智能網聯汽車Wi-Fi隱私泄露風險研究

楊 波,鐘永超,楊浩男,徐紫楓,李曉琦,張玉清

(1.海南大學 網絡空間安全學院,海南 海口 570208;2.中國科學院大學 國家計算機網絡入侵防范中心,北京 101408)

1 引 言

智能網聯汽車(Intelligent Connected Vehicles,ICV)是以人工智能、5 G通信技術等新興技術為基礎,通過車載傳感系統和信息終端來實現與人、車、路等方面的信息交換的新一代汽車。隨著汽車智能化水平的提高,ICV配備大量了電子控制單元(Electronic Control Unit,ECU)和傳感器,每秒可產生上千個數據,其中包含許多隱私數據。這些數據通過蜂窩或Wi-Fi網絡傳輸到內容服務提供商(Telematics Service Provider,TSP)服務器,用于保險、遠程診斷等目的。與此同時,研究人員已經證明,這些數據可用于推斷駕駛員身份、注意力、活動區域等敏感信息。ICV的隱私數據有巨大的潛在價值,一旦泄露造成的損失將難以估計。如何評估這些隱私數據的泄露風險,是ICV風險評估研究領域的重要內容。

風險評估是評估潛在風險對組織影響的更廣泛過程,包括財務、法律和聲譽風險等。隱私風險評估是一種特定類型的風險評估,側重于與個人數據處理相關的隱私風險。隱私風險評估包括隱私攻擊的可行性和隱私攻擊的影響評級,其中攻擊的可行性衡量了攻擊者發起隱私攻擊的可能性,攻擊的影響評級評估了攻擊發生后造成的隱私泄露影響。ICV廠商通過隱私風險評估來識別高風險的數據處理活動,確保其能夠在有限的資源范圍內有效地管理隱私風險。隱私風險評估的實際價值體現在兩方面:一方面,它可以幫助ICV廠商遵守數據隱私法律和法規,避免與數據泄露或隱私侵犯相關的法律和經濟處罰;另一方面,它可以幫助ICV廠商確定其隱私工作的優先級,合理分配其資源并專注于風險最大的活動。

風險評估方法可劃分為3種類型:定性評估(等級)、定量評估(數值)、定性和定量結合的評估(等級和數值)[1]。現有的ICV的風險評估方法大多是定性的。ISO21434[2]是ICV風險評估領域的最新標準,基于威脅分析和風險評估(TARA),是一種定性風險評估方法。在此之前,汽車協會和安全專家先后提出EVITA、TVRA 2015、HEAVENS 1.0、SAEJ3061和SARA[3],包括最新的HEAVENS 2.0[4],都是定性風險評估方法。眾所周知,定性評估全面,應用廣泛,但是依賴于專家的經驗、知識、教訓等,存在主觀性較強、無法量化潛在損失、難以得到有效實施[5]的問題。定量評估客觀,最常見的問題是沒有足夠的數據進行分析。此外,現有的ICV風險評估方法,采用以安全為中心的風險評估模型,更加關注資產、價值、影響和技術等因素,導致對隱私風險評估不夠完整,盡管安全和隱私作為非功能性問題有許多相似之處,但兩者并不相同[6]。

針對ICV隱私風險評估不夠完整的問題,結合法律和敏感性因素提出了新的隱私分類,根據個人身份信息(Personally Identifiable Information ,PII)相關性完善了ISO21434中隱私影響評級。針對ICV定性評估存在的問題,在ISO21434的基礎上,以隱私為中心,提出了一種定性和定量結合的評估模型。在風險評估模型中,首先設計了一種基于Wi-Fi隱私泄露的檢測方案,解決定量評估中的數據收集問題;然后,對泄露的隱私數據從信息熵、影響等級、PII類型等多因素進行綜合價值度量,引入隱私數據定價模型量化攻擊收益;最后,將定性的攻擊可行性等級轉換為定量的攻擊概率,將攻擊收益和概率的乘積作為預估損失值。

2 相關工作

2.1 ICV隱私研究與數據分類

許多ICV隱私研究專注于其中的某一類隱私數據,尤其是ICV的位置隱私。BORGAONKAR等[7]利用蜂窩網絡AKA協議的邏輯漏洞,發現一種新的位置隱私攻擊,但單純的位置信息需要結合個人信息[8],才能推斷出財富狀況、職業和宗教信仰等更敏感的個人信息;LI等[9]研究了GPS無關的ICV位置隱私侵犯。在位置隱私保護方面,宋成等[10]提出一種面向移動終端的K匿名位置隱私保護方案,可以用于未來ICV的位置隱私保護中。

此外,許多傳感器數據被證明可以侵犯隱私。根據制動踏板的使用情況對駕駛員進行指紋識別,根據方向盤的移動了解駕駛員的注意力分散程度[11]。YANG等[12]發現連續的實時油耗數據也可以泄露用戶的隱私信息。

