收稿日期:2020-02-25
作者简介:宁玉桥(1992 ),男,学士,工程师,研究方向为汽车信息安全渗透测试技术㊂E⁃mail:ningyuqiao@catarc ac cn㊂
DOI:10 19466/j cnki 1674-1986 2020 05 024
智能网联汽车T-Box安全性研究
宁玉桥,马超,刘天宇
(中国汽车技术研究中心有限公司数据资源中心,天津300393)
摘要:随着车联网的推进,搭载操作系统的T-Box也越来越智能,越来越精密㊂它对内与车载CAN总线相连,对外通过云平台与手机/PC实现互联㊂通过T-Box可实现远程控制功能,因此T-Box的信息安全问题越来越受到重视㊂对多款T-Box运用多种方法从多个维度进行安全攻击测试,并对测试结果进行统计分析,针对相应的安全漏洞/风险提出了相应的防护策略㊂
关键词:T-Box安全;安全测试;防护策略中图分类号:U461 91
StudyonT-BoxSecurityofIntelligentConnectedVehicle
NINGYuqiao,MAChao,LIUTianyu
(AutomotiveDataCenter,ChinaAutomotiveTechnologyandResearchCenterCo.,Ltd.,Tianjin300393,China)
Abstract:Withthedevelopmentofautomotivenetworking,T-Boxwithoperatingsystemisbecomingmoreandmoreintelligentandprecise.ItisconnectedwithCANbusinvehicleandconnectedwithmobilephone/PCthroughcloudplatform.T-Boxcanrealizeremotecontrolfunction,sotheinformationsecurityofT-Boxhasbeenpaidmoreandmoreattention.SeveralT-Boxsecurityattacksweretestedfrommultipledimensionsbyvariousmethods,andthetestresultswerestatisti
callyanalyzed,andthecorrespondingprotectionstrategieswereproposedforthecorrespondingsecurityvulnerabilities/risks.
Keywords:T-Boxsecurity;Safetytest;Protectionstrategy
0㊀引言51汽车网
随着互联网㊁人工智能㊁云计算㊁大数据等技术的快速发展,以万物互联为目标的物联网技术正在快速发展,而车联网正是物联网技术在传统汽车行业的典型应用㊂典型的车联网系统分为3个模块,分别是车载智能终端㊁网络传输和云平台,主要目标是实现车辆与人㊁车辆与车辆㊁车辆与路基设备㊁车辆与云平台之间的通信[1]㊂通过车载传感设备感知车内及车外状况,实时收集道路交通状况等信息并通过无线网络传输给云平台进行分析和计算,为网联汽车提供实时精准的道路导航㊁应急抢险等综合服务[2]㊂在车联网技术给用户带来智能化体验的同时,也面临着信息安全方面的风险㊂
T-Box被称为与云端通信的桥梁,T-Box作为车内与外界
进行信息交换的系统,主要功能是实现汽车与车联网服务云平台之间的通信,是车联网的核心部分㊂T
-Box是集成了OBD㊁MCU/CPU㊁FLASH㊁SENSOR㊁GPS㊁3G/4G㊁WiFi/蓝牙等模块于一体的嵌入式系统㊂它对内与车载CAN总线相连,对外通过云平台与手机/PC实现互联㊂通过T-Box可主要实现远程控制㊁远程查询㊁安防服务等功能[3],如:远程控制车门㊁车窗㊁空调等开启,远程车辆定位㊁查询车况信息,车辆异动报警紧急救援求助等㊂T-Box作为智能网联汽车不可分割的一部分,已越来越受到整车厂商和消费者的欢迎[4]㊂
T-Box直接连接车内总线,经T-Box可从总线获取到汽车数据上传给用户,用户亦可通过T-Box向车内总线发送指令,实现对车的控制㊂随着网联汽车技术的应用越来越广泛,
T-Box也为汽车带来了更多的信息安全隐患[5]㊂例如:2018年英国广播公司报道,中国一家网联安全实验室的研究显示黑客可以通过插入U盘㊁使用蓝牙以及车辆自带的3G/4G数据连接等方式入侵T-Box,在汽车行驶时取得部分控制权㊂这无疑对车辆安全行驶造成了巨大的威胁,因此加强T-Box的信息安全防护已迫在眉睫[6]㊂
