車載終端信息安全風險實測舉隅

楊玚 朱科屹 宋娟

摘?? 要：車聯網信息安全是車聯網產業健康發展的重要環節，車載終端是智能網聯汽車連接車內網與車外網，實現信息交互的重要子系統。文章在編制車載終端信息安全測評指標的基礎上，對車載終端信息安全開展測試。文章從系統安全、應用安全、通信安全、數據安全各個方面介紹了檢測工作中發現的若干典型信息安全風險，為車聯網安全研究提供參考。

關鍵詞：車載終端;車聯網;信息安全;測試

中圖分類號：TN915.08????????? 文獻標識碼：A

A test-based study of in-vehicle terminals ybersecurity vulnerabilities

Yang Yang， Zhu Keyi， Song Juan

（China Software Testing Center， Beijing 100048）

Abstract： Cybersecurity plays an important role in the development of IoV， and the in-vehicle terminal is an important subsystem that connects the interior network to the broader V2X network. Based on the CSTC security evaluation specification for in-vehicle terminals， comprehensive cybersecurity tests were conducted by CSTC. This paper summarizes characteristic cybersecurity vulnerabilities of contemporary in-vehicle terminals， classified into system security， application security， communication security， and data security.

Key words： in-vehicle terminal; IoV; cybersecurity; testing

1 引言

近年來，隨著國內車聯網產業生態的逐步建立，車聯網信息安全保障已正式提上日程。2018年年底，工信部《車聯網（智能網聯汽車）產業發展行動計劃》要求2020年實現安全管理制度與安全防護機制落地實施，安全保障和服務能力逐步完善。以此為目標，汽標委、信安標委等機構積極地推進車聯網信息安全標準規范的制定，研究從整個車到零部件的信息安全測試評價的方法。中國汽車工程學會、信通院、奇虎等單位也紛紛發布了車聯網信息安全白皮書、年度安全報告等，從不同層面、不同角度展示了各自的關注領域和重點工作，表明了車聯網的安全服務開始從布局轉入實戰。

車載終端是智能網聯汽車的重要子系統。按照一般的定義，它是具備數據輸入輸出、計算處理、存儲、通信等功能，可以采集車內相關的ECU數據并發送控制ECU的指令，集成定位、導航、娛樂等多種功能，是汽車網聯化、接入移動互聯網和車際網的功能單元[1]。舉例說明，側重于車內信息娛樂的IVI、側重于遠程服務的T-Box，都是典型的車載終端，二者還有融合的趨勢。本文不嚴格限定車載終端的邊界，而將其視為連接車內網與車外網，實現信息交互的抽象節點。在實際產品中，車載終端通常具有電話、藍牙、Wi-Fi、GPS等無線通信功能。汽車安全黑客Craig Smith特別強調：“車載終端存在的遠程攻擊面，比車上其它任何組件都要豐富[2]。作為內外交通的咽喉要道，安全攻防的必爭之地，車載終端的安全保障，無論對廠商還是用戶都具有直接的現實意義”。

2018年發表的《車載終端信息安全測評指標體系研究》中，梳理了車載終端信息安全的關鍵測評指標，形成了包含整體安全、硬件安全、操作系統安全、應用安全、通信安全和數據安全各個方面的測評體系，為信息安全測評奠定了基礎[3]。本文從第三方測評的角度，介紹在實際檢測工作中發現的若干種信息安全風險。案例的選擇不求豐富全面，而是注重典型實用，并適當加以討論，以期見微知著。

2 車載終端信息安全基本要求

2.1 系統安全

系統安全要求操作系統具備符合車載終端應用場景的身份鑒別、權限管理、訪問控制、安全審計等安全防護措施，防范針對操作系統的溢出攻擊、暴力破解等威脅，實現了操作系統資源及文件的安全可用。

2.2 應用安全

應用安全要求安裝在車載終端上的應用軟件具備來源標識、數據加密、完整性校驗等防護措施，可以對抗逆向分析、篡改、非授權訪問等威脅，實現了應用軟件在啟動、運行、登錄、退出、升級等環節處于安全狀態。

