车联网安全研究报告

01 02 车联网安全态势分析52.1安全合规政策环境利好，车联网安全发展加速52.2车联网安全能力普遍不足，关键环节存安全挑战6 03 车联网重点安全事件解读93.1本田汽车钥匙存在设计缺陷，无钥匙进入系统再报漏洞93.2蔚来汽车遭遇数据勒索，车企数据泄露谁来买单？113.3YANDEXTAXI遇黑客操纵，莫斯科上演交通大堵塞133.4奔驰、宝马、法拉利接连中招，API漏洞再出江湖153.5特斯拉系统遭黑客破解，OTA背后的“灰色”市场163.6供应商遭网络攻击，致丰田日本工厂被迫停工一天183.7操作系统QNX曝出漏洞，影响或达1.95亿辆汽车203.8MICODUS车辆定位器安全漏洞波及全球超百万辆汽车223.9《汽车整车信息安全技术要求》发布243.10小结25 1 04 车端电气架构、组件及其攻击面分析25 4.1车端电子电气架构284.2车端资产关键组件314.3车端资产攻击面424.4小结47 05 5.1针对云端的攻击495.2针对V2X的攻击545.3针对近场的控车攻击585.4针对车身接口的攻击635.5针对信息通信的攻击665.6针对智能驾驶算法的攻击765.7小结84 06 车联网安全体系建设86 6.1车联网安全管理体系876.2车联网安全技术体系916.3车联网安全运营体系996.4车联网数据安全治理体系103 0 0 前言 车联网安全态势分析 2.1安全合规政策环境利好，车联网安全发展加速 络安全法规UNR155，对于车企海外业务的拓展至关重要，是否符合其规范决定了车辆在海外能否 上市。同时，整车企业对零部件供应商也要求其按照ISO/SAE21434网络安全管理条例进行网络安 车联网系统的同时往往会与互联网企业合作，在未来可能逐步替换自研。预计到2025年，智能网 联装配率可达到75.9%，市场将趋于成熟。因产业属性，汽车行业上下游供应链庞大，汽车行业在 technology）安全、DT（DigitalTechnology）安全，但具体在做什么、怎么做方面仍存在疑惑，对 车联网重点安全事件解读 络安全保障功能不够重视，直至2016年前后，车辆网络安全攻击事件的频发，直接威胁到汽车用 3.1本田汽车钥匙存在设计缺陷，无钥匙进入系统再报漏洞 3.1.1事件回顾 3.1.2原理简述 3.2蔚来汽车遭遇数据勒索，车企数据泄露谁来买单？ 3.2.1事件回顾 3.2.2原理简述 3.3YANDEXTAXI遇黑客操纵，莫斯科上演交通大堵塞 3.3.1事件回顾 3.3.2原理简述 3.3.3事件分析 3.4.1事件回顾 3.4.2原理简述 3.6.1事件回顾 3.7.1事件回顾 3.7.2原理简述 3.7.3事件分析 3.8MICODUS车辆定位器安全漏洞波及全球超百万辆汽车 3.8.1事件回顾 3.8.2原理简述 3.9《汽车整车信息安全技术要求》发布 3.9.1事件回顾 交易，车企对于数据安全应给予足够的重视。Yandex软件平台遭黑客入侵事件表明针对车企应用或 车端电气架构、组件及其攻击面分析 足这些需求过程中，汽车中的电子零部件数量随之大量增长，部分高端车型的ECU（Electronic 28 4.2车端资产关键组件 域控制器，某些以太网网关也具备Linux内核。由于网关决定了车内网的路由，车身控制器内集成 了钥匙相关的收发器，钥匙、网关、车身控制器等运行RTOS（Real-TimeOperatingSystem）的 企资产。接下来，我们分小节分别介绍6个关键的零部件。 调频（FM）收音机等多个硬件模块，以满足车内联网、控车、手机充电、音乐播放、导航和语音控 4.2.3T-BOX T-BOX系统具备车辆数据采集、故障诊断、远程车辆控制、车辆定位、驾驶行为分析、轨迹查 T-BOX被多媒体系统集成，是未来汽车电子电气架构的演变趋势。