汽车各种被黑事件还没完，这次又是OBD

黑帽大会连着USENIX安全会议，汽车制造商与相关的供应商们也跟着揪了一把心——汽车被破解入侵事件接连不断。继克莱斯克被召回、通用Onstar安全漏洞、特斯拉破解攻防战之后，在这周召开的USENIX安全会议上，来自加州大学圣地亚哥校区（University of California at San Diego，下称UCSD）的一个研究团队，又公布了他们的一个最新研究案例：以OBD为入口入侵汽车，这一次跟着一起躺枪的是依然是归属于通用的一个品牌——科尔维特。

UCSD的入侵情况

先看看这次UCSD研究团队是怎么入侵的。

他们研究的OBD装置是被一家名为Metromile的创业公司提供给用户的产品。关于这家创业公司车云菌此前有过分享，模式为利用OBD监控驾驶行为的UBI车险，根据车辆的驾驶里程来收保险费。他们提供给用户的OBD生产方是一家法国设备制造商，名为Mobile Devices。

研究团队利用这款OBD设备，入侵了一辆2013年款的科尔维特，而这个入侵方式相比那些要拿个电脑出来的，就简单多了。 在入侵过程中，研究员只用到了一款手机，而控制方式则是发送短信，短信内包含控制命令。通过这种方式，UCSD的研究员成功实现了打开与关闭车辆的雨刷器、控制车辆刹车以及让刹车失灵。短信是从手机发送到OBD所使用的SIM卡卡号上，这块SIM卡接受了控制命令之后，再通过OBD端口传送到车辆的CAN总线上，实现以上功能的控制。

当然，好消息是，研究员们也表示， 控制刹车的方式受到了事先设定在行车电脑中的速度上限的限定，因而只能在低速下发挥作用，也就表示了这种入侵并不会带来安全上的隐患。

在发现设备的弊端之后，UCSD团队在今年六月份联系了Metromile，告知了其产品存在的缺陷。Metromile则是与供货商Mobile Devices联系，由Mobile Devices提供了一个安全补丁，Metromile通过OTA方式对设备进行了更新。

但是问题又来了，更新之后，团队依然通过搜索工具Shodan（可以搜索到指定类型的硬件设备）搜索到了属于Metromile的，以及其他一些来自Mobile Devices的设备。这些设备大部分位于西班牙。尽管Mobile Devices并没有回应连线杂志对此的询问，但是连线杂志根据设备所在地以及Moblie Devices的合作关系猜测，这些设备是来自于Mobile Devices在西班牙的合作伙伴Coordina（一家车队管理公司）。

Coordina并没有对此做出解释，反倒是其管理方案提供商TomTom Telematics发布了一份公告。公告中提到UCSD的攻击只有在旧版本的设备上才会生效，而他们所使用的旧版本设备数量并不多并正在逐步替换掉。TomTom Telematics的总经理Thomas Schmidt表示，他们使用的设备中SIM卡号并非是公开的号码，因此并不能从普通手机上直接发送短信。

不过，研究团队的回复是，号码不公开并不是什么大事，曾经就通过暴力破解的方式直接发送了短信控制命令，完全不需要知道具体的SIM卡卡号是多少。尽管这种方式他们还没有在Coordina的设备上进行测试，不知道是否能够生效，但很明显，利用OBD漏洞入侵车辆，这事儿还没完。

这次入侵表现出来的安全问题

利用OBD入侵车辆的事件并非首例。最早在汽车还没有联网的时候，通过物理接触的方式去破解汽车内部协议，大多都是车上的OBD端口。所以，在有OBD设备之后，尤其OBD设备大多都有互联模块，能够通过各种方式与其连接，被盯上实在是件顺理成章的事情。

在安全会议上公布这项案例之后，美国连线杂志对UCSD的团队进行了采访。根据连线的报道内容，团队中的计算机安全教授Stefan Savage表示，在研究Mobile Devices的设备之后，对其进行了反编程，发现其整体上就缺乏安防措施，而最大的两个隐患表现在两个方面：