一方面,T-Box可与车内总线通信,实现指令和信息的传递;另一方面,其内置调制解调器,可通过数据网络㊁语音㊁短信等与车联网服务平台交互,是车内外信息交互的纽带[7]㊂T-Box主要面临几方面的安全威胁:(1)固件逆向,攻击者通过逆向分析T-Box固件,获取加密算法和密钥,解密通信协议,用于窃听或伪造指令;(2)信息窃取,攻击者通过T-Box预留调试接口读取内部数据用于攻击分析,或者通过对通信端口的数据抓包,获取用户通信数据[8]㊂
1㊀T-Box安全测试与分析
T-Box作为车内外信息交互的纽带,保证T-Box通信安全至关重要㊂某公司数据资源中心信息安全团队对当前智能网联汽车车载智能终端T-Box的安全现状进行了深入研究,对5款T-Box进行多维度的安全测试与分析,最后对各款T-Box的信息安全测试结果进行归纳统计与分析㊂
1 1㊀T-Box测试过程及方法
主要采用信号欺骗㊁暴力破解等测试方法并参照相关安全
指导标准,借助IDA㊁KaliLinux㊁Wireshark㊁gdb㊁CANoe等工具对5款T-Box进行攻击性测试,并针对有缺陷的T-Box系统提出了修复及改进意见㊂
(1)硬件安全测试
吹取PCB板芯片,并逆向提取芯片数据emmc/SOC/MCU及存储单元,并对提取数据进行分析;连接WiFi热点,使用扫描工具对T-Box进行全端口扫描并通过USB接口进行网络/数据攻击;在T-Box工作期间监控关键数据信号并进行分析,同时进行MCU和SOC通信攻击以及MCU和CAN通信攻击㊂(2)数据安全测试
通过使用SSH等工具,检测文件系统中是否存在配置文件以及板端内存/控制器内部数据是否进行加密防护;扫描测试
T-Box静态文件以及报文数据㊁代码数据和存储数据,并通过T-Box热点连接,检查文件系统中的个人隐私信息以及位置信息㊂(3)应用安全测试
通过连接T-Box热点,登陆SSH服务获取系统权限,使用命令查看系统内核更新版本,检查是否及时安装补丁;向系统中安装恶意软件,检查系统中是否存在监控机制能够记录恶意软件的运行流程并查看恶意软件是否能够正常运行,确定系统中是否存在防护机制以及防护机制是否有效㊂
通过测试攻击可以查看Linux应用是否安装防护㊁防火墙是否配置安全策略以及系统是否开启防堆栈溢出攻击㊁是否存在内核漏洞㊂
(4)系统安全测试
连接T-Box热点,登陆SSH服务,遍历文件系统,获取升级包,将升级包下载到本地,查看升级包是否可被正常打开并对升级包进行解包,并在本地挂载升级镜像修改配置文件进行升级包替换㊂在此过程中使用中间人攻击工具对升级进行劫持,窃取升级数据㊂
(5)网络通信安全测试
使用㊁屏蔽房重建蜂窝数据网络,将T-Box网络连接到网络,监听T-Box通信数据包,并进行分析,查敏感数据;登入SSH,使用抓包工具对网卡进行数据分析;连接T-BOX热点,使用端口扫描工具进行扫描并对扫描结果进行分析㊂
1 2㊀T-BOX测试结果及分析
1 2 1㊀安全漏洞数量统计
通过对测试结果进行统计分析得知:B⁃026J和B⁃029C两款T-Box出现漏洞的数量最多,高达4个;B⁃010C这款T-Box出现漏洞的数量次之,达到2个;B⁃020C和B⁃019C这两款T-Box安全性能较好,只发现一个安全漏洞,如表1所示㊂
表1㊀T-Box漏洞数量
B⁃026JB⁃029CB⁃010CB⁃020CB⁃019C漏洞数量442111 2 2㊀安全漏洞类型数量统计
如表2和表3所示,5款T-Box中通信端口漏洞㊁系统升级漏洞出现的数量较多㊂其中,通信端口漏洞出现次数最多,达到4次,占比高达33%;重放攻击漏洞的漏洞类型出现次数最少,为1次,占比为8%㊂
表2㊀漏洞类型数量
通信端
口漏洞
系统更
新漏洞
信息泄
露漏洞
硬件
漏洞
重放攻
击漏洞
漏洞数量43221
表3㊀漏洞类型数量占比
通信端
口漏洞
系统更
新漏洞
信息泄
露漏洞
硬件
漏洞
重放攻
击漏洞漏洞占比/%332517178
重放攻击漏洞这种漏洞类型出现的次数虽然较少,但是安全问题不可忽视,因为这种类型的安全漏洞会给智能汽车的安全性带来很严重的威胁㊂
1 2 3㊀安全漏洞危害等级统计
根据漏洞的影响范围㊁利用方式㊁攻击后果等情况,可以将危害分为低危㊁中危㊁高危㊁严重4个等级㊂此次测试结果表明:4类中,高危漏洞出现的次数最多,占比42%,中危漏洞出现次数占比33%,严重漏洞出现次数占比8%,如表4所示㊂应该及时加强对高㊁中危漏洞的修补和防护㊂
表4㊀安全漏洞危害等级占比
低危中危高危严重
漏洞占比/%17334281 3㊀T-Box面临的安全风险/漏洞
1 3 1㊀已知漏洞
已知漏洞是指系统中的应用或使用的组件中存在的已经公开的漏洞,由于这些漏洞都属于公开漏洞,因