但是，由于汽车的使用寿命 4.2.4ADAS系统 4.2.5网关 4.2.6车身控制系统 控制电机用的PWM（PulseWidthModulation）或者电平信号，比如控制开锁关锁的电平信号等。 4.3.1远程攻击面 42 4.3.2V2X攻击面 4.3.4车身攻击面 4.4小结 车联网攻击技术分析 这些方法称为攻击技术，分别在云端、V2X、近场、车端这四个方面阐述。 观点4：车联网面临来自云端、路端、近场、车端、信息通信、智能驾驶算法模型等多方面的攻击， 观点6：JT/T808这种监管性质的协议在使用过程中依然存在无认证、无加密的基础安全问题，相 观点7：TSP业务系统中的数据重要性高，可能会变成犯罪分子的新武器。车联网数据泄露后，犯 5.1针对云端的攻击 汽车远程服务、OTA升级等平台通常采用云计算技术，同样，云平台自有的安全问题也带入到 了车联网平台中，例如SQL（StructuredQueryLanguage）注入漏洞、弱口令、越权、操作系统漏 洞等。从技术角度看，云端由Nginx、Apache、EMQTT等中间件组成云端平台架构，由车企、监 管平台、第三方服务商实现业务功能。其中，以MQTT协议组成的车联网云端业务，和道路运输车 据格式包括协议基础、通信连接、消息处理、协议分类与要求及数据格式。该协议也被称为JT/T808 图5.1所示。 用该URL向浏览器请求后，即可下载到升级。假如攻击者将升级包中植入可开启后门或者挖矿的命 5.1.3TSP平台软件常见漏洞攻击 漏洞（XXE）、命令注入漏洞、升级漏洞等等非常传统的攻击。除此之外，还会有针对YApi、Apache 等开源软件的漏洞攻击。这些攻击存在共同的特征，即攻击者可以获取到成熟的攻击工具或者POC 对YApiAPI框架进行攻击。 5.1.3.2针对数据存储 数据/命令的不当处理，在车联网云端平台中注入恶意代码或命令，以查询语句等方式窃取敏感信 或SQL语句，当恶意代码被提交到车联网云端平台后，由于漏洞特性，平台无法对其进行有效的 5.1.3.3针对访问控制 提升后，通常可以获取到管理API的访问权限，此时的攻击者就可以使用编写的恶意程序或脚本 来向API发送虚假指令，获取汽车的控制权，让车辆处于风险状态，从而导致严重的社会影响和 5.1.3.4针对数据传输 V2X的结构可以分为平台侧、边缘侧、终端侧。终端侧包含的是装载了车载单元（OBU）的汽 5.2.2模组操作系统调试串口攻击 5.2.3主操作系统调试串口攻击 5.2.4模组HSMSDK攻击 5.3针对近场的控车攻击 5.3.1Wi-Fi控车攻击 ADB权限的情况下，攻击者可以同时进行网络抓包和进程调试。在发现相关漏洞后，攻击者向T-BOX 图5.14所示。 5.3.2蓝牙钥匙控车攻击 定，有的集成在T-BOX的蓝牙模块中，有的将低功耗蓝牙模块做成蓝牙控制器接入到汽车总线上。 5.3.3无钥匙进入和启动系统控车攻击 PEPS系统的安全性，主要体现在其认证流程过程中。如果攻击者破解了认证流程，汽车钥匙 5.4针对车身接口的攻击 商繁多，诊断接口又是汽车维修的必须接口，所以诊断接口的标准化成为一大趋势。ISO15765和 5.5针对信息通信的攻击 5.5.1无线干扰 车联网安全研究报告（第六期） 对于位置欺骗攻击，常用的抵御方法是对位置进行校验。位置信息校验技术LVS（Location 车辆交互，由于大多数评价者不诚实，利用这种不公平评价操控目标车辆的信誉变化。DoS攻击是 要防范窃听攻击，可以采用加密的方式来传输数据，这样即使被窃听也难以被破解。文章[63]基 5.6针对智能驾驶算法的攻击 5.6.1数据投毒攻击 数据投毒攻击（PoisoningAttacks）发生在车联网学习模型的训练阶段，攻击者会故意操纵训练 等人[56]就提出了一种分布式标签翻转投毒方法来毒化联邦架构中的深度学习模型。