安全路透社
当前位置:安全路透社 > 网络转载 > 正文

2016年智能网联汽车信息安全测试报告(摘要版)

car_wireless_internet_security_privacy_security_locks-100437820-primary.idge.jpg

声明

本测试报告采用由VisualThreat车联网信息安全司的研究人员使用其研发的智能网联汽车自动化信息安全测试设备Auto-X和运用相应的研究方法,对所测试的不同车型做出的信息安全分析评判。

本报告仅代表VisualThreat观点,仅供读者参考,并不构成针对被测试车辆的任何建议。VisualThreat强烈不建议读者模仿相应的测试方法,读者须根据情况自行判断。VisualThreat对被测试车型品牌影响和用户对被测试车型的使用行为不负任何责任。VisualThreat公司力求测试结果信息的完整和准确,但是由于设备自身不可避免的局限,并不保证该报告中测试结果信息的完整性和准确性。报告中提供的数据、观点、文字等信息不构成任何法律证据不代表官方机构意见。

如果对报告数据有异议,可以联系VisualThreat公司。如果报告中的研究对象发生变化,我们将不另行通知。未获得VisualThreat公司的书面授权,任何人不得对本报告进行任何形式的进行有悖原意的删节和修改。如引用、刊发,需注明出处为“VisualThreat信息安全公司”。

前言

2016年是汽车智能网联技术井喷式发展的一年,国内的汽车制造商和互联网公司纷纷开发下一代的联网汽车。汽车已经不再是简单的机械设备,而是近百种ECU通过内部车载网络进行全面的监测和控制。尽管这种转变大大提升了用户体验,智能汽车成为了黑客攻击新的目标,同时也把安全风险带入到汽车内。

这些安全隐患连同汽车内部系统先天缺失的安全防范会引发一系列的汽车攻击,从汽车盗窃、汽车远程劫持、甚至通过云端侵入汽车控制系统,从而导致驾驶人员受伤,甚至死亡。攻击者可能潜入电子控制单元 (ECU),控制汽车的多项功能,包括刹车和中止发动机工作等。

2015年7月份美国克莱斯勒汽车厂商史上第一次因为安全漏洞一次召回140万辆汽车。鉴于不能及时保护车主的安全,7月26日美国高速公路管理委员会宣布对克莱斯勒公司进行1亿5百万美金罚款,还不包括从车主手中买回近20万辆车和召回的费用。

根据美国权威汽车价值评估媒体Kelley Blue Book最新公布的汽车黑客攻击调查报告中指出鉴于近期被广泛讨论的Jeep汽车被黑事件车主已经真正开始关心车辆的网络安全问题。有71%的参与者表示知道Jeep汽车被黑事件;41%的参与者表示在选购新汽车的时候会考量是否在近期存在被黑客攻击的新闻.

目前的汽车安全测试方案只是对现存汽车进行人工破解,发现其通信上的漏洞,而不是自动化测试解决方案。缺点在于,现存汽车已经设计出来,即使发现信息安全问题,也很难彻底修复其安全隐患,而且测试成本很高。所以,在新车设计阶段,就需求进行低成本的自动化安全测试方案。

汽车信息安全指南和挑战

现代汽车信息安全最佳实践

2016年10月美国交通部最新颁布的汽车信息安全白皮书《现代汽车信息安全最佳实践》。美国交通部的NHTSA美国高速公路管理局历来需要肩负起驾驶员安全的责任,有义务来承担信息安全方面的责任。这些标准和指南旨在为车厂提供信息安全架构基础,并在此基础上各个车厂来定制自己信息安全测试流程。

《现代汽车信息安全最佳实践》强烈建议汽车业界需要把信息安全作为整个公司层面的优先级,同时内部要建立一个信息安全测试流程机制。 

信息安全标准缺失测试工具

然而,由于缺少规范的安全监管标准和流程,目前绝大多数厂商和供应商不能对其产品进行必要的安全性测试,结果很难按照信息安全标准实施测试。具体困难表现在业界没有成熟的信息安全测试设备把这些标准和汽车整个生产制造流程联系起来,造成车载系统,ECU等设备在开发过程中和安全测试脱节。对于车厂,服务提供商,智能硬件厂商等而言,他们清楚地知道汽车存在被攻击的危险,但是却找不到安全产品服务商能帮助他们在产品开发过程中发现和解决安全漏洞。