此大多数都具有公开的漏洞利用程序㊂虽然在车内嵌入式系统中,这些漏洞的利用条件非常苛刻,但是公开漏洞的存在仍是潜在的安全隐患,其安全问题越来越受到人们的重视㊂
通过分析已测车型存在的组件漏洞,发现存在漏洞的组件为66种,总计存在1022个公开漏洞,如图1所示㊂在这些组件漏洞中,存在漏洞较多的组件为ffmpeg和tcpdump,分别占所有组件漏洞的20%和12%㊂这些存在漏洞的组件一般存在于Linux系统的自带程序中,较为常见,如表5所示㊂
图1㊀公开组件漏洞
表5㊀存在已知漏洞的组件占比
ffmpegtcpdumpopensslglibccurlfreetype其他占比/%20128665431 3 2㊀未知漏洞
相对于已知漏洞而言,未知漏洞是通过二进制静态漏洞扫描工具对系统中存在的二进制文件进行漏洞扫描,发现程序代码中可能存在的漏洞㊂
经分析,这些未知漏洞大多位于read㊁fscanf㊁fread㊁scanf㊁accept㊁connect等函数的调用中,存在的安全问题为UncheckedReturnValue(未
检查返回值)㊂
此类漏洞可能导致缓冲区溢出㊁空指针解引用等较为严重的安全问题㊂对于其他函数的调用,也需注意返回值的检查,以确保函数的安全使用,如表6所示㊂
表6㊀存在未知漏洞的函数数量
fscanfreadfreadacceptscanfconnectisoc99scanf其他数量3112767966605837312㊀T-Box安全防护策略
T-Box应用领域很广,大体可分为两大类:安全相关应用以及其他应用㊂安全相关应用主要用于辅助驾驶,在生命受到威胁的情况下可能会阻止事故的进一步恶化㊂这一类的安全是强制性的,因为这些应用程序的任何操作都必须得到保障,哪怕正遭受黑客攻击㊂其他应用则包括交通优化㊁GPS服务㊁信息娱乐等,这一类别的应用出现的目的是方便生活,此类应用会在用户使用的过程中产生大量跟用户相关的个人隐私数据,因此安全问题也必须引起重视㊂基于上文中的测试结果和分析,本文作者从4个方面给出了防护策略㊂
2 1㊀硬件防护
硬件防护是汽车最底层的防护措施,智能网联汽车的防护必须先从硬件防护开始㊂如今相关企业研发硬
件安全模块(HardwareSecurityModule,HSM),将加密算法㊁访问控制㊁完整性检查嵌入到汽车控制系统,以加强ECU的安全性,提升安全等级㊂例如:隐藏PCB板中存在的调试接口;将PCB丝印㊁芯片型号等信息清除,通过隐藏这些芯片信息来增加敏感芯片和组件被识别出的难度;同时移除云端的固件下载接口,使用具有读写保护存储能力的芯片,可以通过设置使得设备不可读㊂
2 2㊀数据、通信防护
通信是当代智能网联汽车最为重要的功能,为了提升智能网联汽车整体的安全性,必须加强车联网通信的防护,如在T-Box中配置安全策略,限定网络可访问的地址㊁通信端口㊁通信协议,加强网络访问控制:敏感信息避免使用日志的方式进行打印输出;避免使用硬编码的方式存储用户名㊁密码㊁密钥等敏感信息;隐私信息使用软编码㊁加密形式进行传输;采用复杂的加密方式对敏感数据进行加密处理,避免明文存储;远程通信采用HTTPS等加密协议进行数据传输;安全存储用于解密数据公钥和私钥㊂
2 3㊀系统防护
为了加强用户及网联汽车数据隐私等各方面的安全,必须加强系统的整体防护,关闭常见的危险端口,如21㊁22㊁23㊁5555等;设置防火墙过滤规则;及时更新端口所对应的应用程序;关注内核
漏洞并及时更新系统内核;增加系统最高权限用户名密码的复杂度等㊂
2 4㊀应用防护
在系统开发过程中,使用第三方组件时,需注意其安全状态,及时更新至最新版本;在系统开发过程中,建议遵守MISRA2012和CERT-C编程规范;增加反调试机制,用来识别应用程序是否被调试,或者让调试器失灵,以此来防止攻击者使用调试器来观察应用程序的运行过程;增加代码混淆,将代码转换成功能上等价但是难于阅读和理解的形式㊂
3㊀结论
随着汽车车载系统越来越精密㊁功能越来越繁杂,T-Box会变得更加普及㊁更加智能㊂本文作者首先介绍了T-Box的发展以及在发展过程中面临的信息安全问题,并针对车联网环境
下T-Box面临的安全威胁,利用信号欺骗㊁威胁攻击㊁暴力破解等测试方法对现有的5款智能网联汽车的T-Box从多维度进行了信息安全测试,并对相应的测试结果进行统计及分析,最后根据测试分析结果,从硬件㊁通信㊁系统以及应用4个方面提出了相对应的防护措施㊂本文作者通过对多款T-Box进行测试分析,旨在为智能网联汽车高速发展的环境下设计更加安全㊁智能的T-Box献计献策㊂
参考文献:
[1]车辆网络安全白皮书[EB/OL].中国信息通信研究院,2017:1-43.