在自动驾驶中， （2）无目标攻击：其旨在操纵所有类别得数据的预测。无目标攻击的一个典型的例子是拜占庭 攻击（Byzantineattack）。拜占庭攻击作为无目标攻击，在攻击时向路边节点上传大量任意的恶意数 此处“*”为任意值。 Sasaki等人[57]提出了一种用于后门嵌入的攻击框架，可以防止检测到特定类型的恶意软件。他 等人[61]攻击部署在工业控制系统中的网络攻击检测器。其用于污染训练数据的反向梯度优化技术成 （2）黑盒攻击：黑盒攻击是指学习模型对于恶意车辆是不透明的，其仅能多次查询猜测训练数 模型可用性攻击包括溢出攻击（Buffer-OverflowAttack）、分布式拒绝服务攻击（DDosAttack） （1）溢出攻击：缓冲区溢出攻击是一种网络攻击，攻击者向一个设备或系统发送的数据超过了 更加有限的计算资源也会更容易成为攻击的目标。此类攻击利用伪造的IP地址混淆源检测，进行大 在DDoS攻击中，恶意车辆使用多个计算机和网络设备，通过向目标路边节点或其他车辆发送 （DRDoS），这是一种利用多个源同时攻击同一目标的攻击方式，使攻击更加难以防御和追踪。 署等。当前已有部分工作着眼于此方向的研究，如Kanagalakshmi等人的论文指出，与标准朴素贝 高RBP分类器的效率，以进行实际分类决策。 车联网安全研究报告（第六期） 地观察梯度，恶意攻击者可以成功窃取训练数据[80][83]。 （2）查询训练数据的攻击：基于查询训练数据的攻击中，恶意车辆可以使用查询训练数据的技 首先可以采用差分隐私技术（DifferentialPrivacy）[85]，在不影响数据分析的前提下，对原始车 态加密(HomomorphicEncryption)[86]、安全多方计算（SecureMulti-partyComputation）[87]等方式，对 5.7小结 车联网安全体系建设 设施、法规标准、产品监管和网络安全体系基本形成。2021年8月，《智能网联汽车生产企业及产 6.1车联网安全管理体系 6.1.1网络安全管理服务体系建设必要性 b)文件审核：对企业的政策文档（法律规定、指示）、供应商管理文档（供应商导入流程、 c)问卷调研：在项目实施的过程中，将根据企业实际情况对问卷及相关问题进行制定，问卷 1）内部审核：为了验证体系运行的效果和业务的符合性，企业在体系运行一段时间后将实施内 6.2车联网安全技术体系 6.2.1安全技术体系概要 2020年6月，联合国世界车辆法规协调论坛发布全球第一个汽车信息安全强制性法规—《UN RegulationNo.155-Uniform provisionsconcerning theapprovalofvehicleswith regardsto cybersecurityandcybersecuritymanagementsystem》（简称UNR155网络安全法规），汽车网络安全建设 护系统，采用SDK+VSOC端到端的车云安全联动机制，能够形成对车载终端安全检测、监测、防 •集成车端安全探针（嵌入T-BOX、IVI、GW、ADAS域控等），实时监测车端安全数据， 1)企业及车辆安全合规需求：满足汽车安全监测要求相关法规标准，转化为落地安全措施； 6.3车联网安全运营体系 6.3.1安全运营体系概要 利用新一代信息化技术，持续提升企业的核心竞争力。转型过程中新增大量IT资产，也积累了海量 a)当前主要支持预警方式有电话、短信、邮件、企业微信、微信等。预警内容包括如下内容： 紧急漏洞或事件预警：紧急0day预警、高危攻击预警、热点安全事件预警； 6.4车联网数据安全治理体系 6.4.1数据安全治理概要 若干规定(试行)》、《数据出境安全评估办法》、《YD/T3751-2020车联网信息服务数据安全技术 要求》、《TC260-