为此,VisualThreat推出了领先的车联网信息安全自动化检测设备VisualThreat Auto-X。该设备和测试流程基于美国SAE-J3061标准(全球第一个汽车信息安全标准),并结合多年实战汽车信息安全测试经验和汽车攻击漏洞数据库,可以方便定位车型中存在的信息安全风险,提出对应的安全隐患修复建议。VisualThreat Auto-X测试平台系统能够优化车厂内部汽车网络安全测试流程,通过消化吸收的过程延伸出自主的技术体系,促进其提升车联网安全方面的国内外市场的整体竞争力。

为了更好地对汽车信息安全测试现状做最新的全方位的调研和评估,VisualThreat在2016年下半年度对6款车型进行了信息安全评分测试。这些测试车辆既有国内品牌又有欧洲和美国品牌。通过采用可重复性,自动化的测试流程,测试人员为每一款车进行了统一测试点集合的信息安全测试,量化评估后得出了汽车安全测评综合情况。这份报告是我们所知的到目前为止针对汽车信息安全测试最为自动化的研究报告。

我们衷心希望本测试报告能为正在研究制定汽车信息安全规范的有关单位提供参考作用,同时也期待和相关单位进行合作进行更加全面深入的信息安全测试工作。

Holding-Car-In-hand.jpg

测试方法 

当前汽车信息安全测试局限性

尽管之前已经开始了一些个别车型的破解研究工作,但目前汽车信息安全测试仍然局限于破解者或者测试者的安全技术背景,车厂和标准机构无法进行通用的标准测试流程。而且,测试结果受限测试人员的水平和测试环境变化,无法用公平和可重复的方法对多辆汽车次进行自动化的测试。

许多研究者都曾描述过一些汽车安全方面的潜在漏洞,也为如何保护汽车的安全提供了一些可行的指导建议。但这些方法大都要依靠安全测试人员本身,而且很难对每种车型提供统一和公平的测试环境和流程,导致汽车安全测试缺乏标准流程化。例如,车厂在考虑面临的安全威胁时,只能随机假想攻击者“如果。。。怎样”的情景,而不能将这些问题具体化。

公平,可重复,流程化测试

本报告采用的Auto-X 汽车信息安全测试平台具备“即插即用、随时测试、自动流程”的特色; 能够为汽车厂以及其供应商,构建分阶段、多层次信息安全测试体系。帮助汽车厂以及其供应商建立先进汽车信息安全测试流程, 找到安全漏洞隐患,提升车载设备安全质量,缩减安全测试周期,,填补了车厂和服务供应商信息安全测试产品的市场空白。特点包括:

· 而随着人们将更多精细的服务和通信功能植入汽车,汽车内部信息安全测试的缺失将使攻击者获得丰富的攻击选择,他们可以入侵某个ECU部件,并借此潜入汽车内部网络,进而造成难以预知的后果。目前的汽车安全测试方法都没有深入到汽车内部系统中。Auto-X的测试流程评估车辆内部重要组件的安全属性。

· 测试框架通过研究之前发生的各种汽车黑客攻击,全面地分析了测试车辆内部网络,建立了全面的汽车测试漏洞库。

· 为解决车联网信息安全测试数据的问题,需要从现实世界环境记录下攻击的输入数据,这些数据将在测试环境中使用。这有助于让测试环境尽可能与黑客攻击环境一致。我们的流程用真实的攻击数据进行安全测试,完全还原真实的攻击场景。

测试架构

·  测试人员先将测试设备联接到被测试设备,配置好通信接口;

·  登录测试测试界面,根据测试矩阵建立测试点清单;

·  测试每一个测试点,记录分析测试结果;

·  根据每一项的测试结果生成测试报告,报告格式可以是html,WORD,或者PDF;

信息安全测试矩阵

对汽车信息安全的测试应该采取评分制的标准,这也符合了最新的美国交通部汽车信息安全白皮书的要求。2016年9月份出台的自动驾驶指导规范中明确地用十五分制的评分标准来约束无人驾驶汽车的上路。其中信息安全作为一个重量的参考标准也包括在其中。

