智能网联汽车安全渗透指标

(一) 车载信息交互系统安全

车载信息交互系统具备数据输入输出、计算处理、存储、通 信等功能，可以采集车内相关的 ECU 数据并发送控制 ECU 的指 令，集成定位、导航、娱乐等多种功能，是汽车网联化、接入移 动互联网和车际网的重要子系统。侧重于车内信息娱乐的 IVI、侧重于远程通信服务的 T-Box，都是典型的车载信息交互系统， 二者还有融合的趋势。本文不严格限定车载信息交互系统的边 界，而将其视为连接车内网与车外网，实现信息交互的抽象节点。

车载信息交互系统存在的远程攻击面，比车上其它任何组件 都要丰富。作为内外交通的咽喉要道，安全攻防的必争之地，车 载信息交互系统安全无论对整车企业还是用户都具有直接的现 实意义。车载信息交互系统主要从工程模式、操作系统、应用软 件、数据存储等方面进行测试：工程模式包括工程模式入口、安 全认证机制、口令强弱检测，调试模式安全认证等指标；操作系 统包括权限管理、系统参数设置等指标；应用软件安全包括语音 助手身份校验、应用软件劫持篡改、软件升级安全等指标；数据 管理包括日志管理、密钥信息管理、用户信息管理等指标。

(二) 车内外通信安全

车内外通信主要指智能网联汽车具备对外通过蜂窝网络 （4G/5G）、WiFi、蓝牙、卫星导航等方式与互联网中其他节点 建立连接进行数据交换的功能。车内电子电气通过 CAN、LIN、 MOST、Flex Ray 等汽车总线协议、车载以太网协议进行信息采 集、数据传递与指令下发。车内外通信安全要求通过采用安全协 议、完整性校验、身份认证、访问控制等措施，抵御报文破解、 中间人攻击、重放攻击、拒绝服务攻击、报文篡改等威胁，实现 车辆与其他节点的安全通信。

车外通信主要测试指标包括基于蜂窝网络通信的伪基站识 别、通信内容加密传输，基于 WiFi 的通信内容监听、流量劫持、信息重放、数据包篡改、钓鱼 WiFi 识别等，基于蓝牙通信的身 份鉴别、协议安全，基于卫星导航的信号干扰等。车内通信主要 测试指标包括车内通信数据监听、DBC 文件解析等.

(三) 接口安全

接口安全主要是指智能网联汽车接触式通信接口，如 OBD 接口、USB 接口等的安全。攻击者可通过植入恶意软件、监听 车内数据、非法访问文件等手段分析车辆信息及运行逻辑，进一 步入侵车内系统，窃取车辆数据或修改车辆关键控制系统参数 等。

接触式攻击是最直接有效的接口攻击方式。OBD 接口安全 测试指标主要包括数据监听、UDS 安全认证机制：数据监听指 查看和验证 OBD 接口输出的数据是否包含重要指令、是否可以 获取动力 CAN 数据；若可监听到数据，便进一步验证 UDS 诊断 是否有安全认证机制。USB 接口安全测试指标主要包括设备认 证、权限控制等：设备认证主要是指 USB 接口是否可识别 U 盘、 鼠标、键盘等输入设备；若可识别，便继续验证是否可以安装 U 盘中的恶意软件或复制文件到 U 盘。

(四) App 安全

智能网联汽车相关的移动终端 App 按照用途可大致分为车 控类、查询类、服务类，本文重点关注车控类 App 安全。车控 类 App 需与车辆绑定，为用户提供控车功能，主要包括远程开 关锁、车辆启动、空调启动、座椅调节、车窗开关、车灯开闭、后备箱开关、除霜、鸣笛、泊车，同时还支持用户获取行车数据、 车辆油量（电量）等信息。

车控类 App 往往直接与车辆直接绑定，对其分析可获得高 价值线索。目前，智能网联汽车 App 还处于“附属品”的阶段， 防护强度不高，呈现包含高价值信息、攻击难度较小等特点，易 于自动化执行，容易成为注重性价比的攻击者的首选目标。App 安全主要基于移动应用安全检测平台，从程序源文件、本地数据 存储、通信数据传输、身份认证、内部数据交互、恶意攻击防范 能力、个人信息保护等方面进行检测；同时结合人工进行逆向分 析，检查代码逻辑、数据内容、通信内容等。

测试

测试过程中，发现的典型问题包括语音助手未进行身份校 验，车载信息交互系统工程模式易进入、可以获取调试权限，第 三方应用与服务器通信内容易被劫持篡改，软件升级未进行校 验，无线网络通信内容可被监听，OBD 接口可以获取报文，蓝 牙连接未进行认证，USB 接口可以进行调试，无线钥匙可以重 放等，以上问题检出率情况如下图所示：