2.3? 通信安全

通信安全主要包括對內通信安全和對外通信安全。對內通信安全是指車載終端與車內總線以及電子電氣系統之間的通信，根據對內通信場景要求采用安全的通信協議、身份認證、完整性校驗、訪問控制等措施，抵御重放攻擊、拒絕服務攻擊、報文篡改等威脅，實現外部威脅與內部網絡之間的安全隔離，車載端與車內各個子系統間通信數據保密、完整、可用。車與外部通信安全要求通過安全協議、完整性校驗、身份鑒別等措施，抵御報文破解、中間人攻擊等威脅，實現車載終端與其他節點的安全通信。

2.4 數據安全

數據安全要求數據在采集、存儲、處理、傳輸過程中安全可用，通過訪問控制、異常處理等機制，保障了關鍵數據的機密性、完整性、可用性。

另一個典型的問題是關鍵代碼缺乏保護。攻擊者不僅能輕易分析敏感操作的執行步驟，有時還可以提取賬號口令等機密數據，之前介紹的AES密鑰存儲就是一個例子。在與客戶交流中，有些技術人員不太理解代碼保護的基本概念，比如認為apk經過簽名就可以防止篡改，對字節碼加以混淆就無法分析，將關鍵代碼用C語言實現就絕對安全等。還有被問到為何某些關鍵應用沒有任何保護，連基本的混淆都沒做時，回答竟然是它屬于第三方開發，對方未提供源代碼，所以無法混淆。這也表明，車載應用可能還處于車載終端“附屬品”的階段，尚未得到廠商的足夠重視。它們可能包含高價值信息，攻擊難度卻不大易于自動化執行，也許會成為注重性價比黑客的首選目標。

3.3 通信安全

信息通訊是車載終端的核心功能。自從奠基性的“機動車安全攻擊層面的實證性綜合分析”[7]一文發表以來，研究者和黑客們紛紛將目光轉向汽車信息安全，車載終端迅速成為攻防對抗的主戰場。由于通信的方式多種多樣，典型的例子不勝枚舉，如藍牙協議漏洞[8]、使用弱密碼算法、車內通信缺乏身份認證等，測試方法大多可以借鑒PC互聯網、移動互聯網安全的經驗。

本文僅介紹一個車機啟動時芯片間雙向認證的例子。與常見的通信安全問題不同，它不是具體實現的漏洞，而是通信協議設計的缺陷。兩個芯片C1、C2的交互邏輯如圖2所示。

車機出廠前，將生成的RSA公私鑰分別封裝入C1、C2的安全存儲區。車機每次啟動時，C1、C2彼此驗證身份才進入正常的工作流程。這里采用一對公私鑰就完成了雙向認證，而常規的方式需要兩對公私鑰來標識雙方身份。這里的私鑰和公鑰都必須保密存儲，實際上都是“私鑰”，并不具備字面的含義。

這個協議利用RSA算法[9]的對稱性省去了一對公私鑰，通過取反操作省去了C2本應獨立生成的隨機數M2，確實頗具巧思。然而，為了節省計算和通信，C1在認證過程中處于主導地位，C2只是接受請求、驗簽、返回新簽名。一旦總線中植入了惡意節點，記錄C1發送到C2的報文并進行重放，就可以偽裝成C1的身份與C2通信。如果在現有的框架上補救，C2可能要用非易失性存儲保存近期收到的簽名S1，每次收到認證請求都檢索一遍，并將新簽名加入存儲。即便如此，存儲區裝滿后，重放攻擊仍會生效，而存儲介質的管理無論在成本還是實現上都頗具挑戰。為了抵御重放，C1、C2應該獨立生成隨機數，在兩個方向上進行挑戰-應答，而不是一廂情愿的“自問自答”，使公鑰私鑰失去意義。建議將同一個對稱密鑰置入C1、C2的安全存儲區，雙方計算HMAC值即能實現雙向認證。

3.4 數據安全

數據安全測試包含多方面的細致工作，往往與具體業務相關。若干內容在本文的系統安全、應用安全中已有提及，本節僅作補充性說明。

與手機系統相似，部分車載終端裝有共享存儲，允許大部分程序自由訪問。由于其使用的便利性，不少程序直接將密碼、私鑰等敏感信息直接寫入共享存儲。測試時，使用簡單的字符串匹配工具進行掃描，往往就能發現不少有價值的信息。

運行日志是另一個常見的問題。程序開發過程中，為了輔助調試，往往需要將一些運行信息輸出到系統日志中。作為產品發布前，應該將不必要的日志關閉，否則攻擊者可能借此分析程序的運行邏輯，進而發現突破口。測試中發現，不少運行日志包含豐富的信息，有加密參數、執行流程、系統狀態等敏感內容。訪談后得知，有些程序并未采用glog等專用日志庫，而是直接調用原始的fprintf函數輸出日志，很難在合適的層次上一鍵關閉。

