汽车网络和控制单元的安全威胁研究.pdf

汽车网络和控制单元的安全威胁研究 作者：CharlieMiller博士 ChrisValasek 翻译：孙希栋 做个好人 摘要 我们之前的研究表明 ，攻击者可以通过诸如蓝牙接口和车载信息系统单元等各种 接口在汽车的电子控制单元（ECU）中进行远程代码执行。这篇报告旨在展开描 述基于这种攻击思路和攻击类型的攻击者能够对汽车行为造成什么样的影响。特 别是 ，我们将展示通过两台汽车在某些情况下怎样控制汽车转向、制动、油门和 电子显示。我们也对这些类型的攻击检测提供了建议。在这篇报告中我们发布了 所有用来重现和理解相关问题需要的技术信息，包括源代码和必要的硬件描述。 一、简介 汽车早已不仅仅是机械设备 ，今天的汽车所包含的许多不同的电子组件构成 的一个整体网络负责监视和控制交通工具的状态 ，从防抱死制动模块到指令集群 再到车载信息系统模块 ，每一个组件都能够和相邻的组件进行通讯。现代汽车总 共包含至少50个以上网络化电子控制单元（ECUs），交通工具的整体安全即依 赖于这些几近于实时通讯的各种不同的 ECU，在它们相互之间进行通讯时 ，ECU 负责预警撞车、检测刹车、完成防抱死制动等等。 当电子化网络组件被添加到任何设备 ，这些设备上代码运行的鲁棒性和可靠 性问题便会随之增加。当考虑到人身安全问题 ，结合汽车的环境 ，代码可靠性就 显得尤为重要和关切。在典型的计算环境中 ，例如一台笔记本电脑 ，很容易写一 些脚本或应用程序监视和调整电脑运行的方式。然而 ，在高度计算机化的汽车中 ， 没有一种简单的方式可以写应用程序去胜任监视或控制不同嵌入式系统的任务。 驾驶员和乘客完全是得幸于在他们汽车上所运行的代码 ，不像当他们的网页浏览 器崩溃或受感染，汽车对于他们的人身安全的威胁是实实在在的。 一些学术派的研究员，尤其是来自华盛顿大学和加州圣地亚哥大学 [/publications.html]的研究显示，在汽车一些组件中 驻留代码进行控制诸如电子显示、车门锁和汽车制动等关键系统是有可能的。此 外 ，他们的研究还显示 ，攻击者可以通过物理接触甚至通过远程蓝牙或者车载信 息系统单元进行恶意代码注入。他们所展示的不仅有电子化汽车系统意外失败的 真实威胁 ，甚至还有恶意代码行为影响汽车系统安全性的威胁。但是他们没有发 布任何代码或工具，事实上，他们连自己所研究的汽车模块都没有透露。 除了讨论新型的攻击 ，这篇报告的目的还在于用公开、透明的方式为安全 究人员提供汽车系统的访问能力。当前 ，没有一种简易的方式可以写自定制软件 对现代汽车的 ECU进行监视和交互。攻击的风险是切实存在的，但是对于研究 人员来说没有一种方式对汽车系统进行监视和交互真是令人沮丧。这篇报告正是 提供了一种针对汽车系统且允许进行这类工具构成的框架 ，而且能够在两种现代 汽车上进行演示，该框架能够让研究人员用具体的方式展示针对汽车系统的威 胁，并且能够写出监视和控制程序用来减轻这种威胁。 我们所说的框架结构是针对后续提到的两款汽车的，也是这次研究的关键。 我们所讨论的应用是基于带有停车辅助和其他技术附件的丰田普锐斯（Prius） 和福特翼虎（Escape）（均是2010款）。与早期研究不同，这些技术附加产 品能够让我们的框架不仅能访问制动和显示层面的系统，而且还能访问转向系 统。我们选择了两台汽车达到我们通用研究的目的 ，同时也尽可能的说明不同汽 车的不同之处。希望我们使用的所有数据和工具的发布能够让其他研究人员对 究结果进行轻易地重现（和详细描述）。 二、电子控制单元（ECU） 典型的ECU是基于控制器区域网络（CAN）标准在一条或多条总线上联网 组成。ECU彼此之间的通讯是通过发送CAN数据包进行的，详情见 [/wiki/CAN_bus]。这些数据包广播发送至总线上的所 有组件 ，并且每一个组件决定是否接收它们 ，尽管存在分段CAN网络。CAN数 据包中没有来源识别和验证信息。基于以上两点事实 ，很容易在组件中进行CAN 网络嗅探，或者伪装成其他ECU发送CAN数据包[见后文 “控制器区域网络 （CAN）数据注入”一节]。这也使得对数据传输进行逆向工程便的更加困难， 因为这种先天性的原因让知道哪个ECU在发送或接收特定数据包变得不可能。 为了检查控制器区域网络（CAN）上哪些ECU在进行通讯，可以发送专有 的消息至ECU让它们执行一些动作，或者完全对 ECU进行重新编程。ECU本 质上是嵌入式设备，通过CAN总线连接成网络，每一个 E