结合渗透实践结果，聚焦目前智能网联汽车信息安全中检出 率高、影响严重的问题进行重点分析。

(一) 系统调试模式开启

测试内容：尝试是否可以在 IVI 交互界面进入工程模式，进入工程模式后通过 adb 或 USB 等方式成功连接 IVI 查看是否有 安全验证机制；若有，使用暴力破解等手段获取系统登录名及密 码；登录成功后，尝试取得系统 root 权限。

测试结果：在本次渗透测试过程中，发现有 60%的被测车辆 可以触发进入工程模式，其中 66.6%的车辆进入 IVI 工程模式没 有安全认证，可以直接提权（root），获取调试权限（见图 6）； 33.4%进入工程模式时需要口令，但是口令易破解，同样可以获 得调试权限。

图 6：获取调试权限

问题分析：获取调试权限后，可以查看 IVI 系统运行信息、 系统文件、日志文件、用户信息等；可以注入恶意程序，恶意刷 写固件，影响车辆功能；可以篡改系统配置，启停系统服务，导 致系统功能失效；可以获取密钥，解密 IVI 与 TSP 平台（汽车远程服务提供商）通信内容， 分析业务逻辑，进一步获取车辆控制权。

防护建议：上市前对 IVI 系统进行安全扫描、关闭调试模式， 隐藏工程模式入口，部署多种独立安全机制形成多层次防护体 系。

(二) 敏感数据明文存储

测试内容：通过进入车载信息交互系统工程模式，搜索、查 看系统运行信息、系统配置文件、日志文件、用户信息等敏感数据；尝试读写关键系统文件、导出关键信息。

测试结果：在本次渗透测试过程中，发现部分被测车辆明文 存储用户及车辆敏感数据，且存储路径存在暴露风险。如：私钥、 语音助手对话日志、用户通讯录信息等。进一步提权后，可对敏 感数据进行读写、复制、导出、删除等操作。

问题分析：当前技术背景下，智能网联汽车的软件升级，绝 大多数依赖于车载信息交互系统作为车辆的边界节点，即云端将 软件升级包通过该节点转发至车内其他部件，因此妥善管理密钥 成为安全设计的必要环节。一般情况下密钥会妥善存储于安全芯 片或系统内部。本次测试过程中，发现存储在 IVI 系统中的密钥 明文存储（见图 7）。攻击者利用密钥可打包任意内容的伪造升 级包；通过云端批量刷入控车脚本至用户车辆，导致“僵尸车” 的出现。

图7：整车企业密钥明文存储

根据语音助手日志判断，车辆的语音助手被激活后，在非授权条件下录制车内所有连续的语音内容，并将录制的语音内容上 传到服务器，经服务器解析转换为文本后，下发至车载信息交互 系统并明文存储（见图 8）。通过语音助手记录车内对话信息易 造成个人重要信息被监听、上传及泄露等风险。在数据安全被高 度重视的时代，汽车数据安全不仅关乎个人信息安全，更会危害 社会公共安全，乃至上升到国家安全层面。

图 8：明文存储语音助手对话内容

另外，在测试过程中还发现部分车辆在 IVI 中明文存储用户 的通讯录信息，包括姓名、联系电话等。并未对其使用人员进行 最小权限的限制，被他人获取后可以刻画用户画像，进一步对用 户造成严重影响。

图 9：明文存储用户通讯录

防护建议：密钥等关键数据存储于安全芯片或系统内部加密 存储区域；个人信息在采集、传输、存储、删除时需得到用户授 权；关键信息加密存储；车辆量产前关闭非必要日志功能。

(三) 应用软件通信内容劫持

测试内容：通过流量监听工具捕获车载信息交互系统与服务 器通信的流量，查看通信内容是否可以被劫持；若可劫持，分析 其业务逻辑，篡改通信内容并重发，实现中间人攻击。

测试结果：在本次渗透测试过程中，可以劫持 60%被测车辆与服务器间的通信流量，分析通信内容（见图 10）并找到服务 器地址，编写脚本伪造服务器，将篡改后内容重发至车载信息交 互系统（见图 11）。

图10：劫持通信内容

图 11：篡改通信内容

问题分析：目前车载信息交互系统中应用软件不仅包括系统 自带的应用软件，还包括大量的第三方应用，应用环境复杂且难 以管理，由此也带来了各种各样的攻击入口。一旦关键核心业务， 如 TSP 平台给车辆下发的控车指令被监听，实现中间人攻击后 便可伪造服务器端给车辆发送指令，远程控制车辆，造成极大安 全隐患。