所以,本方法也采用了信息安全测试评分矩阵。评分矩阵主要分为三个阶段:汽车拓扑结构测试, ECU测试及组合攻击测试,分别包含不同方面的测试。这几点的安全验证代表了汽车信息安全开发水平。这些方面做不好,其他更高级的保护措施也无从谈起。 

汽车拓扑架构测试

主要针对汽车内部总线设计的方法,评估其设计的安全性。汽车内部总线,拓扑结构的设计,直接影响到汽车的信息安全性。一个设计优良的网段隔离策略。能够有效的抵御黑客的入侵攻击。对于任何汽车CAN总线系统来说,均可根据其对输出信号的响应情况,以及全面了解整车内部电器拓扑结构。汽车拓扑结构测试采用黑盒测试,旨在清楚地掌握正在运行的ECU的情况;也能了解到所有正在运行的ECU服务。并根据拓扑结构判断汽车可能存在的安全隐患。

部分一级测试点(可再细分) 

CAN拓扑安全性 CAN总线嗅探 网段隔离安全性
诊断包嗅探 安全优先级测试 协议逆向难度
软件安全标准 拓扑结构逆向 OBD端口安全性

ECU测试

验测试车辆 CAN 网络中的单个组件,确定通过其进行通信,攻击者可能达到哪些目的。针对每一个发现的ECU,并进行深入分析。通过 测试矩阵,测试预先定义的各个测试点,触发各种应用场景,收集结果日志,基于日志进行整理分析统计,从而发现可能的潜在威胁。

部分一级测试点(可再细分)

ECU安全访问权限 ECU数据篡改 ECU欺骗
拒绝服务 中间人攻击 ECU暴力破解
ECU保护性测试 ECU更新安全性 ECU协议标准
模糊化测试  ECU权限提升 

ECU组合攻击测试 

汽车的很多功能的实现都需要多个 ECU 进行复杂的配合。然而,迫于上市时间的压力、线路连接成本和功能协调配合的复杂性,以及进一步完善需要付出的经济成本,汽车制造商没有对ECU相互配合通信做必要的安全监测,并且有越来越多的制造厂商开始将其整合成能够访问外部网络的应用程序软件平台。 ECU组合通信的安全漏洞是危害最大的。

部分一级测试点(可再细分)

ECU间通信安全 动力系统通信 协议安全
电池系统测试 通信优先级 模式安全切换
协议不正当使用 模糊化测试 功能激活异常
模块更新欺骗

home-car-security.jpg

部分测试结论

测试人员选择了6款不同的汽车,分别是3款国外品牌(一款豪华、一款高档和一款中档)和3 款国内或国内合资品牌(一款豪华、一款中高档和一款中低档)。

所有被测汽车都有不同程度的信息安全隐患

安全隐患严重程度  车型数目
非常严重 2
中等严重 2
非严重 2

·  非常严重

车辆无法启动,ECU之间通信失效,CAN网络遭到严重破坏

·  中等严重

车辆可以启动,但是导致部分功能失效,影响驾驶员正常驾驶,引发潜在事故

·  非严重

部分非关键汽车功能出现障碍

测试发现,两款豪华车型分别出现了非常严重和中等严重问题。一款无法正常启动,另一款出现了ECU的功能异常,干扰了驾驶员的驾驶过程。见下表。

豪华车型 发现安全漏洞
某豪华车型 运行第一阶段测试时候,车辆发生异常,不能重新启动。属于非常严重类别。
某豪华车型 ECU被恶意篡改,强制升级,某些重要功能异常,影响正常驾驶。

汽车价格或豪华程度和信息安全不成正比

我们对汽车受测试攻击影响的程度进行了对比和分析,得出了一个令人惊讶的结果:汽车的销售价格或豪华程度和汽车受攻击的防范程度不成正比。其实这个现象也不难理解,车厂对信息的重视是最近两年才开始的,然而汽车制造流程长达5年,所以目前现存车辆都没有完整的信息安全设计。虽然高档车辆在 ECU性能和车辆功能体验上更胜一筹,对于信息安全,所有车厂基本都在同一起跑线上。更有甚者,有些价格昂贵的汽车对汽车攻击的影响比价格低的中低档次的汽车还要大。

