??入職公司已經一年了，工作的主要內容是針對車場的聯網汽車進行安全測試以及車聯網相關（或不相關）的安全技術研究。入職的這一年主要還是學習和摸索的過程，針對于汽車安全有了一些自己的理解。

汽車安全測試

??近些年來，很多車廠都對于車輛安全測試有了一些需求，造成這種需求上升的原因主要有兩個：1、車載終端有了更強大的更豐富的功能。2、大量的車輛都具有了聯網的功能。車廠最關心的漏洞類型，還是傳統服務端的漏洞，包括APP、TBox、HU所訪問的服務端。這些服務端與非車聯網的服務端并無不同，因此往往不太需要與汽車安全有關的知識就可以進行漏洞的挖掘；其次就是一些非接觸式的攻擊緯度，如藍牙、NFC、WiFi、4G、GPS，這類漏洞挖掘難度和攻擊難度都較高，廠商也相對關心，但是在測試時間有限的情況下一般不會有什么產出；而接觸式層面的測試，如調試口、USB、CAN總線（OBD）、后門等則是相對優先級低一些的測試項目。除此之外，安全測試不僅需要對于外部可直接使用的功能進行測試，同時還要對系統內部的一些存在的安全風險（漏洞）進行分析。因為內部有些系統或組件的漏洞并不能直接通過外部直接訪問，但是在系統被攻破后會造成進一步的風險。所以在對于汽車進行安全測試的過程中，可以大致將測試的內容分為以下三個部分：1、已知公開漏洞掃描；2、未知漏洞挖掘；3、安全風險發現。下面分別針對這三個方面進行探討。

已知公開漏洞檢測

??已知公開漏洞：已知公開漏洞可以說是車聯網安全測試過程中比較重要的環節之一，不論是云端、車載終端中都存在了大量第三方應用、代碼和庫。對于云端來說使用的Web引擎、Web框架、Web插件等都是第三方的成分。就車載終端來說，使用的操作系統、SDK、開源庫都屬于第三方的范疇。發現已知的公開漏洞，所使用的主要方法就是準確的識別出所使用的相關項目及其項目的版本號，再結合漏洞庫的漏洞信息，發現待測目標中存在的已知公開漏洞。大致的工作流程可以如下圖所示：

??在整個已知公開漏洞的發現過程中，最重要的部分就是組件版本識別，準確地識別了組件的版本就可以發現存在于該組件中的漏洞。進行組件版本識別的方法有很多種。首先可以基于交互時的Banner信息，也可以基于交互時特定功能的差異性，也可以根據固件中的相關信息識別出組件及其版本信息進行識別。所以識別已知公開漏洞中最重要的部分是進行特征數據庫的建立，選取車載系統中常見的且易受攻擊的組件作為目標，收集這類組件的特征及其漏洞信息，并選取合適的方法作為組件發現以及版本識別的方法，可以做到每一個組件一個單獨的測試腳本。并將這些腳本匯總成一個集成化的已知公開漏洞掃描工具。

未知漏洞挖掘

??已知漏洞的掃描幾乎可以基于工具的自動化實現，而未知漏洞的挖掘則大部分需要測試人員人工測試與少量的自動化Fuzz。人工測試的目標主要是Web服務端、OTA、網絡服務、藍牙服務等。Web服務端的主要測試方式就是傳統的Web測試，根據OWASP中的相關內容以及測試人員的經驗對于服務端的安全性進行測試。OTA服務、網絡服務、藍牙服務、USB服務、UDS服務主要是通過對于二進制文件逆向分析進行漏洞挖掘，常見的漏洞類型為內存破壞、邏輯漏洞、命令注入等。除此之外，針對一些在車內比較常出現且容易出現漏洞的服務，可以采取Fuzz的方式對于其進行更深層次的安全測試。在此要特別區分開車載系統開發所使用的語言，如果使用的是Java（Android）語言開發，如安卓車機，則幾乎不存在內存型漏洞。針對該類車機，只需對于邏輯漏洞以及命令注入類漏洞進行分析。不論是Web的漏洞還是二進制的漏洞，此類未知漏洞的挖掘的測試效果主要取決于測試人員的水平以及測試所花費的時間。

安全風險發現

??安全風險發現主要根據經驗所提出的一些風險點，此類風險點并不算是漏洞，往往是由于一些配置錯誤或者安全意識缺失產生的問題。安全風險帶來的危害可大可小，如調試口開放、沒有安全啟動機制等問題在安全風險問題中屬于危害較大的。而調試信息未去除、權限設置不當等問題則屬于安全風險問題中相對比較小的。由于目前車載終端安全還沒有明確的規范和標準，安全風險的定義完全是根據各個安全團隊自己定義的，所以此類安全風險基本基于個人以及團隊的經驗積累，測試難度小，但是點相對分散。
??以我目前的經驗來說就把安全測試的內容大體的總結就是上面的三個方面。有機會的話會在后面的博客里針對每一方面的內容展開進行詳細的介紹 。