ICV的隱私分類需要考慮這種動態的變化,除了考慮重要的位置隱私數據,還需要包含潛在的傳感器隱私數據,以適應未來研究的最新進展。目前ICV隱私數據分類主要有:基于數據的敏感性、使用模型、來源方式、使用的技術、被關注的形式[13]。XIONG等[14]提出的隱私分類雖然考慮了傳感器數據,但是側重強調位置隱私信息,這些隱私分類存在難以量化、不夠全面、不符合標準等問題,難以用于隱私泄露的風險評估。

2.2 ICV隱私泄露檢測

現有的ICV隱私泄露檢測方法,從技術路線可分為應用逆向[11]和流量分析[15]。基于應用逆向的隱私檢測從應用內部發現隱私泄露,需要對ICV應用進行逆向分析,從應用代碼設計中發現收集隱私的服務,但是這需要進入車輛內部,對攻擊者來說不太可能。基于流量分析的隱私檢測從應用對外通信的流量中發現隱私泄露,通常利用不安全的信道協議,比如不安全的蜂窩網絡和Wi-Fi,對隱私流量進行截獲和分析。其中基于蜂窩網絡的ICV隱私泄露檢測研究,強調了ICV上傳到TSP服務器的隱私收集風險,防止廠商非法收集司機隱私數據,但是它們沒有考慮這些隱私數據泄露的風險。隨著ICV車載Wi-Fi的普及,也為ICV隱私泄露提供了新的潛在通道,這些隱私數據會在Wi-Fi中泄露多少也是缺少研究的。

2.3 隱私風險評估

正如引言所述,在ICV風險評估領域,大多都是以安全為中心的定性風險評估模型。這里重點介紹汽車領域之外的定量隱私風險評估模型。

文獻[6]提出了一個數據主體感知的定量隱私風險評估模型,將風險分解為兩個基本因素:損失幅度和丟失事件頻率。其中損失幅度代表對數據主體的影響,分解為敏感度、記錄數、主體類型和數據主體;丟失事件頻率代表對手攻擊成功的概率,分解為保留期、威脅事件頻率、漏洞,兩者相乘得到整體風險。文獻[16]提出了一種基于定量風險分析模型FAIR的改進模型FAIR-P,作者指出雖然部分風險分析方法是定量的,但可能傾向于脫離任何客觀基礎的任意量化,使得量化不具有實際意義。作者還將FAIR-P和文獻[6]中的模型、NIST以及CNIL進行對比,前兩個都是定量的隱私風險評估模型,基于蒙特卡洛模擬,而后兩者都是定性的隱私風險評估模型。文獻[17]提出了一種針對名稱數據網絡隱私攻擊的定量隱私風險評估技術,用攻擊樹威脅建模評估每個攻擊路徑的概率,但是沒有考慮這些攻擊的損失。文獻[18]建議使用基于頻率的定量風險評估,對每種類型的攻擊單獨測量,進行不同的實驗。成功的攻擊只要破壞信息安全三要素保密性、完整性、可用性中的一個,成功的隱私攻擊應該被定義為獲取到泄露的隱私數據。文獻[19]提出了一個考慮隱私的信息安全風險評估模型PISRA,其中資產和PII識別增加了信息和服務,隱私影響分析因素包括可識別性、字段敏感性、PII數量、使用環境和PII新鮮度。文獻[20]對隱私風險評估的現狀進行了綜述,強調了量化整體隱私風險的具體隱私風險因素,建議采用動態觀點進行隱私風險評估。

3 預備知識

3.1 Wi-Fi管理操作

Wi-Fi的主要管理操作包括掃描、身份驗證和關聯。

(1) 識別該地區現有網絡的過程稱為掃描,掃描結束時會生成掃描報告。該報告列出了掃描發現的所有Wi-Fi網絡及其參數,包括服務集標識(Service Set IDentifier,SSID)、基本服務集標識(Basic Service Set IDentifier,BSSID)、接收信號的強度指示(Received Signal Strength Indicator ,RSSI)等,SSID表示Wi-Fi網絡名稱,而BSSID表示發射Wi-Fi信號對應的接入點(Access Point ,AP)設備的MAC地址,RSSI是指接收器從發射器獲得的接收信號功率,以dBm為單位,它是評價接收信號質量好壞的重要因素。在理想狀態下,RSSI等于發射功率加天線增益,減去路徑損耗,其中每個AP的發射功率和天線增益都是固定的,而路徑損耗是影響RSSI的主要因素,可由弗里斯傳輸方程導出自由空間路徑損耗RFSPL：

(1)

其中,Pt表示信號傳輸功率;Pr表示信號接收功率;Gt表示AP的天線增益;Gr表示客戶端的天線增益;λ表示信號的波長,以2.4 GB的Wi-Fi為例,劃分了13個信道,頻率f范圍為2.400 0～2.483 5 GHz,根據λ=c/f,可得λ的范圍為0.121 4～0.124 4。

(2) 身份驗證過程實際上只證明客戶端的身份,而客戶端無法對AP進行身份驗證。Wi-Fi網絡提供3種類型的身份驗證方案:

