智能網(wǎng)聯(lián)汽車智能終端硬件安全性研究

霍全瑞，寧玉橋，于奇

智能網(wǎng)聯(lián)汽車智能終端硬件安全性研究

霍全瑞，寧玉橋，于奇

（中汽數(shù)據(jù)有限公司，天津 300300）

隨著車輛逐步向著智能化發(fā)展，帶動了車載智能終端的智能化，在功能豐富多樣的同時，其作為智能硬件設(shè)備，硬件本身的信息安全也至關(guān)重要，文章對多款車載智能終端進行安全研究，根據(jù)結(jié)果來對當(dāng)下的漏洞風(fēng)險進行分析并提出建議防護措施。

車載智能終端；硬件安全；防護策略

前言

隨著車輛網(wǎng)聯(lián)化的高速發(fā)展，車輛的聯(lián)網(wǎng)功能也愈漸豐富多樣，作為出行的交通工具，萬物互聯(lián)的愿景中必然無法脫離智能網(wǎng)聯(lián)汽車的參與，通過云端的聯(lián)網(wǎng)，實現(xiàn)了方便的遠程控制功能，同時作為車輛數(shù)據(jù)交互的傳輸媒介，將車輛間通信，車輛與道路設(shè)備通信連接在一起，加速V2X及更高級別的自動駕駛場景落地，而在聯(lián)網(wǎng)的同時，也同樣引入相應(yīng)的信息安全風(fēng)險。

IVI（In-Vehicle Infotainment）車載信息娛樂系統(tǒng)被稱為連接車主和車輛生產(chǎn)企業(yè)的紐帶[1]，IVI作為車輛與外界通信的中轉(zhuǎn)站，也同樣銜接了用戶與車輛之間的交互。IVI是集成了各種無線通信（WIFI/藍牙/4G/NFC/GPS）、有線通信（車內(nèi)網(wǎng)絡(luò)）等模塊于一體的嵌入式設(shè)備。IVI與車內(nèi)網(wǎng)絡(luò)進行連接，以便進行車輛的設(shè)置和控制。通過IVI可對車主用戶提供車輛導(dǎo)航、上網(wǎng)服務(wù)、資訊推送、車輛事實信息等功能。IVI已逐漸成為現(xiàn)代化的智能網(wǎng)聯(lián)車輛必不可少的車內(nèi)輔助設(shè)備。

1 車企信息安全現(xiàn)狀

IVI 安全現(xiàn)狀。IVI作為用戶輸入的終端，對外提供信息娛樂功能，其本身的功能不存在安全風(fēng)險，但具備聯(lián)網(wǎng)功能后（或外接Tbox設(shè)備），會影響車輛的功能和控制。通過遠程或近程通信對車機系統(tǒng)發(fā)起攻擊后，可接管車機控制權(quán)限，進一步來對車輛進行控制，故從硬件方向主要面臨PCB硬件層面的風(fēng)險和系統(tǒng)本身的安全風(fēng)險，PCB硬件層面包括PCB板上的JTAG口、UART口、絲印標(biāo)識等，通過此類風(fēng)險可對車輛系統(tǒng)運行數(shù)據(jù)及系統(tǒng)內(nèi)數(shù)據(jù)進行獲取分析；系統(tǒng)本身安全風(fēng)險包括不安全的配置及存在漏洞的第三方組件，通過此類風(fēng)險可對系統(tǒng)進行進一步的漏洞利用和權(quán)限提升。

2 IVI安全測試與分析

IVI作為車輛連接車主和車輛企業(yè)的紐帶，IVI本身的數(shù)據(jù)安全十分關(guān)鍵。中汽數(shù)據(jù)（天津）有限公司車聯(lián)網(wǎng)信息安全團隊對目前世面上的智能網(wǎng)聯(lián)汽車智能終端IVI硬件的安全情況進行了分析和整理。

2.1 IVI測試過程及方法

本次測試使用滲透測試、逆向分析等測試方法并參照國家相關(guān)標(biāo)準(zhǔn)，借助ADB、Binwalk、Nmap、TCPdump、Putty等工具對10款I(lǐng)VI進行滲透測試，對相應(yīng)的風(fēng)險項給出防護建議。

2.1.1硬件安全測試

拆解IVI設(shè)備，分析PCB上相應(yīng)的存儲芯片，使用BGA焊接臺對存儲芯片進行吹取，使用專用編程器對芯片內(nèi)容進行讀取，對讀取數(shù)據(jù)使用binwalk解包分析；拆解PCB板，觀察板上是否存在明顯調(diào)試口標(biāo)識絲印或接口調(diào)試座；在IVI上電運行時對相應(yīng)的測試點信號進行分析。

