上的目標設備或系統進入匯流排關閉狀態，從而使其變得不可操作。這反過來可能會嚴重影響汽車的性能，使其變得危險甚至致命，特別是當必要系統如氣囊系統或防抱死制動系統被停用時。所有這一切都是一個特製的攻擊裝置，通過本地訪問引入汽車的CAN，並且已經在CAN中循環的幀的重用，而不是注入新的幀（如以前的攻擊這樣做）。

圖2.攻擊裝置攻擊鏈

現代汽車背景下的遠程與本地訪問漏洞

通常，許多汽車黑客的概念和漏洞被忽視，因為他們需要本地訪問汽車。首先，我們的攻擊可以啟用任何可遠程利用的漏洞，允許攻擊者重新編程ECU的固件（例如，信息控制系統）。其次，我們需要更加認真的對待這種攻擊。傳統上，攻擊者可以以這種方式訪問汽車的場景不僅是罕見的，而且對攻擊者也是很危險的。但是隨著目前的交通運輸趨勢，如乘車分享，拼車和汽車租賃，許多人可以使用同一輛車的情況現在更為常見。因此，發生車輛網路安全方面問題時影響範圍將遠遠擴大。

如何緩解？

正如我們提到的那樣，緩解這個特殊的安全問題並不容易，因為漏洞本身在設計中，不能立即被修補。任何有價值的解決方案都需要大力改變監管和政策，並且需要整整一代的車輛採用。但在未來，一些長期的解決方案可以幫助防止這種漏洞：

網路分割或拓撲改變：通過改變車輛中的拓撲結構或分段CAN，可以阻止錯誤的出現。

監管的OBD-II診斷埠訪問：為了了解埠物理位置的情況，通過創建特殊的硬體密鑰或密碼可以防止非法和未授權的設備被引入CAN。也可以考慮實施軟體級認證，以便允許從埠到埠的流量。當然這將需要更改規定。

加密：加密CAN幀ID欄位可以防止攻擊者將CAN幀識別為目標，從而導致雜訊和更多可檢測的攻擊模式。

目前我們已經向美國/ ICS-CERT公布了我們的調查結果，並發出警報。

本文翻譯自http://blog.trendmicro.com/trendlabs-security-intelligence/connected-car-hack/，如若轉載，請註明原文地址： http://www.4hou.com/info/news/7305.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：