① 開放式身份驗證: 不提供連接到網絡的身份驗證。在典型的開放網絡中,數據包未加密。

② 基于密碼的身份驗證: 使用用戶輸入的密碼對Wi-Fi客戶端進行身份驗證。在建立連接時生成加密密鑰,并使用生成的密鑰對數據包進行加密。目前Wi-Fi Protected Access 2 (WPA2)廣泛用于個人和家庭Wi-Fi網絡,Wi-Fi客戶端和AP使用獨立生成成對主密鑰(PMK),認證過程如下:

PMK=PBKDF2(HMACSHA1,Password,SSID,409 6,256) ,

(2)

其中,PBKDF2是一種基于密碼的密鑰派生函數,而HMACSHA1是偽隨機函數(PRF)。執行409 6次迭代以生成256位PMK,用于4次握手以生成會話密鑰。由于用于PMK生成的參數對于所有網絡設備都是相同的,因此PMK在WPA2個人網絡中是相同的。

③ 基于802.1X的身份驗證:使用可擴展的身份驗證協議。大多數身份驗證類型使用數字證書進行身份驗證、服務器驗證,主要適用于企業和校園網絡。由于ICV目前不支持802.1X認證方式,因此文中不考慮802.1X認證。

(3) 身份驗證完成后,客戶端根據RSSI選擇與哪個AP關聯(或與新AP重新關聯)以獲得對網絡的完全訪問權限。與認證一樣,關聯由客戶端發起,但是802.11協議明確禁止客戶端同時與多個AP關聯。

3.2 信息熵與定價模型

在香農信息論中,信息熵可以度量信息量的大小,隱私數據的價值隨信息熵的增大而呈現單調遞增的趨勢[21]。假設存在隨機變量X={x1,x2,…,xn-1,xn},隨機變量X的概率分布PProbability={p(x1),p(x2),…,p(xn-1),p(xn)},則隨機變量X的信息熵為

(3)

對于隱私數據集D,其定價函數Price(D):D→R+,其中R+為數據價格,是一個非負實數。基于數據信息熵的定價函數[21]可定義為

Price(D)≡f(H(D)) ,

(4)

其中,f(H(D))為遞增連接函數,需要滿足兩個性質:

(1) 遞增性:?x1≤x2,f(x1)≤f(x2)。

(2) 次加性:?x1,x2≥0,f(x1+x2)≤f(x1)+f(x2)。

4 定性與定量結合的隱私風險評估模型

4.1 ISO21434的隱私影響評級擴展

現有的隱私數據分類存在難以量化、不夠全面、不符合標準等問題,這給基于隱私分類的隱私影響評級帶來困難。在ISO21434標準中,將隱私數據分為高度敏感類、敏感和不敏感類,但是沒有給出任何具體的劃分依據。因此,文中考慮了數據敏感性劃分的法律依據[22],從司機自身、司機與車綁定、車輛自身3個角度,擴展完善了ISO214343標準的敏感程度分類,將ICV的隱私數據按照敏感性從高到低劃分為:司機身份與財產信息、行蹤軌跡與駕駛行為信息以及車輛身份與狀態信息。

除了對數據進行敏感性劃分外,還需要對PII的關聯性進一步擴展,才能完成符合ISO21434標準的隱私影響評級,PII是有關一個人的任何數據,這些數據能幫助識別這個人,除了姓名、指紋或其他生物特征資料、電子郵件地址、電話號碼或社會安全號碼等傳統隱私數據,在ICV中還應該要考慮已經研究證實或潛在的、可以推斷司機個人信息的傳感器數據等。完整的隱私影響評級如表1所示。從數據的可用性角度,將PII主體的聯系分為直接PII屬性和間接PII屬性。直接PII屬性是PII主體的固有、靜態、獨立屬性,不會改變也不會解綁,例如姓名、性別、身份證號碼、生物特征、受教育程度、家庭成員等;而間接PII屬性是PII主體的非固有、動態、組合屬性,需要借助直接PII屬性才能識別,可以改變或解綁,包括VIN、手機號碼、銀行卡號、行車軌跡、聽歌習慣、郵箱、收入、婚姻、職業等。

表1 隱私影響評級擴展

4.2 基于ISO21434標準的定量隱私風險評估模型

針對定性風險評估模型的不足,文中提出了一種定性和定量相結合的隱私風險評估模型,如圖1所示。圖1中白色方框表示ISO21434標準現有的定性評估方法,沒有進行改動,灰色方框代表新增的定量評估方法。

圖1 定性與定量結合的隱私風險評估模型

4.2.1 攻擊成功概率

攻擊成功概率是衡量攻擊者成功發起隱私攻擊的概率數值,通過將定性風險評估的攻擊可行性等級轉換為概率值實現。在ISO21434標準中,攻擊可行性等級從5個方面進行打分:經過的時間(ET)、專業經驗(SE)、對項目組件的了解(KoIC)、機會窗口(WoO)和裝備(Eq)。其中每個因素評分區間分別為[0,19),[0,8),[0,11),[0,10),[0,9),最大值采用開區間,是為了避免其中某一因素達到最大值時,導致后續計算概率為0的風險低估情況。如果將某次隱私攻擊的等級得分記為{Pet,Pse,Pkoic,Pwoo,Peq},根據幾何概率,可以計算出攻擊成功概率P為

(5)