[2]杨春颖.车联网身份认证技术的研究与实现[D].成都:电子科技大学,2017:1-68.
[3]孙雅楠.车载通信终端安全加固技术的研究与实现[D].成都:电子科技大学,2018:1-73.
[4]许彩霞.车联网信息安全的威胁及防护策略[J].信息通信,2018
(7):191-192.
[5]于赫.网联汽车信息安全问题及CAN总线异常检测技术研究[D].长春:吉林大学,2018:1-30.
[6]彭敏,朱婷婷.基于无线传感器网络的小汽车信号预警系统设计与应用[J].齐齐哈尔大学学报(自然科学版),2019,35(2):49-52.
PENGM,ZHUTT.Designandapplicationofcarsignalearlywarningsystembasedonwirelesssensornetwork[J].JournalofQiqiharUniversity(NaturalScienceEdition),2019,35(2):49-52.
[7]李志涛.车载以太网的研究与分析[J].汽车电器,2018(3):9-12.
LIZT.Researchononboardethernet[J].AutoElectricParts,2018(3):9-12.
[8]武晨旭.面向车联网的车辆内部网络安全关键技术研究[D].南京:东南大学,2018:1-35.
‘机床与液压“投稿要求
一㊀对来稿的要求
1.来稿:应具有科学性㊁实用性,逻辑性㊂文字准确㊁通顺㊁精炼,重点突出㊂稿件应包括篇名(中英文)㊁摘要及关键词(中英文)㊁作者及作者单位(中英文)㊁正文㊁参考文献等,并提供中图分类号和作者简介㊂若是科研基金项目或国家㊁部㊁省级攻关项目,请将项目名称和编号标注在文稿首页的地脚㊂
2.文题:应恰当㊁简明地反映文章的内容,符合编制题录㊁索引和选择关键词等所遵循的原则㊂中文题名一般不宜超过20个汉字,英文题名应与中文题名含义一致,一般不超过10个实词㊂
3.作者:应具备下列条件:(1)参与选题和设计或参与资料的分析和解释者;(2)起草或修改论文中关键性理论或其他主要内容者;(3)最终同意该文发表者㊂每篇论文作者的排序应在投稿时确定,在编排过程中不应再作更改㊂作者单位应写明全称,并注明城市和㊂作者简介应包括姓名㊁性别㊁出生年㊁学位㊁职称㊁研究方向㊁邮箱㊂
4.摘要:中英文摘要一律采用结构式摘要,主要包括研究目的㊁方法㊁结果和结论4部分㊂中文摘要300字以内,英文摘要与中文摘要相对照㊂
5.关键词:论著文章一般列出3 5个关键词即可㊂标引的关键词应针对文章所研究的重点内容,且通
用性比较强㊂6.图表:按正文中出现的先后次序连续编码,每个图表在文中均应有标注,并对每幅图表冠以具有自明性的图(表)题(包括中英文)㊂本刊采用三线表,表中取消竖线㊂插图应由专业人员用计算机绘制或拍摄;照片图上不要用手写字㊂插图做到布局合理㊁图形清晰㊁比例适中㊂
7.参考文献:按国标GB7714-2015采用顺序编码制著录,依照其在正文中出现的先后顺序用阿拉伯数字加方括号标出㊂参考文献中的作者,1 3名全部列出,3名以上只列前3名,后加 等 或 etal ,参考文献必须由作者对其原文核对无误㊂请提供参考文献中期刊论文对应的英文译文㊂每篇文章的参考文献应不少于8篇㊂
二㊀投稿注意事项
1.本刊只接受网上投稿,投稿网址:http://www jcyyy com cn㊂作者修改稿请直接发送至信箱jcy@gmeri com㊂投稿时请提供㊁邮箱等㊂来稿涉及技术保密的应经作者所在单位审核,并附正式介绍信㊂
2.本刊审稿周期为3个月,稿件录用情况通过邮件通知作者,录用稿件同时邮寄正式录用通知书㊂审稿进展及录用情况可上网查询(http://www jcyyy com cn)㊂
3.来稿请自留底稿,切勿一稿多投㊂来稿文责自负㊂本刊有权对来稿做文字修改㊁删节,凡有涉及原意的修改则提请作者考虑㊂