2.1.2固件安全測試

通過使用Binwalk、unyaffs等解包分析提取工具，對固件進行逆向分析，還原固件初始的文件結(jié)構(gòu)，發(fā)掘其配置錯誤及敏感信息泄漏等問題。

2.1.3硬件接口識別

對PCB板上外接的硬件接口識別，對常見的USB（Type- A、Type-C、Micro-B）、JTAG、UART接口連接相應(yīng)線束來探測該接口的功能和用途。

2.1.4主芯片引腳測試

通過查看芯片絲印確定芯片型號，查找對應(yīng)芯片data- sheet，查看芯片內(nèi)存布局，調(diào)試功能引腳和使能引腳，測量相應(yīng)的信號情況。

2.2 IVI測試結(jié)果及分析

2.2.1安全漏洞數(shù)量統(tǒng)計

圖1 IVI漏洞數(shù)量

對滲透測試結(jié)果進行總結(jié)，其中H-015V這款I(lǐng)VI出現(xiàn)漏洞的數(shù)量為4個，B-005V和B-025V這兩款I(lǐng)VI出現(xiàn)漏洞的數(shù)量為3個。其余幾款I(lǐng)VI有做一些安全措施，出現(xiàn)的漏洞數(shù)量在2個以內(nèi)。如圖1所示。

2.2.2安全漏洞類型數(shù)量統(tǒng)計

如圖2和圖3所示：10款I(lǐng)VI中JTAG口和UART口、固件逆向漏洞的數(shù)量較多。其中，JTAG口和UART口出現(xiàn)次數(shù)最多，達到6次，占比為28.6%。絲印標(biāo)識漏洞出現(xiàn)次數(shù)較少，為4次，占比為19%[2]。

圖2 漏洞類型數(shù)量

圖3 漏洞類型數(shù)量占比

2.2.3安全漏洞危害等級統(tǒng)計

根據(jù)漏洞危害利用影響情況，可以將危害分為低危、中危、高危、三個等級[3]。此次滲透測試結(jié)果，在三類等級中，高危漏洞出現(xiàn)的個數(shù)多，為12個，中危漏洞為5個，低危漏洞為4個。如圖4所示。

圖4 安全漏洞危害等級占比

2.3 IVI面臨的安全風(fēng)險/漏洞

2.3.1 JTAG接口

JTAG接口是CPU層面的調(diào)試接口，通常由VCC電源信號、GND接地信號以及TDI（數(shù)據(jù)輸入）、TDO（數(shù)據(jù)輸出）、TCK（時鐘信號）、TMS（狀態(tài)選擇）這4個調(diào)試信號組成，部分芯片還會有TRST信號，用來復(fù)位JTAG狀態(tài)機狀態(tài)，或nSRST信號用于復(fù)位CPU等。JTAG接口需要芯片廠家對應(yīng)的調(diào)試器方可進行調(diào)試，由于直接讀寫CPU寄存器數(shù)據(jù)，在芯片底層的開發(fā)工作，也需要用到JTAG，但是在開發(fā)完成后，暴露開放的JTGA接口會存在相應(yīng)的安全風(fēng)險，通過JTGA接口對芯片內(nèi)存儲內(nèi)容進行轉(zhuǎn)儲，燒錄相應(yīng)的Flash程序等。

2.3.2 UART接口

通用異步收發(fā)傳輸器，通常稱作 UART。它將要傳輸?shù)馁Y料在串行通信與并行通信之間加以轉(zhuǎn)換[4]。作為把并行輸入信號轉(zhuǎn)成串行輸出信號的芯片，UART通常有TTL、RS232、RS-485、RS-422等邏輯電平信號，在智能網(wǎng)聯(lián)終端硬件中，通常使用TTL電平協(xié)議（邏輯1：2.4V–5V，邏輯0: 0V–0.5V），TTL電平傳輸?shù)腢ART接口是一種不傳輸時鐘的“異步通訊”方式[5]，使用Rx（信號接收端口）、Tx（信號發(fā)送端口）、GND即可完成設(shè)備間通信，PCB板上暴露UART口，如沒有設(shè)置角色權(quán)限控制規(guī)則，則可能有直接控制文件系統(tǒng)的風(fēng)險。

2.3.3固件逆向

通過對提取的固件進行解包分析，獲取在系統(tǒng)配置文件中的硬編碼信息和賬號密碼信息、第三方組件及硬件驅(qū)動文件，通過漏洞掃描和逆向分析來發(fā)現(xiàn)在組件中可被利用的漏洞。

2.3.4絲印標(biāo)識

通過查看PCB板上絲印標(biāo)識，可確定相應(yīng)測試點功能，而其中存在絲印標(biāo)識的測試點，泄漏了相應(yīng)測試點功能信息，增加了相應(yīng)調(diào)試點被攻擊者識別的風(fēng)險。