4.2.2 隱私泄露度量

隱私泄露度量是指考慮信息熵、影響等級、PII類型數量和單個PII數量多個因素,對泄露的隱私數據價值進行量化。信息熵通過式(3)計算,在隱私風險評估中,隨機變量X表示每次隱私攻擊獲得的隱私數據字段集合,概率分布是每個隱私字段在整個隱私數據集合中出現的概率占比。但是信息熵受主要概率影響,不能充分體現隱私數據的價值。

影響等級同樣能夠影響隱私數據的價值。同樣概率分布的不同隱私數據,有不同的價值,但是信息熵無法區分這種差異,通過增加影響等級I的權重wI來區分。首先按照4.1節中的隱私評級擴展進行評級,接著采用ISO21434標準或模糊數學等方法轉換為影響等級數值。轉換后的數值如下:

wI={0,1.0,1.5,2.0} 。

(6)

PII類型數量強調多個PII類型組合的累計風險[23],考慮單個PII的影響等級是固定的,但是兩個以上的PII類型進行組合關聯,會產生一加一大于二的組合累計風險。舉例來說,籃球運動員、上海人、在NBA打過球這3個PII類型可以推導出這個人是姚明。PII類型數量C的權重wC用式(6)進行估計,得

wC=lbC。

(7)

當C=1時,信息熵H(X)和PII類型權重wc均為0,單一的影響等級難以區分不同規模的數據集的隱私價值[19],通過單個PII的數量N的權重wN和影響權重wI來度量隱私:

wN=lg (N+2) 。

(8)

因此,在信息熵的基礎上,綜合考慮影響等級、PII類型數量以及單個PII數量的影響,設計了如下的隱私泄露度量方法:

(9)

其中,θ代表隱私數據的量化價值。

4.2.3 隱私泄露定價

雖然基于信息熵的隱私度量能夠精確反映隱私數據的價值,但是依然不能清晰直觀地量化為隱私泄露造成的具體經濟損失。通過建立基于信息熵的數據定價模型,可以將信息熵映射為價格。常見的數據定價函數的連接函數有線性函數、對數函數和冪函數[21],考慮ICV的隱私數據具有數據量大、種類多、實時性、稀缺性等高質量[24]數據特征,文中采用線性函數作為定價連接函數,即

Price(D)≡f(θ),f(x)=kx,

(10)

其中,k值根據經驗設定。

4.2.4 預估損失價格

在計算出攻擊成功概率和隱私泄露定價之后,用兩者的乘積作為預估損失價格L,即

L=PPrice(D) 。

(11)

預估損失價格量化了ICV廠商受到一次成功隱私攻擊的具體損失,可以作為ICV廠商潛在經濟損失的參考,幫助其合理分配資源并專注于風險最大的隱私活動。同時,還可以通過閾值劃分,將定量的預估損失價格轉換為定量的風險確定值。

5 基于WC-ETA的ICV隱私泄露檢測方案

為了驗證風險評估模型的有效性,首先通過滲透測試,模擬惡意黑客對ICV的隱私攻擊,來識別ICV隱私威脅場景中的攻擊路徑;接著提出了一種基于Wi-Fi通用攻擊的ICV隱私泄露檢測方案,用于獲取ICV泄露的原始隱私數據,評估Wi-Fi隱私攻擊的成功概率。

5.1 Wi-Fi威脅場景下的隱私泄露攻擊

在ICV蜂窩隱私威脅場景中,攻擊者借助偽基站和干擾器設備發起攻擊,干擾器屏蔽正常基站信號,偽基站提供虛假的2G基站信號。偽基站覆蓋范圍廣,可截獲幾千米內ICV的蜂窩通信流量,不依賴ICV行駛狀態,無論車輛是靜止還是運動狀態,均可發起攻擊。Wi-Fi不同于蜂窩網絡,被設計為避免單點故障[25]、減少用戶等待時延和網絡費用的優先鏈路,身份認證的WPA2破解[26]和根據RSSI選擇關聯,這些特性是發起Wi-Fi隱私攻擊的有利條件。但是隨著Wi-Fi連接距離的縮短,發起攻擊依賴ICV的行駛狀態,需要研究具體的威脅場景。

為了解決這個問題,提出對攻擊者的一般假設:首先,攻擊者明確自己要攻擊的目標ICV,它們在地理空間上臨近,臨近是指都處于合法AP(LAP)的Wi-Fi覆蓋范圍;其次,攻擊者發起攻擊的目的,只是為了盡可能多地獲取目標車主的隱私信息,而不構成任何人身安全威脅,應該盡量降低暴露風險;最后,攻擊者擁有自己的ICV,可以根據目標ICV的運動狀態采取相對應的攻擊方式。

根據目標ICV的運動狀態,劃分了運動和靜止兩種Wi-Fi威脅場景。靜止威脅場景是指目標ICV處于停車狀態、速度為零,車主讓ICV手動或ICV自動連接到LAP。此時,攻擊者和目標ICV地理臨近,可以發起3種Wi-Fi隱私攻擊:

