现代可连网汽车面临重大危机:CAN标准存在缺陷,且不可修复

现代可连网汽车面临重大危机:CAN标准存在缺陷,且不可修复

 

前情提要

目前,所有现代汽车的心脏深处都埋藏着一个不可修复的缺陷,它允许攻击者在本地或者通过远程对车辆进行控制,关闭车辆的各种部件,如安全气囊、刹车、停车传感器等安全系统。

这一缺陷与现代汽车普遍使用的CAN(Controller Area Network,控制器局域网总线,是一种用于实时应用的串行通讯协议总线,它可以使用双绞线来传输信号,是世界上应用最广泛的现场总线之一)协议有关,该协议主要用于管理车辆内部组件之间的通信。

我们知道,在很多情况下,研究人员和工程师已经找到多种入侵现代的、可连网的汽车的方法。但这些漏洞大多数是特定的制造商和/或汽车品牌的特定漏洞。一旦漏洞被报告,很快就能得到解决。但是,由米兰理工大学的Linklayer实验室与趋势科技威胁前瞻性研究(FTR)团队发现的这一缺陷,并不是传统意义上的漏洞。研究人员说,缺陷与汽车CAN标准选用的设计有关,导致这一问题是不可修复的。

这不是汽车制造商的过错,问题的根源也不在他们。想要修复这个问题意味着需要在底层改变CAN协议的工作方式。汽车制造商只能通过具体的网络对策来缓解这种脆弱性,但不能完全消除它。

为了彻底消除这一风险,应该提出、采纳和实施一个更新的CAN标准。事实上,要解决这样一个漏洞,需要更新整整一代的车辆,而不仅仅是召回或隔空(空中)升级。

缺陷可导致各种汽车部件被关闭

研究人员公布了一个视频资料,里边显示了如何利用该缺陷发起拒绝服务攻击。默认情况下可以利用本地访问来解决此问题,但是如果任何一个汽车组件包含一个可远程利用的漏洞,那么就允许攻击者远程利用该缺陷。

那么这种攻击是如何运作的呢?它滥用了连接所有车辆设备(例如停车传感器、安全气囊、主动安全防御系统)和其他系统(如信息娱乐系统)间相互通信的网络协议,这个网络协议被称为控制器局域网总线,即CAN。

CAN是由德国的博世公司在1983年专门为汽车行业开发的一种一种串行通信总线,并于1993成为ISO标准(ISO 11898)。几乎所有的现代汽车都使用它来连接各种部件,因此几乎所有的现代汽车都可能受到此缺陷的影响

为什么汽车中的各种设备和系统需要相互连接?各种车辆子系统应该能够自动运行,特别是在紧急情况下。各种设备和系统之间相互连接,给人们带来了很多便利,例如,允许信息娱乐系统或安全系统从汽车安全气囊系统接收消息,以决策是否需要在发生事故时向家里打电话;可以提高司机的驾驶经验,例如,允许信息娱乐系统读取发动机控制系统的信号,当司机正在踩着油门时,就提高汽车的声音音量,这样一来,司机就可以听到发动机的声音。

现代可连网汽车面临重大危机:CAN标准存在缺陷,且不可修复

图1:典型的CAN网络图

CAN消息(包括错误),是按“帧”处理的。研究人员的攻击重点是CAN如何处理错误。当设备读取到的值与帧上的原始期望值不符时,就会出现错误。设备一旦检测到这样的事件,就会在CAN总线上写入一条错误消息,以便“召回”错误的帧,并通知其他设备完全忽略被召回的帧。由于自然原因、瞬时故障、或者是由于太多的系统和模块试图同时通过CAN发送帧等原因都会产生这类错误,因此此类事故非常常见。

如果一个设备发出了太多的错误,那么按照CAN标准的规定,它会进入到总线关闭状态(“Bus Off state”),在这种状态下,设备与CAN的联系被切断,并阻止设备读取和/或写入任何数据到CAN。此功能有助于隔离明显的故障设备,并阻止它们触发CAN上的其他模块/系统。

这就是研究者提到的拒绝服务攻击的确切特征。只要攻击行为能够触发足够多的错误,使目标设备或系统上的CAN进入总线关闭状态,从而导致设备的拒绝服务。反过来,这类攻击可以极大地影响汽车的性能,使设备变得危险。极端情况下,尤其是当类似安全气囊系统和防抱死制动系统这类基本系统被恶意停用时,可能引发致命的危险。想要完成这类攻击,需要一个经过精心设计的攻击装置,通过本地访问入侵到汽车的CAN上,重用已经在CAN中循环的帧,而不是注入新的帧(以前攻击中常用的方式)。

现代可连网汽车面临重大危机:CAN标准存在缺陷,且不可修复

图2:对设备进行攻击的攻击链

现代汽车所面临的危机:远程 VS 本地访问漏洞

通常,许多与汽车有关的POC和漏洞利用容易被忽视,因为它们需要在获得汽车本地访问的条件下才能执行。但是,本报告中提到的攻击,可以与任何远程利用漏洞相结合,允许攻击者重调ECU固件(例如,信息娱乐系统)。而且,即使是本地攻击也需要认真对待。往常攻击者很难对汽车实现本地访问,而且这对攻击者而言非常危险。但是如今情况不同了,考虑到如今的交通场景,诸如拼车和汽车租赁变得越来越普遍,获取汽车的本地访问权限的场景也变得更为普遍了。因此,汽车网络安全的模式也必须发生转变。

缓解措施

正如前文中提到的,减轻这个特定的安全问题并不容易,因为缺陷存在于CAN设计中,不能立即修补。任何有价值的解决方案都需要在法规和政策上进行大刀阔斧的改革,并且需要整整一代的车辆更新和采用。展望未来,一些长期的解决办法可以有助于防止此类攻击:

  • 网络分割或拓扑更改:通过改变拓扑结构或在车辆中分割CAN,可以阻止针对目标的错误洪泛攻击对特定系统的影响。
  • 调节OBD-II诊断端口访问:使用一个特殊的硬件密钥或密码才能特定物理位置上的端口,这样做可以防止非法和未经授权的设备被引入到CAN。也可以考虑在端口和端口通信之间实现软件级的身份验证,这需要修改规章制度。
  • 加密:加密CAN上帧的ID字段可以防止攻击者识别目标设备的CAN帧信息,产生更多噪音和可检测的攻击模式。

研究人员向US/ICS-CERT公开研究结果,US/ICS-CERT对此发布了一个警告公告。

从长远来看,建议标准机构、决策制定者和汽车制造商共同修订和改进现有标准,或者根据时代的发展变化制定新标准。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/news/104918.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code