防护建议：加密关键应用软件通信内容，传输采用安全的通 信协议等。

(四) 车内外通信未加密

测试内容：利用流量监听工具，捕获车载信息交互系统与外 部服务器及内部设备的通信流量，查看通信内容是否可以分析。

测试结果：在本次渗透测试过程中，有 60%的被测车辆可以 监听车载信息交互系统与外部服务器以及内部设备的通信流量； 其中存在超过半数的车辆未对传输内容加密，采用明文进行传 输。

问题分析：测试过程中发现，部分车辆的车载信息交互系统 与外部服务器明文通信，传输 VIN、密码等敏感信息（见图 12）； 部分车辆的车载信息交互系统与内部设备之间明文传输 CAN 报 文相关的敏感信息（见图 13）；更有甚者，与 CAN 直接相连并 明文通信（见图 14），尝试给该 CAN 接口发送数据可导致其无 法再使用。

图 12：与外部服务器明文通信

图 13：与内部设备明文通信

图 14：与 CAN 直接通信

防护建议：根据场景，采用安全的通信协议、身份认证、完 整性校验、访问控制等措施，抵御重放攻击、拒绝服务攻击、报 文篡改等威胁，实现车内外通信数据保密性、完整性及可用性。

(五) 蓝牙连接认证机制薄弱

测试内容：查看蓝牙功能的设置页面，默认连接认证功能是 否开启，并尝试连接车辆蓝牙，验证蓝牙连接方式是否安全；通 过测试工具监听、捕获蓝牙流量。

测试结果：在本次渗透测试过程中，有 30%的被测车辆在外 界移动设备连接车辆蓝牙时无需进行认证便可直接连接，实现影 响车内正常使用蓝牙功能：例如断开合法用户正常连接，向车内发送垃圾语音信息等。

问题分析：在本次测试过程中，部分车型蓝牙配对未设置口 令或使用弱口令进行安全认证；未实现用户级认证，即应用级安 全性，可由开发人员通过在标准蓝牙规范之上叠加一层实现。

防护建议：将蓝牙设备的功率水平设置为最低程度，使信号 传输保持在安全边界内；PIN 码应具备随机性和隐私性，避免静 态和弱 PIN 码，如全零；敏感数据，可考虑在蓝牙协议栈之上使 用应用级的认证及加密。

(六) OBD 数据监听

测试内容：通过工具监听 OBD 接口输出的数据，验证监听 数据是否包含重要指令、是否可以获取动力 CAN 数据。

测试结果：在本次渗透测试过程中，40%的被测车辆 OBD 口可以监听到数据，其中 50%可以通过开关灯、启动停止车辆等 操作判断 CAN 报文内容。

问题分析：经测试发现，部分车辆诊断网关对 CAN 总线的 防护能力较弱。在 OBD 接口上能够监听到车门解锁、熄火、开 关灯等操作的 CAN 报文。通过分析找到了几组指令能实现对车 辆的操控。如车辆上锁后，从 OBD 发送 ID 为 112，数据为 XX AE XX XX 39 E4 的 CAN 报文能够解锁车辆车门。从 OBD 发送 ID 为 11F，数据为 XX F8 F9 XX F1 XX 30 FF 或 XX 8B XX F9 FF XX 77 XX FF 的 CAN 报文能够关闭发动机机引擎。

防护建议：静默 OBD 接口数据，关键总线数据进行隔离。

(七) USB 外接设备及调试模式

测试内容：验证 USB 接口插入 U 盘、鼠标、键盘等外接设 备，是否可识别；如果可识别，继续验证外接设备是否可以操作 车载信息交互系统；是否可以在非授权条件下安装 U 盘中的恶 意软件或将系统中文件复制到 U 盘。

测试结果：在本次渗透测试过程中，20%的被测车辆未限制 UBS 接口连接外接设备，部分车型接入 UBS 外接设备后，可以 通过键盘执行截屏、声音加减、黑屏等操作。可以把存放恶意软 件的 U 盘接入目标系统，并且运行恶意软件。

问题分析：部分车型的车载信息交互系统搭载 Android 操作 系统。由于 Android 操作系统某些版本默认开启 USB 调试模式， 如 Android 4.x.x 操作系统，从车载信息交互工程模式进入后发现 调试模式默认开启（见图 15），使用 USB 接口连接 PC 后可以 进行调试。

防护建议：建议车辆将 USB 接口切换至 device 模式，限制 USB 外接鼠标、键盘等设备。避免 USB 接口处于 host 模式下， 并且禁止开启 USB 调式模式。

图 15：USB 调试默认开启