影響我們日常生活的網絡安全攻擊是提高關鍵基礎設施物聯網安全性的巨大警鐘。雖然最近對殖民地管道的網絡攻擊造成了重大破壞，但我們道路上的數百萬輛汽車也代表了關鍵基礎設施，如果受到網絡攻擊的破壞，可能會產生災難性的影響。

想象一下，超過一百萬輛汽車，立即同時禁用制動器。如果道德黑客查理·米勒和克里斯·瓦拉塞克沒有第一個發現關鍵漏洞并向汽車行業敲響警鐘，這種情況可能會發生。他們的工作參考了五年前汽車網絡安全的糟糕狀況。

梅賽德斯奔馳委托并于去年披露的安全研究是一個更新的參考，我們將將其與米勒/瓦拉塞克的研究進行比較。梅賽德斯聘請的滲透測試公司是360集團的Skygo汽車網絡安全團隊。兩個團隊都利用了可以在任何物聯網設備中發現的漏洞，而不僅僅是汽車。

對于這兩個團隊來說，導致遠程控制這些車輛功能的漏洞并不是一個漏洞。利用一系列漏洞來破壞物聯網設備是很常見的，這就是為什么網絡安全縱深防御方法很重要的原因。這意味著包括冗余的網絡安全功能。

1. 按順序顯示了米勒/瓦拉塞克工作利用的主要漏洞。

2015年克萊斯勒車輛披露

米勒/瓦拉塞克的工作所揭示的一些主要漏洞是顯而易見的，因為當時汽車還處于聯網的早期階段（圖1）。最明顯的漏洞是能夠在沒有身份驗證的情況下通過蜂窩網絡連接到車輛。接下來的一系列漏洞包括一個開放的TCP端口，該端口可以訪問在TI OMAP處理器上運行的D-bus軟件服務（進程間通信，遠程過程調用機制），以及缺乏允許在root運行命令的用戶身份驗證。

利用鏈中的下一個是將固件更新刷新到具有CAN總線訪問權限的瑞薩電子V850 MCU，而無需進行身份驗證。這允許將后門添加到 V850 的固件中，從而能夠通過蜂窩網絡從遠程位置閃爍。該后門允許CAN命令從TI處理器發送，他們已經控制了該處理器，通過SPI發送到微控制器，并使CAN總線能夠訪問具有物理控制的其他電子控制單元（ECU）。

先發制人措施

三個安全功能很可能會阻止米勒/瓦拉塞克的攻擊。包含身份驗證的安全固件更新方案將阻止覆蓋 V850 中的有效固件。安全啟動的實現將通過阻止代碼執行來補充安全更新功能，代碼直接編程到閃存中。這些安全功能現在可以在現成的硬件中找到，例如WINSYSTEMS的硬件，并且開箱即用。但是，在SPI接口代碼中發現了需要修復的內存損壞錯誤。

這三項網絡安全改進，經過身份驗證的固件下載，安全啟動以及內存損壞錯誤的修復將使利用變得更加困難。從音響主機到達車輛的物理控制裝置取決于與CAN總線的接口。如果阻止進入該公共汽車，則轉向，制動和發動機的控制也將停止。

2. 利用天空之聲的鏈條

2020 梅賽德斯奔馳披露

Skygo攻擊鏈的第一步是使用“二手”ECU建立一個測試臺（圖2）。攻擊者在破解物聯網設備時具有優勢，因為他們經常可以像Skygo那樣對設備進行逆向工程。一旦測試臺建立起來，他們就通過配置錯誤高通處理器來獲得調試訪問權限，然后從NAND閃存轉儲固件。轉儲閃存以訪問純文本代碼以進行逆向工程是黑客的廣泛步驟（注意：在我的下一篇博客中，我將寫一些數量驚人的可用黑客工具來做到這一點。在Skygo的案例中，他們花了大量時間訪問純文本代碼，因為它對于發現其他漏洞至關重要。

通過代碼的明文列表，他們發現遠程信息處理控制單元（TCU）運行Linux操作系統，一個能夠向其他ECU發送CAN消息的工程調試程序，用于訪問梅賽德斯奔馳后端服務器的區域證書，以及用于解密證書的硬編碼密鑰。換句話說，他們中了大獎。通過調試程序發送CAN消息的能力使Skygo能夠對汽車進行物理控制。后端服務連接導致估計有200萬輛梅賽德斯汽車被訪問。

本該是什么

假設調試接口是安全的，并且閃存中的代碼已加密。在這種情況下，獲得發送CAN報文和查找證書的能力的后續步驟將更加困難。使用BG Networks等安全自動化工具實現這些安全功能變得更加容易。

通過比較這些團隊相隔五年所做的工作得出的結論是，汽車網絡安全已經顯著改善。SkyGo沒有發現明顯的漏洞，如未經身份驗證的接口或開放端口。測試的梅賽德斯車輛的網絡安全非常好。憑借梅賽德斯的安全無線（OTA）更新功能，他們能夠在披露后的幾個小時內修補數百萬輛汽車的漏洞。

Skygo的滲透能力非常出色，找到初始漏洞所需的努力意義重大。事實上，他們瞄準的第一個ECU，即音響主機，是無法穿透的。SkyGo無法像米勒/瓦拉塞克那樣訪問關鍵的安全功能，例如制動器和轉向。但是，由于Skygo確實發現的導致遠程控制車隊的漏洞是不可接受的，因此仍有工作要做。

在網絡安全方面，汽車行業并沒有停滯不前。他們正在努力進一步提高安全性，因為歐盟的強制性網絡安全法規要求這樣做。其他行業沒有這種強有力的監管。其他行業是否需要網絡安全法還有待觀察。

審核編輯：郭婷