汽车各种被黑事件还没完,这次又是OBD

2015-08-14 10:10:00    网站编辑    668    转贴
摘要: 似乎随着黑帽大会与Usenix安全会议的接连召开,汽车被黑事件也有点停不下来的感觉,这次是来自加州大学的团队破解了一款OBD的案例。

黑帽大会连着USENIX安全会议,汽车制造商与相关的供应商们也跟着揪了一把心——汽车被破解入侵事件接连不断。继克莱斯克被召回、通用Onstar安全漏洞、特斯拉破解攻防战之后,在这周召开的USENIX安全会议上,来自加州大学圣地亚哥校区(University of California at San Diego,下称UCSD)的一个研究团队,又公布了他们的一个最新研究案例:以OBD为入口入侵汽车,这一次跟着一起躺枪的是依然是归属于通用的一个品牌——科尔维特。

UCSD的入侵情况

先看看这次UCSD研究团队是怎么入侵的。

他们研究的OBD装置是被一家名为Metromile的创业公司提供给用户的产品。关于这家创业公司车云菌此前有过分享,模式为利用OBD监控驾驶行为的UBI车险,根据车辆的驾驶里程来收保险费。他们提供给用户的OBD生产方是一家法国设备制造商,名为Mobile Devices。

研究团队利用这款OBD设备,入侵了一辆2013年款的科尔维特,而这个入侵方式相比那些要拿个电脑出来的,就简单多了。 在入侵过程中,研究员只用到了一款手机,而控制方式则是发送短信,短信内包含控制命令。通过这种方式,UCSD的研究员成功实现了打开与关闭车辆的雨刷器、控制车辆刹车以及让刹车失灵。短信是从手机发送到OBD所使用的SIM卡卡号上,这块SIM卡接受了控制命令之后,再通过OBD端口传送到车辆的CAN总线上,实现以上功能的控制。

当然,好消息是,研究员们也表示, 控制刹车的方式受到了事先设定在行车电脑中的速度上限的限定,因而只能在低速下发挥作用,也就表示了这种入侵并不会带来安全上的隐患。

在发现设备的弊端之后,UCSD团队在今年六月份联系了Metromile,告知了其产品存在的缺陷。Metromile则是与供货商Mobile Devices联系,由Mobile Devices提供了一个安全补丁,Metromile通过OTA方式对设备进行了更新。

但是问题又来了,更新之后,团队依然通过搜索工具Shodan(可以搜索到指定类型的硬件设备)搜索到了属于Metromile的,以及其他一些来自Mobile Devices的设备。这些设备大部分位于西班牙。尽管Mobile Devices并没有回应连线杂志对此的询问,但是连线杂志根据设备所在地以及Moblie Devices的合作关系猜测,这些设备是来自于Mobile Devices在西班牙的合作伙伴Coordina(一家车队管理公司)。

Coordina并没有对此做出解释,反倒是其管理方案提供商TomTom Telematics发布了一份公告。公告中提到UCSD的攻击只有在旧版本的设备上才会生效,而他们所使用的旧版本设备数量并不多并正在逐步替换掉。TomTom Telematics的总经理Thomas Schmidt表示,他们使用的设备中SIM卡号并非是公开的号码,因此并不能从普通手机上直接发送短信。

不过,研究团队的回复是,号码不公开并不是什么大事,曾经就通过暴力破解的方式直接发送了短信控制命令,完全不需要知道具体的SIM卡卡号是多少。尽管这种方式他们还没有在Coordina的设备上进行测试,不知道是否能够生效,但很明显,利用OBD漏洞入侵车辆,这事儿还没完。

这次入侵表现出来的安全问题

利用OBD入侵车辆的事件并非首例。最早在汽车还没有联网的时候,通过物理接触的方式去破解汽车内部协议,大多都是车上的OBD端口。所以,在有OBD设备之后,尤其OBD设备大多都有互联模块,能够通过各种方式与其连接,被盯上实在是件顺理成章的事情。