(1) 開放Wi-Fi監聽。攻擊者只需要一個支持監聽的USB無線網卡即可,配合Wireshark或者Omnipeek等抓包軟件就可以獲取到明文傳輸的隱私數據。

(2) 破解Wi-Fi密碼監聽。針對WPA(Wi-Fi Protected Access)加密的Wi-Fi,相對于第1種隱私攻擊,需要破解Wi-Fi密碼才能獲取到明文隱私數據。

(3) 邪惡雙胞胎攻擊(Evil Twins Attack,ETA)。攻擊者通過工具掃描附近Wi-Fi信息,找到目標ICV正在連接的LAP。可能存在兩種情況,開放Wi-Fi和WPA加密Wi-Fi。針對開放Wi-Fi,攻擊者直接模擬LAP的SSID和BSSID;針對WPA加密的Wi-Fi,攻擊者還需要破解Wi-Fi密碼。

運動威脅場景是指目標ICV在路上行駛、速度不為零,不存在可連接的LAP,但是ICV的Wi-Fi連接功能維持打開狀態,連接過的Wi-Fi信號出現時將自動連接。這是ICV靜止威脅場景的擴展形式,攻擊者駕駛自己的ICV跟蹤目標ICV,確保和目標ICV在有效連接范圍內。此時,ETA是惟一的攻擊路徑,另外兩種隱私攻擊方式依賴LAP的存在,不能適用于ICV的運動威脅場景。

5.2 ICV的ETA對手模型和分類

比較ICV兩種威脅場景下的3種Wi-Fi隱私攻擊,可以發現ETA是靜止和運動兩種隱私威脅場景都存在的通用隱私攻擊。而且ETA威脅遠大于另外兩種隱私攻擊,前兩種隱私攻擊只能是被動流量監聽,無法解密傳輸層加密的流量,而ETA不僅可以實現被動流量監聽,還可以進一步結合中間人攻擊,解密部分傳輸層加密的流量。下面詳細研究ETA的對手模型和分類。

在Wi-Fi網絡中,LAP定期發送信標幀(Beacon),ICV客戶端通過偵聽Beacon幀發現LAP。由于Beacon幀沒有加密保護,攻擊者捕獲受害者LAP的Beacon幀,并提取其SSID和BSSID。攻擊者通過偽造LAP的BSSID和SSID來創建邪惡雙胞胎(Evil Twins ,ET)。而ICV客戶端無法區分LAP和ET,根據Wi-Fi的認證和關聯機制,ICV客戶端會從經過身份認證的AP中選擇連接RSSI最強的AP。

ETA可以通過以下3種方式實施:

(1) 攻擊者僅僅通過靠近目標ICV或者增大ETA信號強度,等待ICV離開LAP的連接范圍,當ICV客戶端嘗試關聯時,將會自動連接到ET。

(2) 借助Wi-Fi信號干擾器,攻擊者還可以在物理層對LAP的信號進行射頻干擾,導致波形失真,ICV客戶端將無法檢測到LAP的信號,會自動連接上ET。

(3) 此外,還有一種去身份認證攻擊,攻擊者利用MAC層的CSMA/CA協議漏洞,發送解除身份認證幀,只要ICV或LAP中任何一方接收到該幀,就會立即斷開和LAP的連接,重新關聯上ET。

然而,并不是所有的ETA,都能適用于ICV運動和靜止這兩種隱私威脅場景。為了區分這種差異,按照ETA的上行信道類型對ETA進行分類,其中上行信道是指ETA自身訪問互聯網的直連信道。具體將ETA分為4種類型:

(1) 早期ETA沒有上行信道,為竊取Wi-Fi密碼而設置,不提供互聯網訪問,將這種釣魚ETA定義為F-ETA(Fishing-ETA)。

(2) 上行信道為Wi-Fi的ETA稱為W-ETA(Wi-Fi-ETA)。

(3) 上行信道為有線網絡的ETA稱為E-ETA(Ethernet-ETA)。

(4) 上行信道為蜂窩網絡的ETA稱為C-ETA(Cellular-ETA)。

除了F-ETA,其他3種ETA攻擊都提供互聯網訪問,對ICV和手機用戶透明。結合上述ICV的Wi-Fi隱私威脅場景,F-ETA和E-ETA被認為是受限的,由于不提供互聯網訪問,F-ETA無法獲得ICV的隱私數據,E-ETA無法移動不能支持ICV運動的隱私威脅場景。C-ETA具有移動特性,可以用于ICV的兩種隱私威脅場景,但額外的蜂窩上網卡和適配器,可能增加隱私攻擊的成本和復雜性。現有的W-ETA在ICV和LAP之間增加了一跳路由,通常LAP是固定而不是移動的,也難以用于ICV運動時連接Wi-Fi的威脅場景評估。

5.3 WC-ETA中間人隱私泄露檢測方案設計

在W-ETA的基礎上,提出了一種新的WC-ETA(Wi-Fi- Cellular-ETA)隱私攻擊方法。WC-ETA克服了C-ETA和W-ETA的上述缺點,利用攻擊者的手機或ICV車載熱點,而不需要像C-ETA增加額外的硬件成本,同時在W-ETA基礎上增加了移動特性,能夠用于ICV的靜止和運動兩種隱私威脅場景。需要強調的是,相較于W-ETA增加一跳路由,WC-ETA增加了兩跳路由,可能增加網絡延時。