因为高档的汽车,里面使用的ECU的数目会比中低档的车还要多,那么这些传感器的敏感程度、之间的通信机制就会因为这些汽车收到一些干扰和影响,呈现出来的这些仪表盘还有各种其他汽车内的控件造成的负面效应还要高,对车主在驾驶中产生的一些安全影响还要更加深。 

汽车内部CAN总线架构和信息安全息息相关

汽车内部CAN总线电子电器架构和抗汽车攻击能力有很大关联性。举个例子,某款被测试车辆内部拓扑结构包括中央网关,该网关是一个通信中心联结各个子网段和OBD端口。如果此网关有安全隐患,汽车攻击会波及到其他 ECU处理器,产生的影响是比较大的,如果还有部分的隔离地区或者是隔离网关的话,受到的攻击影响就会少一些。

举个例子,某国外品牌车型,其CAN总线拓扑架构划分为不同子网段,其网关和ECU功能性设计较好,甚至定制了某些通信物理接口。除了非关键性的几个功能发生异常,被测试的 CAN网络没有发现严重的安全隐患。

另外一个有趣的现象是,同一品牌车型,往往新车型的汽车,潜在安全隐患比旧车型还要多。因为年代越新,所附加的新的功能也越多,电子器械智能功能越多,那么收到的干扰程度也会越大,而中低档车的ECU数目少,相对安全漏洞也少。

简单的CAN总线防火墙不能有效防御汽车攻击

汽车CAN总线防火墙目前是经常被提到的汽车防护方案,然而,防火墙被经常误认为就是“黑白名单”,车厂有种误解:认为简单地在某模块中加入了黑白名单机制,就可以防御黑客攻击,高枕无忧了。

然而,在某种豪华被测试车型中,测试人员发现其已经集成了某些黑白名单保护机制来抵御汽车破解测试。不幸的是,这种简单的机制并不能有效地抵御测试中采用的测试点,最终汽车被测试瘫痪,无法从新启动。

真正有效的防火墙方案需要根据汽车行业特点进行紧耦合的信息安全产品设计。

黑客能轻易识别高达92%汽车ECU部署情况

“知己知彼,百战不殆”。这句历史悠久的兵法思路似乎都是用在正义一方。不幸的是,黑客也会利用它进行汽车攻击。测试发现,汽车内部ECU部署情况可以被轻易地获得。在某款车型上测试人员比较了测试结果和该车型的电子电器架构,高达92%的ECU部署是一致的。

因此,车厂应该从提高ECU自身安全性和不同ECU之间通信安全性上进行积极改进,把汽车信息安全测试方法深入到汽车内部开发流程中,全面评估车辆内部所有重要组件的安全防护属性。

国内外汽车品牌信息安全的差距

国内品牌汽车和欧美品牌在信息安全方面还是有一定距离的,但是与欧洲和美国品牌差异各不相同。根据我们的测试结果显示,被测试的美国品牌车辆安全性最好。优势集中体现在汽车电子电器架构设计和ECU优良的信息安全功能性方面。这可能和美国长期重视信息安全工作和美国车厂制造流程技术积累有关。鉴于,在测试中严重和中等严重安全漏洞分别出现在国内品牌和欧洲品牌车辆中,他们信息安全性均有待改善。 

令人鼓舞的是,对于ECU的信息安全性能改善可以采用通用的方式,所以,通过信息安全培训和推广内部信息安全测试流程,国内品牌汽车内不同ECU的信息安全功能改善可以同时进行整体提高。

国内快速发展的汽车网联架构有助于进行攻击响应

国内不同的车厂的网联云端技术正在发展地如火如荼。例如,通过汽车联网,用户可以方便地通过手机了解汽车诊断和使用情况。车厂云端会定期推送汽车信息给用户。 

测试人员发现,借助国内车厂现有的智能网联平台可以方便地集成汽车攻击应急响应中心,及时通知车主他们的汽车发生了攻击或者相关异常。在应急响应方面国内车厂或可以领先国外车厂。