汽車安全研究

??我的另一項工作內容就是進行汽車相關的安全研究。我們花費了幾個月的時間在某款豪華車的研究之上。安全研究與安全測試最大的不同就是，汽車的安全研究主要的目標是搞一些別人沒搞過或者搞不定的事出來。漏洞影響面廣、漏洞影響程度深、攻擊方式新穎，都是在進行汽車安全研究時的目標。而測試時的全面性則是在進行安全測試事的目標。

大批量車控

??目前看來，具有車聯網功能的汽車，影響面相對最廣的攻擊方式，還是針對云端的服務進行攻擊。大部分車廠對于互聯網這一套東西并不是十分熟悉，也沒有相應比較成熟的應急響應機制，所以出現嚴重漏洞的可能性一般較大，尤其是運行在內網中的服務。而如果想實現大規模的車輛控制，還需要進行進一步的分析服務端的架構，繼續進行滲透，找到實際進行車輛控制的服務器才可以完成大規模的車控。這種方式車控范圍大，但是對于車輛的控制還是局限于車廠設定的范圍之內，一般只能開門開窗等車身舒適的操作，少數可以完成遠程點火等涉及動力的操作。如果想要實現超出車廠設定的車輛控制，只能通過尋找OTA服務推送惡意的升級固件或進行汽車破解。

深入汽車破解

??汽車破解目前沒有一個準確的定義，我的看法就是攻擊者利用車載電子系統中的漏洞，不斷地提升自身控制權，知道實現整車的控制。從科恩多次破解特斯拉以及作為汽車安全開端事件的大切諾基破解來看，可以分為以下四部分：1.HU、TBox控制權。2.直連CAN總線報文權。3.Gateway控制權。4.全部CAN總線報文權。就目前的階段來說，雖然CAN總線有其自身的局限性，但是大部分車廠還是使用CAN總線作為車內大部分ECU的通信總線。所以獲得了整車CAN總線的報文權，就可以向車內絕大部分ECU發送CAN報文。也就意味著可以通過UDS服務對于ECU進行刷寫，從而實現超越車輛本身的限制的車控行為。而車載以太網則是未來的發展趨勢，未來車內的總線可能由以太網逐步替換掉CAN，不過考慮到成本問題可能尚需時日。總體來說2、3、4這三項的難度不大，因為一般車輛對于這三項基本沒有什么防護，只是需要大量的時間對于MCU進行分析。目前看來難度最大，也是大家比較爭相去研究的還是如何攻破第一道防線，獲取到HU（TBox）的最高權限。從之前的很多破解案例，如2019年pwn2own中對于特斯拉HU的破解，攻擊者都選擇的是瀏覽器作為突破口。特斯拉的瀏覽器內核從之前的Webkit轉移到了現在的v8，還是難逃被攻破的命運。除瀏覽器外，HU（TBox）的網絡服務、USB、OTA也都出現過RCE的案例。理論上，藍牙和WiFi也存在被攻擊的可能，PJ0的人曾經實現過對于WiFi芯片的攻擊，在WiFi芯片中實現了RCE并進一步轉化為到AP芯片RCE的攻擊路徑。在真正的對于HU（TBox）中的應用、驅動、系統進行分析之前，對于它們的硬件進行硬件分析、固件提取、固件分析等步驟都是都是必不可少的，這里面同樣有很大的學問。

新型攻擊方式

??新型的攻擊方式則是汽車安全研究的另一個方向。在前些年，新型的攻擊方式主要是針對汽車的無線攻擊，包括針對無鑰匙進入的無線中繼攻擊、GPS欺騙、偽基站劫持、TPMS攻擊等。其中見過的比較優秀的案例就是對于汽車鑰匙進行無線中繼攻擊無鑰匙進入系統的案例。而最近很多車廠又將運用于其他領域的技術搬到了車上，如藍牙鑰匙、手機NFC鑰匙、指紋解鎖等功能。這些功能的出現，又為汽車的攻擊帶了一些新的攻擊面。針對自動駕駛系統的攻擊是這兩年最火熱的研究點，但是說實在的，目前進行汽車安全研究的人還沒有自動駕駛的場景里面找到合適的切入點和攻擊場景。通過激光逼停自動駕駛模式中特斯拉，通過異常圖像激活特斯拉的感應雨刷，通過地面設置的標志點迫使特斯拉做出異常動作，是這兩年比較出色的研究案例了。但是我感覺上述這些案例屬于雞肋型案例，真正有意義的針對自動駕駛的實際攻擊場景以及攻擊方式還需要進一步的研究。

小結

??汽車安全是一個傳統安全的大雜燴，需要多各種各樣的知識才能支撐起針對汽車安全的各種研究。入行一年的我現在處于這座大山腳下，對于汽車安全的一些方面有一點粗淺的認識，希望對于想要了解一些汽車安全的朋友有一定的幫助。

總結

以上是生活随笔為你收集整理的浅谈汽车安全的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。