WC-ETA的實現過程如下:

(1) 在ICV靜止威脅場景下,攻擊者獲取目標ICV當前連接的Wi-Fi信息,根據這些信息搭建ET。

(2) 攻擊者打開自己ICV或手機的蜂窩網絡和Wi-Fi熱點,讓ET連接Wi-Fi熱點。互聯網訪問由移動設備的蜂窩網絡提供。

(3) 采用5.2節中的ETA實施方式,讓目標ICV斷開與LAP的連接,連接上ET。

WC-ETA可以截獲流量,獲取明文隱私數據,但是無法解密傳輸層加密的隱私數據。為了獲取更多的Wi-Fi隱私數據,在WC-ETA的基礎上,進一步結合通用的HTTPS中間人攻擊,提出WC-ETA中間人隱私泄露檢測方案,如圖2所示。

圖2 WC-ETA中間人隱私泄露檢測方案

WC-ETA包括ETA的流量截獲模塊和攻擊者移動終端的流量中轉模塊。流量截獲模塊由ETA完成,負責截獲受害者ICV和手機的Wi-Fi流量,上行信道和下行信道均為Wi-Fi。硬件設備包括筆記本電腦和MT7612芯片的支持監聽和AP模式的USB網卡,筆記本電腦支持流量截獲和流量解密模塊的運行,USB網卡負責發射Wi-Fi信號;軟件包括kali系統中的開源軟件udhcpd、hostapd和iptables,其中hostapd根據LAP的Wi-Fi信息配置ET,同時udhcpd為目標ICV提供DHCP服務;iptables的路由轉發功能,既可以將目標ICV的流量轉發到筆記本分析處理,也可以為ICV提供互聯網訪問的路由轉發功能。流量中轉模塊由攻擊者的ICV或手機完成,負責將訪問互聯網的流量轉發到TSP服務器,上行信道為蜂窩網絡,下行信道為Wi-Fi熱點。

中間人攻擊是指針對HTTPS的流量解密模塊。流量解密模塊主要由mitmproxy和SSLstrip完成,運行在筆記本電腦上,負責處理流量截獲模塊轉發到本機的流量。HTTPS中間人攻擊[27]類型中常見的TLS中間人攻擊方法[28],包括SSLstrip和SSLsplit。SSLstrip利用HTTP重定向機制,將客戶端的HTTPS協議降級為HTTP,從而獲取明文隱私信息。而以mitmproxy為代表的SSLsplit利用偽造證書,在客戶端和服務器建立中間人地位,從而解密HTTPS加密的隱私信息。

6 實驗評估指標與環境設置

6.1 Wi-Fi隱私研究對象與評估指標

為了全面評估ICV的Wi-Fi隱私泄露風險,研究對象不僅僅局限于ICV自身的隱私泄露風險,還包括ICV廠商提供了配套的車輛控制APP。TSP服務器收集和保存了ICV和車主的隱私數據,也可能將這些隱私數據從ICV傳輸到手機車輛控制APP。為了評估手機端的隱私泄露風險,假設車主的ICV和手機連接過相同的LAP,都會受到WC-ETA中間人攻擊的影響。

圖3 蜂窩與Wi-Fi網絡下泄露的ICV隱私字段數

6.2 實驗環境與設置

在3款不同的ICV上評估了兩種Wi-Fi威脅場景中的隱私泄露情況:2020款長安CS75PLUS(汽油)、2022款雪佛蘭Malibu XL(汽油)和2022款別克VELITE6(電動)。

實驗環境如圖4所示,所有ICV都配備了L2級的駕駛輔助,支持Wi-Fi連接和熱點。每輛ICV的APP列表都是不一樣的,因此主要測試了所有ICV都配置的地圖、音樂等隱私應用,而在手機上測試的車輛控制APP包括長安FAN、長安汽車和安吉星,模擬了車主的身份和使用行為,記錄它們正常打開和使用時泄露的隱私字段。考慮版本差異可能影響測試結果,對長安CS75PLUS所有歷史版本的車輛控制APP進行了測試,另外兩款ICV使用應用市場下載的最新版本。

圖4 WC-ETA和中間人攻擊實驗圖

中間人攻擊的實現需要了解ICV的安全機制,以IVI是安卓系統為例,IVI系統有用戶界面和原生頁面,用戶界面是車主平時使用的頁面,原生界面一般用于廠商開發測試,用戶界面權限小,無法安裝偽造數字證書,需要進入原生界面。以長安CS75PLUS為例,模擬了ICV被惡意安裝非法證書的情況,具體的攻擊路徑包括:在網絡檢索目標ICV的破解信息,獲得進入目標ICV原生界面的入口(撥號)和代碼(*#201301#*),發現部分應用(ES文件瀏覽器)的漏洞,利用漏洞安裝偽造數字證書,通過中間人攻擊解密TLS流量。