1. 1.  OBD设备有一个开发者模式，允许任何从网络上发现此设备的人能够通过SSH（从电脑进行远程控制的公共协议）的方式远程接入。所有的OBD设备使用同一个私钥，因而黑客们可以在任一设备上很快获得root权限（系统最高权限）。

2. 2.  OBD可以通过短信的方式接受指令。短信不需要经过任何验证，可以通过手机发送指令直接更改OBD的固件设置，向汽车CAN总线发布命令。

UCSD研究人员表示利用这两个bug，他们能够劫持任何车型的转向与刹车系统，而并不是只针对Corvette这一个品牌。

如果只是看到这里，似乎得到的结论就是，一块不注重安防手段的OBD设备，能够毁了一款车的安防系统。

但事实上，却并没有这么严重。曾经在360的安全团队破解特斯拉Model S的时候，车云菌就此问题进行过分析，现如今车云菌的观点依旧如此： OBD提供的只是黑客入侵车辆的一个入口功能，但是真正地操控汽车，获得车辆核心功能（转向、制动、启动等）还是需要破解车辆的内部协议才行，而并非接入一块OBD设备所能够做到的。

那么UCSD团队是如何控制这辆科尔维特的呢？

首先是Mobile Devices的OBD设备。车云菌从国内一名测试过这块设备的软件工程师处了解到，Mobile Devices的OBD上使用的是Linux系统，他们家的OBD设备相当于手机里的iPhone，功能多、相对来说智能。但是Linux是黑客们非常熟悉的OS，所以一旦有什么漏洞，都能够很容易被发现。这款OBD上的权限问题就是因为其设置不当而被发现的。

另外一个漏洞来自于短信方式控制的弊端。通过短信方式进行配置有一个最大的好处是简单方便，并且稳定性高，保证达到。尤其车辆在高速行驶，或者网络基站布置不够的时候，网络连接会很不稳定。但是弊端就在于太不安全，不需要进行任何验证，只要知道配置的命令就可以了，而Mobile Devices的开发文档，在其网站上是公开的。如果能够采用HTTPS的网络方式，破解起来就要难得多了。

然后就是车企了。对于这次案例，雪佛兰并没有进行回应。但是从UCSD可以控制的内容上来看，虽然控制了刹车，但是受限于ECU的设置，只能在低速下接管，这个速度，有国外媒体报道是5km/h。至于雨刷器，这在CAN总线上只是一个开关功能，相对容易破解。而关于刹车传动这类核心功能，其底层控制并没有被放在CAN总线上，所以，这次的入侵，也只停留在了表面，内部安防线并没能被长驱直入。

在UCSD研究员提到这个攻击并非只针对科尔维特的时候，提到的车型是丰田普锐斯和福特翼虎。而这两款车型，在2年前被Charlie Miller与Chris Valasek的组合破解之后，其车辆内部协议就可以在网上直接找到了，所以他们才说，“这些车型是有现成的攻击方式可以用的”。

车云小结

可以得到的结论依然是类似的，OBD设备确实本身并不安全，给黑客们提供了一些漏洞，但是好在，真正攻击到车辆内部，仅仅有OBD，还是不成的。不过值得注意的是短信通讯。这种方式并非仅仅在OBD中使用，在相当一部分车载系统中，也同样采用了这种方式。

值得欣慰的是，丰田普锐斯和福特翼虎的协议虽然已经被公开，但是这两年来，还并没有发生相关的安全事件。这也回到一个老观点，目前的车辆对于真正的黑客来说，还没有产生足够的吸引力。但是随着OBD设备从民用车到官方用车（白宫在今年三月份表示要给车队装上OBD以提到车辆使用效率），随着人们在车载系统中留下的隐私数据与钱逐渐挂钩，对于这个特殊人群来说，才有了真正的需求。