在安全会议上公布这项案例之后,美国连线杂志对UCSD的团队进行了采访。根据连线的报道内容,团队中的计算机安全教授Stefan Savage表示,在研究Mobile Devices的设备之后,对其进行了反编程,发现其整体上就缺乏安防措施,而最大的两个隐患表现在两个方面:

  1. 1.  OBD设备有一个开发者模式,允许任何从网络上发现此设备的人能够通过SSH(从电脑进行远程控制的公共协议)的方式远程接入。所有的OBD设备使用同一个私钥,因而黑客们可以在任一设备上很快获得root权限(系统最高权限)。

  2. 2.  OBD可以通过短信的方式接受指令。短信不需要经过任何验证,可以通过手机发送指令直接更改OBD的固件设置,向汽车CAN总线发布命令。

UCSD研究人员表示利用这两个bug,他们能够劫持任何车型的转向与刹车系统,而并不是只针对Corvette这一个品牌。

如果只是看到这里,似乎得到的结论就是,一块不注重安防手段的OBD设备,能够毁了一款车的安防系统。

但事实上,却并没有这么严重。曾经在360的安全团队破解特斯拉Model S的时候,车云菌就此问题进行过分析,现如今车云菌的观点依旧如此: OBD提供的只是黑客入侵车辆的一个入口功能,但是真正地操控汽车,获得车辆核心功能(转向、制动、启动等)还是需要破解车辆的内部协议才行,而并非接入一块OBD设备所能够做到的。

那么UCSD团队是如何控制这辆科尔维特的呢?

首先是Mobile Devices的OBD设备。车云菌从国内一名测试过这块设备的软件工程师处了解到,Mobile Devices的OBD上使用的是Linux系统,他们家的OBD设备相当于手机里的iPhone,功能多、相对来说智能。但是Linux是黑客们非常熟悉的OS,所以一旦有什么漏洞,都能够很容易被发现。这款OBD上的权限问题就是因为其设置不当而被发现的。

另外一个漏洞来自于短信方式控制的弊端。通过短信方式进行配置有一个最大的好处是简单方便,并且稳定性高,保证达到。尤其车辆在高速行驶,或者网络基站布置不够的时候,网络连接会很不稳定。但是弊端就在于太不安全,不需要进行任何验证,只要知道配置的命令就可以了,而Mobile Devices的开发文档,在其网站上是公开的。如果能够采用HTTPS的网络方式,破解起来就要难得多了。

然后就是车企了。对于这次案例,雪佛兰并没有进行回应。但是从UCSD可以控制的内容上来看,虽然控制了刹车,但是受限于ECU的设置,只能在低速下接管,这个速度,有国外媒体报道是5km/h。至于雨刷器,这在CAN总线上只是一个开关功能,相对容易破解。而关于刹车传动这类核心功能,其底层控制并没有被放在CAN总线上,所以,这次的入侵,也只停留在了表面,内部安防线并没能被长驱直入。

在UCSD研究员提到这个攻击并非只针对科尔维特的时候,提到的车型是丰田普锐斯和福特翼虎。而这两款车型,在2年前被Charlie Miller与Chris Valasek的组合破解之后,其车辆内部协议就可以在网上直接找到了,所以他们才说,“这些车型是有现成的攻击方式可以用的”。

车云小结

可以得到的结论依然是类似的,OBD设备确实本身并不安全,给黑客们提供了一些漏洞,但是好在,真正攻击到车辆内部,仅仅有OBD,还是不成的。不过值得注意的是短信通讯。这种方式并非仅仅在OBD中使用,在相当一部分车载系统中,也同样采用了这种方式。

值得欣慰的是,丰田普锐斯和福特翼虎的协议虽然已经被公开,但是这两年来,还并没有发生相关的安全事件。这也回到一个老观点,目前的车辆对于真正的黑客来说,还没有产生足够的吸引力。但是随着OBD设备从民用车到官方用车(白宫在今年三月份表示要给车队装上OBD以提到车辆使用效率),随着人们在车载系统中留下的隐私数据与钱逐渐挂钩,对于这个特殊人群来说,才有了真正的需求。

京ICP备09047462号-1
蝉知7.0