此外，不少的Android應用允許直接導出用戶數據，這是在Android開發中熟知的安全問題。應用清單中如果沒有將Android：allowBackup屬性設為False，就能通過ADB導出該應用的私有數據，可能被攻擊者直接盜用。

4 結束語

通過本文發現車載終端的信息安全基本要求并不復雜，之所以暴露出大大小小的問題，有的是設計時缺乏安全考慮，有的則是因為沒有理解各種安全策略的作用，未能準確嚴謹地實現。另外，車載系統涉及的模塊較多，可能由不同的團隊甚至公司開發，模塊間的調用與協作往往成為安全問題的高發區。

在汽車加速軟件化的今天，車企應該向IT行業取經，借鑒從設計到測試的最佳實踐，提高了技術人員的自主開發能力與信息安全水平，將開發流程正規化、安全思維常識化、測試手段多元化，并委托專業安全人員把關。據近期報道，一汽大眾公司2020屆的春季校招，一改機械、車輛為主的傳統需求，大力向計算機專業傾斜，顯示了可貴的決心。

現代汽車行業的信息安全，需要依靠計算機安全界與車企的齊心協作，就像計算機安全界與PC廠商的緊密合作[7]。汽車領域的信息安全正處于奮力起步的破曉期。回顧2002年的PC行業，微軟公司毅然推行“可信計算”計劃，將信息安全提到前所未有的高度。2011年前后的移動安全行業，盡管Android、iOS系統在設計之初就將安全置于首位，但是仍然經歷了較多的探索，才逐漸實現從嘗試到常規的過程。又一個九年即將過去，智能汽車的安全有幸借鑒前兩個時代的經驗，面臨的問題又復雜得多，車載終端只是其中一隅。“世紀開新幕，風潮集遠洋。欲閑閑未得，橫槊數興亡。”謹借梁任公的五律《壯別》，寄望于車聯網的下一個九年。

基金項目：

國家重點研發計劃資助（項目編號： 2018YFB0105204）

參考文獻

[1] ?中國汽車工程學會. 智能網聯汽車車載端信息安全測試方法（征求意見稿）[S]. 2019.

[2] ?朱科屹，宋娟，葉璐，路鵬飛.車載終端信息安全測評指標體系研究[J].工業技術創新，2018，05（06）：7-13.

[3] ?Craig Smith. The Car Hacker's Handbook： A Guide for the Penetration Tester[J]. Chapter 9， No Starch Press， 2016.

[4]?Dirty COW. CVE-2016-5195. https：//cve.mitre.org/cgi-bin/cvename.cgi？name=CVE-2016-5195. [DB/OL] POCs： https：//github.com/dirtycow/dirtycow.github.io/wiki/PoCs.

[5] ?O. Sami Saydjari. Engineering Trustworthy Systems： Get Cybersecurity Design Right the First Time[M]. McGraw-Hill， 2018.

[6] ?Dave （Jing） Tian， Grant Hernande? et al. ATtention Spanned： Comprehensive Vulnerability Analysis of AT Commands Within the Android Ecosystem[M].USENIX Security 2018.

[7] ?Stephen Checkoway et al. Comprehensive Experimental Analyses of Automotive Attack Surfaces[M]. USENIX Security， 2011.

[8] ?CVE-2017-0782. A remote code execution vulnerability in the Android system （bluetooth）[DB/OL]. https：//www.cvedetails.com/cve/CVE-2017-0782/.

[9] ?Ronald Rivest， Adi Shamir， and Leonard Adleman. A Method for Obtaining Digital Signatures and Public-Key Cryptosystems， Communications of the ACM[J]. 21：120-126， 1978. https：//dl.acm.org/citation.cfm？id=359342.

作者簡介：

楊玚（1980-），男，漢族，江蘇人，中國科學技術大學，博士，高級工程師;主要研究方向和關注領域：網絡信息安全。

朱科屹（1991-），女，蒙古族，內蒙古人，北京航空航天大學，碩士，工程師;主要研究方向和關注領域：智能網聯汽車網絡安全。

宋娟（1984-），女，漢族，陜西人，北京交通大學，博士，高級工程師;主要研究方向和關注領域：智能網聯汽車網絡安全。