7 結果與討論

7.1 WI-FI隱私泄露檢測方案評估

在別克VELITE6的車輛端和雪佛蘭Malibu XL的手機APP端,分別測試了單一的WC-ETA和WC-ETA中間人兩種隱私泄露檢測方案。最終的Wi-Fi隱私泄露檢測結果如表2所示,其中詳細記錄了ICV和手機訪問的TSP域名以及泄露的隱私字段名,這些隱私數據的字段名是流量截獲或解密后未加改變的原始描述,雖然不同域名對同一隱私數據有不同的隱私字段名,但是僅保留其中一種。另外,對于反復出現的隱私字段,只記錄在攻擊可行性等級最高的域名中。

表2 基于WC-ETA的隱私泄露檢測方案的可行性評估

從表2中可以看出,手機APP端泄露的隱私數據數量和PII類型較多,而且有許多敏感和直接的隱私數據,這些隱私數據有一部分來自ICV,如油耗、里程、速度等,另一部分來自TSP服務器,是車主購車和保養時提交的隱私數據,如工作、郵箱、地址等。隱私字段圓括號中的數字表示該PII的類型數量,以油耗為例,包括每日油耗、每周油耗、每周平均油耗、每月油耗、每月平均油耗、每年油耗、每年平均油耗、總的油耗。而在ICV端泄露的隱私數據數量和種類較少,大部分隱私數據都是間接或不敏感的。實驗結果表明,基于WC-ETA的Wi-Fi隱私泄露檢測方案能有效檢測ICV的Wi-Fi隱私泄露情況。

將不同ICV的檢測結果進行橫向對比,現有的蜂窩網絡隱私檢測結果作為參考,結果如表3所示。橫向對比CS75PLUS和VELITE6車輛端的Wi-Fi隱私泄露情況,發現CS75PLUS的車輛端泄露的隱私字段數為8個,而VELITE6的車輛端泄露的隱私字段數為12個;橫向對比CS75PLUS和Malibu XL手機端的Wi-Fi隱私泄露情況,發現CS75PLUS的手機端泄露的隱私字段數為26個,而Malibu X的車輛端泄露的隱私字段數為38個。因此,可以認為CS75PLUS在車輛端和手機泄露的Wi-Fi隱私數據數量,分別要比VELITE6和Malibu XL更少。

表3 不同ICV隱私檢測結果的對比

基于Wi-Fi和基于蜂窩的隱私檢測方法,均屬于基于流量的隱私檢測,都利用了不安全的無線信道固有的協議漏洞和典型攻擊,而不依賴于具體ICV的內部設計,因此提出的方法具有一般性。與蜂窩隱私泄露檢測方法相比,提出的方法更具針對性,在成本和通用性方面,也具有一定的優勢,只需要一塊USB無線網卡,就能獲得司機的姓名、身份證號碼、手機號碼、行車軌跡、聽歌習慣等個人敏感信息。

7.2 擴展的隱私定性風險評估

在長安CS75PLUS真車實驗中,使用WC-ETA中間人隱私泄露檢測方案,對ICV和手機的Wi-Fi隱私泄露情況進行檢測,同時應用提出的隱私分類與影響評級擴展,對檢測到的隱私數據進行影響等級評估。隱私影響評級如表4所示,在表格隱私字段欄中,對存在隱私泄露的每個域名都有具體的影響評級。

表4 長安CS75PLUS隱私影響評級結果

對于只存在一種隱私數據泄露的域名,直接根據表1的隱私影響評級矩陣進行評級。content.wecar.map.qq.com域名中的隱私字段Songlist,它屬于司機和車輛綁定時產生的駕駛行為敏感數據,由于聽歌習慣屬于動態改變的間接PII屬性,因此影響評級為中等;wecarplat.map.qq.com域名中的VIN,屬于車輛自身的身份信息,同時它是PII主體非固有的屬性,可以解綁,需要借助綁定車輛的直接PII屬性進行識別,因此影響評級可忽略不計。

對于存在多種敏感隱私數據的域名,首先需要對所有隱私字段進行影響評級,然后選擇其中影響等級最高的作為最終的影響評級。m5.amap.com域名中,存在latitude、longitude、direction和distance 4個隱私字段,它們都屬于司機和車輛綁定時產生的行蹤軌跡敏感數據,均是動態改變的間接PII屬性,因此最終的影響評級為中等;scrm.changan.com.cn域名中,隱私字段education、email、familymember、gender、income、marriage、occupation、purchaseDate的敏感性分別為高度敏感、高度敏感、高度敏感、高度敏感、高度敏感、高度敏感、高度敏感、不敏感,對應的PII關聯性分別為直接、間接、直接、直接、間接、間接、間接、間接,影響評級為嚴重、主要、嚴重、嚴重、主要、主要、主要、可忽略,綜合影響評級為嚴重。

攻擊可行性評級如表5所示,參考ISO21434標準中的攻擊潛力評級方法,攻擊潛力衡量了攻擊一個項目組件需要花費的努力,用攻擊者的專業知識和資源來表示。開放Wi-Fi和破解Wi-Fi獲取明文隱私數據的攻擊可行性高,而基于WC-ETA中間人的隱私攻擊可行性等級非常低,每種攻擊的成功概率通過式(5)進行計算。