3 IVI安全防護策略

智能網(wǎng)聯(lián)汽車智能終端整體攻擊面較廣，針對以上的滲透測試情況，本文從三個方向提出相應(yīng)的防護建議。

3.1 硬件防護

硬件層面的防護對于智能終端硬件為最底層的防護，關(guān)系著整個設(shè)備的運行安全，需將調(diào)試測試點的標(biāo)識絲印去除；相應(yīng)的調(diào)試接口關(guān)閉或添加訪問認(rèn)證，增加對訪問調(diào)試接口用戶做相應(yīng)的身份校驗；對JTAG口可開啟對應(yīng)的讀寫保護功能。

3.2 系統(tǒng)防護

系統(tǒng)是智能網(wǎng)聯(lián)汽車智能終端的核心，由于大部分的系統(tǒng)為修改版的Linux或Android系統(tǒng)，所以整個系統(tǒng)的安全尤為重要，可使用一些安全策略來保證系統(tǒng)的安全，如開啟相應(yīng)的防火墻功能；將重要的配置文件進行編碼或混淆，不使用硬編碼的方式來儲存相應(yīng)的憑證；隱私信息使用加密的方式進行存儲和傳輸，避免直接的明文儲存；關(guān)閉系統(tǒng)常見的危險端口；對其中的工廠調(diào)試模式添加二次驗證；避免開啟有漏洞的配置（WIFI開啟WPS）；對車輛內(nèi)部APN網(wǎng)絡(luò)劃分和隔離。

3.3 組件防護

由于大部分的智能網(wǎng)聯(lián)汽車智能終端使用了開源的系統(tǒng)，其內(nèi)部集成的各種系統(tǒng)組件存在的漏洞便不可忽視，制造商需關(guān)注新暴露的組件漏洞利用情況，如果使用了相應(yīng)的漏洞組件，需安排全量更新，對系統(tǒng)中存在漏洞的組件進行完全升級，以保證系統(tǒng)不會因組件漏洞影響安全運行。

4 結(jié)論

隨著智能網(wǎng)聯(lián)車輛市場占有逐漸增高，車載智能終端功能也逐步增強，本文首先介紹了IVI目前發(fā)展的現(xiàn)狀和面臨的風(fēng)險，并針對目前的車聯(lián)網(wǎng)環(huán)境選取十款不同型號設(shè)備利用滲透測試、逆向分析等測試方法統(tǒng)計，針對本次結(jié)果從硬件、系統(tǒng)、組件三個方向給出有效的防護策略。本文通過對目前世面上主流IVI設(shè)備的測試驗證，旨在提高智能網(wǎng)聯(lián)汽車智能終端硬件整體的安全性，為更加安全的智能網(wǎng)聯(lián)車輛發(fā)展提供安全指導(dǎo)建議[6]。

[1] 陳朋,許勇.車載防盜與信息娛樂系統(tǒng)集成設(shè)計[J].現(xiàn)代電子技術(shù), 2015,38(09):147-150.

[2] 寧玉橋,馬超,劉天宇.智能網(wǎng)聯(lián)汽車T-Box安全性研究[J].汽車零部件,2020(05):98-101.

[3] 李龍杰,郝永樂.信息安全漏洞相關(guān)標(biāo)準(zhǔn)介紹[J].中國信息安全, 2016(07):68-72.

[4] 楊晶.基于FPGA的UART接口協(xié)議轉(zhuǎn)換模塊設(shè)計[D].哈爾濱:哈爾濱工業(yè)大學(xué),2014.

[5] 于赫.網(wǎng)聯(lián)汽車信息安全問題及CAN總線異常檢測技術(shù)研究[D].長春:吉林大學(xué),2016.

[6] 陳桂華,于勝波,李喬,等.中國智能網(wǎng)聯(lián)汽車測試示范區(qū)發(fā)展調(diào)查研究[J].汽車工程學(xué)報,2020,10(02):79-87.

Research on the Hardware Security of Intelligent Terminals of Intelligent Connected Vehicles

HUO Quanrui, NING Yuqiao, YU Qi

( Automotive Data of China Co., Ltd., Tianjin 300300 )

With the gradual development of intelligent vehicles, it has also led to the intelligentization of vehicle-mounted intelligent terminals. At the same time, as an intelligent hardware device, the information security of hardware itself is also very important. This article conducts security research on a variety of vehicle-mounted intelligent terminals, and after statistics of their results, corresponding protection suggestions are put forward for corresponding existing security risks.

In-vehicle intelligent terminal; Hardware security; Protection strategy

A

1671-7988(2021)22-38-03

U495

A

1671-7988(2021)22-38-03

CLC NO.: U495

霍全瑞，學(xué)士，工程師，就職于中汽數(shù)據(jù)有限公司，主要從事汽車信息安全技術(shù)研究等工作。

10.16638/j.cnki.1671-7988.2021.022.009