【鉴于本报告是摘要版,本测试结果章节不披露具体的测试矩阵分数情况。且本章节分析仅是基于VisualThreat公司的汽车信息安全测试矩阵,不是官方数据,仅作参考。读者才是最终评估决策者。如果对测试结果有任何疑问,可以和我们联系商榷】

017815-ford-vehicle-security-experts-ho-ho-home-christmas-car-crooks.1-lg.jpg

测试误差

测试误差不可避免。鉴于Auto-X信息安全测试流程相关技术难免有不足之处,测试误差是存在的。因为我们采用的是自动化测试,对每一辆被测试汽车的测试流程基本一致,所以如果有偏差,也是统一的误差。

测评误差包括下面几点:

1. 测评技术;由于测试技术还有不精确的地方造成测试的误差。由于目前没有统一的汽车信息安全测试规范(目前只有建议性的指南和最佳实践等指导),使用的检测技术不是完美。测评误差的纠正比较难。再次声明,这不是官方评测。但是由于是基于统一和自动化方法进行评测,这种误差将影响到所有被测试车辆。具体误差偏移的计算就不在本文讨论范围之内。

2. 各个被测试车辆的内部CAN电子电器架构不同,ECU数目不同,所以测试覆盖范围也不同,存在测试误差。

3. 被测试车辆不是同一的年号,并不能代表相关车厂最新的信息安全水平,其最新的车型可能已经对某些安全隐患进行了修补和改善。所以测试结果也不应被读者作为评价相关车厂技术的参考数据。

4. 测试属于黑盒测试,对汽车私有协议和ECU诊断信息没有参考资料,造成在分析测试结果中产生不可避免的误差。

汽车信息安全解决方案

一个优秀的汽车信息安全测试方案应该采用符合SAE车联网信息安全测试标准,具备灵活的集成方式,并提供详细的测试记录备查。自动化的信息安全测试流程并可以帮助车企和供应商实现以下价值:

1.  对联网汽车进行信息安全测试分析,发现安全漏洞隐患,进行详细的安全级别分类和表述;通过对评测结果的有效处理,弥补产品开发和车联网安全框架之间的空白;

2.  提供自动化的汽车信息安全测试设备,测试软件和管理界面,方便客户定制符合自身需要的测试安全基线;

3.  促进了车厂电子电器部门、软件开发部门和其他部门之间的沟通和协作,有助于防止未经安全测试的应用程序给企业和应用使用客户带来风险; 

4.  协助整车厂通过实施信息安全测试流程,使他们拥有包括汽车网络安全测试在内的全面的汽车测试中心体系。

总结

未来将有越来越多的工具或者软件能对汽车进行破解攻击,使得汽车攻击的门槛大大降低,引发对汽车网联系统的破解和攻击高潮。之前对汽车的逆向破解很大程度上依赖于破解者对汽车的了解程度,但是这个限制正在被打破。本测试报告展示了完全可以用自动化的方式在短时间对汽车进行信息安全测试。这使得那些对汽车不熟悉的黑客可以借用传统攻击方法在破解结果的基础上进行下一轮攻击。这对黑客是个福音,但给正在进行无人驾驶和智能交通研究的厂商和相关单位敲响了警钟! 

目前无人驾驶、辅助驾驶、V2V/V2X的通信、和车路协同等技术正在迅速发展,并在不远的将来在车里进行融合。然而,一旦的发生汽车攻击,就会对这些设备产生的数据产生很多误导和干扰,甚至造成汽车无人驾驶误判引发生命事故。

VisualThreat研究人员想通过此次测试结果,进一步提醒相关车厂和供应商积极开展对汽车安全的研究,防止黑客对无人驾驶和V2X的破解,并推出汽车安全防御体系来防止汽车黑客攻击。

本报告旨在为目前正在制定相关汽车信息安全标准和法规的单位提供实战性的参考测试数据,如果我们的测试报告能对此有任何启示并激发碰撞出任何新思路,就是对我们最大的鼓励 !

*本文作者:tofreebug,转载请注明来自FreeBuf.COM

未经允许不得转载:安全路透社 » 2016年智能网联汽车信息安全测试报告(摘要版)

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册