/ 汽车⽹络信息安全技术交流 /
添加150********,申请加⼊汽车⽹络信息安全技术交流,与专业⼈⼠交流探讨⾏业发展动态
OTA作为汽车软件升级的新型⽅式,升级流程⼤致分为:
1.企业推送OTA升级包,车端与OTA云服务器建⽴安全连接,⼀般将待更新的固件传输到车辆
的 T-box(或者其他联⽹部件),再传输给 OTA Manager。
2.OTA Manager管理所有 ECU 的升级过程,它负责将固件分发到 ECU,并告知 ECU 何时执⾏更新。
3.ECU更新完成后,OTA Manager通过 T-box(或者其他联⽹部件)向云服务器发送确认。OTA系统参考架构
⼀、OTA常见风险
OTA安全风险存在于升级的各个流程,常见的安全风险有云服务器安全风险、传输安全风险、通讯协议安全风险、车端安全风险、升级包篡改风险等。
云服务器安全风险
OTA云服务器主要进⾏升级包制作、软件管理、策略及任务管理等。OTA云服务器与其它云平台⼀样,容易遭受DDoS攻击、MITC攻击、跨云攻击、编排攻击、加密劫持等,可能导致⽤户敏感信息泄露、推送的升级包被篡改、升级策略更改等风险。
传输安全风险
OTA云服务推送软件升级包到车端的过程,若采⽤弱认证⽅式或明⽂传输,容易遭受中间⼈攻击、窃听攻击等,⿊客可进⼀步获取升级包进⾏解析、篡改升级包信息等,可能导致关键信息
泄露、代码业务逻辑泄露等风险。
通讯协议安全风险
云端与车端的通信过程若采⽤不安全的通信协议或通信过程不采⽤认证机制、明⽂通信等,容
易遭受中间⼈攻击、窃听攻击、重放攻击、DoS攻击等,可能导致车端升级信息错误、敏感信
息泄露、拒绝服务等风险。
车端安全风险
车端获取到升级包后会进⼊升级流程。若引导程序、系统程序、OTA版本号等固定参数可信验
证策略不安全或缺失,可能导致车端运⾏恶意系统,造成隐私泄露、财产损失等风险。此外,
车端系统出现公开漏洞,若不及时进⾏修复,可能导致⿊客利⽤漏洞进⾏攻击,造成车辆、财
产乃⾄⼈⾝安全风险。
升级包篡改风险
篡改或伪造升级包后发送到车端,若车端升级流程缺少必要的验证机制或验证机制存在漏洞,
篡改或伪造的升级包可顺利完成升级流程,可达到篡改系统、植⼊后门等恶意⽬的。
⼆、OTA安全测试案例
本⽂对OTA升级过程中可能存在的安全风险进⾏检测。
(1)通过调试⼯具进⼊到车机系统后,发现数据库⽂件存在TSP平台信息泄露。可以看到OTA 升级地址。
云平台信息泄露
(2)对该云平台尝试进⾏渗透。发现开放某端⼝,且需要证书进⾏连接。
云平台渗透
(3)发现采⽤了明⽂MQTT协议进⾏传输。尝试接⼊,发现可连接并可订阅相关消息。
太原汽车网通讯协议抓取
(4)使⽤漏洞扫描⼯具对IVI进⾏漏洞扫描。发现DHCP服务器存在检测漏洞,低危。
系统漏洞扫描
(5)篡改升级包,尝试尽进⾏本地升级。修改相关⽂件关键信息,升级包⽆法正常启动。
升级包篡改
检测认证事业部软件测评中⼼长期致⼒于汽车信息安全测试技术研究,拥有专业的信息安全测试团队,具备完善的汽车信息安全测评体系,能够帮助企业及时发现安全风险,为企业提供问题解决⽅案,助⼒汽车⾏业安全⽔平⾼质量发展。
发布评论