表5 長安CS75PLUS攻擊可行性評級結果

7.3 定性與定量結合的隱私風險評估

在長安CS75PLUS的定量風險評估中,首先對不同攻擊的隱私價值進行度量,在此基礎上進行定價,衡量每種攻擊的具體收益,結果如表6所示。

表6 長安CS75PLUS不同攻擊的隱私度量與收益定價

將采集的隱私數據集,按照文獻[24]中基于信息熵的方法進行計算,信息熵相同,影響權重均為8,類型權重分別為2、2、3、3。隱私度量的對比結果如圖5(a)所示,文中提出方法和文獻中方法主要差異在于信息熵的權重。文中的影響權重基于隱私數據敏感性和關聯性,而文獻中的影響權重基于簡單的隱私數據分類,對于4種攻擊,將ICV移動位置數據分類評級最高,得到相同的影響權重,這種隱私分類和評級缺乏理論依據。此外,文獻中的類型權重按照人、物、組織劃分等級值,可能存在主觀誤判的問題,而且它沒有考慮隱私數據類型數量的組合累計風險。

(a) 不同攻擊序號數據集的隱私度量

隱私定價的對比結果如圖5(b)所示,文獻[24]對于4種不同攻擊的隱私數據的定價比較接近,沒有很好體現不同隱私數據集的內在價值。序號1的數據集僅有6種隱私字段,影響評級為中等,總數量為47,定價為18元;序號4的數據集有31種隱私字段,影響評級為嚴重,總數量為350,定價為32.65元。序號4定價不到序號1定價的2倍,這顯然與事實不相符。而文中的定價對于不同隱私數據集呈現出較大差異,能顯著區分不同隱私數據的內在價值,序號4的數據集定價為序號1的數據集定價的9倍以上,更接近現實定價。

通過定價確定了具體的攻擊收益,結合成功攻擊的概率,按照式(11)計算出的預估損失如表7所示。攻擊方式和終端有6種組合,詳細計算了對于不同終端采用不同攻擊時的預估損失,可以從終端和攻擊兩個不同角度估計總體和局部的預估損失。

表7 長安CS75PLUS不同攻擊的預估損失與風險等級

比較3種不同的攻擊方式,開放、破解和WC-ETA的總體預估損失分別為12.801元、6.680元、0.243元,其中ICV的單項損失分別為1.768元、0.931元、0.032元,手機的單向損失分別為11.033元、5.749元、0.211元。不論總體還是局部,開放、破解和WC-ETA在兩種終端上的攻擊預估損失依次降低,ICV廠商應該優先處置開放Wi-Fi監聽,根據3輛ICV的實際觀察,它們都采取禁止連接開放Wi-Fi的策略,符合風險分析結果。

比較相同攻擊下的兩種不同的終端,可以發現手機隱私泄露風險總是大于ICV的隱私泄露風險,增加Wi-Fi網絡安全性檢查有助于緩解隱私泄露風險。ICV廠商可以控制每輛ICV的安全策略,比如禁用開放的Wi-Fi連接,但在手機端有不同的終端類型,APP檢查Wi-Fi的安全性的行為可能被系統認定為侵犯隱私而被阻止。因此考慮將不安全的HTTP協議升級為HTTPS,甚至采用雙向認證、證書綁定、私有協議等方式傳輸隱私數據,可能是ICV廠商更優的選擇。雖然這會增加成本,但借助文中的定性和定量風險評估模型,可以計算出隱私泄露的預期損失,對比增加的成本和預期的損失,可以幫助ICV廠商進行決策。

根據定量的預估損失,通過劃分合理的閾值,可以將數值轉換為風險等級值。假設5個等級從小到大按照閾值{0.2,0.9,2.0,5.0}進行劃分,可以得到每種攻擊定量轉換的定性風險值。同樣按照ISO21434的定性風險評估方式,可以得到每種攻擊的參考定性風險值。對于每種攻擊,可以發現定量轉換的風險值和ISO參考的定性風險值一致,從而驗證了定性與定量結合的隱私風險評估模型的有效性。

8 結束語

筆者針對ICV隱私風險評估不夠完整的問題,提出了新的隱私分類,擴展完善了ISO21434中隱私影響評級,在實驗中驗證了該擴展的有效性。針對ICV定性評估存在的主觀性強、難以量化損失的問題,提出了一種定性和定量結合的隱私風險評估模型。首先設計了一種基于WC-ETA隱私泄露的檢測方案,解決定量評估中的數據收集問題,3輛ICV的橫向對比證明了該隱私泄露檢測方案的可行性;然后,對泄露的隱私數據從信息熵、影響等級、PII類型等多因素進行綜合價值度量,引入隱私數據定價模型量化攻擊收益,結果顯示文中的隱私度量和定價模型優于其他方案;最后,將攻擊收益和概率的乘積作為預估損失值,有效量化了ICV隱私泄露的風險,定量轉換的風險值與定性評估的風險值一致,證明了該模型的一致性和有效性。

未來的工作將集中在對ICV的手機APP進行逆向分析,并構建幻影程序,通過模糊測試方法從TSP服務器獲取更多隱私。