汽車網(wǎng)絡(luò)和控制單元安全威脅研究
責(zé)編:admin |2014-11-12 15:20:57我們之前的研究表明,攻擊者可以通過諸如藍(lán)牙接口和車載信息系統(tǒng)單元等各種接口在汽車的電子控制單元(ECU)中進(jìn)行遠(yuǎn)程代碼執(zhí)行。這篇報(bào)告旨在展開描述基于這種攻擊思路和攻擊類型的攻擊者能夠?qū)ζ囆袨樵斐墒裁礃拥挠绊憽L貏e是,我們將展示通過兩臺(tái)汽車在某些情況下怎樣控制汽車轉(zhuǎn)向、制動(dòng)、油門和電子顯示。我們也對(duì)這些類型的攻擊檢測(cè)提供了建議。在這篇報(bào)告中我們發(fā)布了所有用來重現(xiàn)和理解相關(guān)問題需要的技術(shù)信息,包括源代碼和必要的硬件描述。
一、簡介
汽車早已不僅僅是機(jī)械設(shè)備,今天的汽車所包含的許多不同的電子組件構(gòu)成的一個(gè)整體網(wǎng)絡(luò)負(fù)責(zé)監(jiān)視和控制交通工具的狀態(tài),從防抱死制動(dòng)模塊到指令集群再到車載信息系統(tǒng)模塊,每一個(gè)組件都能夠和相鄰的組件進(jìn)行通訊。現(xiàn)代汽車總共包含至少50個(gè)以上網(wǎng)絡(luò)化電子控制單元(ECUs),交通工具的整體安全即依賴于這些幾近于實(shí)時(shí)通訊的各種不同的ECU,在它們相互之間進(jìn)行通訊時(shí),ECU負(fù)責(zé)預(yù)警撞車、檢測(cè)剎車、完成防抱死制動(dòng)等等。
當(dāng)電子化網(wǎng)絡(luò)組件被添加到任何設(shè)備,這些設(shè)備上代碼運(yùn)行的魯棒性和可靠性問題便會(huì)隨之增加。當(dāng)考慮到人身安全問題,結(jié)合汽車的環(huán)境,代碼可靠性就顯得尤為重要和關(guān)切。在典型的計(jì)算環(huán)境中,例如一臺(tái)筆記本電腦,很容易寫一些腳本或應(yīng)用程序監(jiān)視和調(diào)整電腦運(yùn)行的方式。然而,在高度計(jì)算機(jī)化的汽車中,沒有一種簡單的方式可以寫應(yīng)用程序去勝任監(jiān)視或控制不同嵌入式系統(tǒng)的任務(wù)。駕駛員和乘客完全是得幸于在他們汽車上所運(yùn)行的代碼,不像當(dāng)他們的網(wǎng)頁瀏覽器崩潰或受感染,汽車對(duì)于他們的人身安全的威脅是實(shí)實(shí)在在的。
一些學(xué)術(shù)派的研究員,尤其是來自華盛頓大學(xué)和加州圣地亞哥大學(xué)[http://www.autosec.org/publications.html]的研究顯示,在汽車一些組件中駐留代碼進(jìn)行控制諸如電子顯示、車門鎖和汽車制動(dòng)等關(guān)鍵系統(tǒng)是有可能的。此外,他們的研究還顯示,攻擊者可以通過物理接觸甚至通過遠(yuǎn)程藍(lán)牙或者車載信息系統(tǒng)單元進(jìn)行惡意代碼注入。他們所展示的不僅有電子化汽車系統(tǒng)意外失敗的真實(shí)威脅,甚至還有惡意代碼行為影響汽車系統(tǒng)安全性的威脅。但是他們沒有發(fā)布任何代碼或工具,事實(shí)上,他們連自己所研究的汽車模塊都沒有透露。
除了討論新型的攻擊,這篇報(bào)告的目的還在于用公開、透明的方式為安全研究人員提供汽車系統(tǒng)的訪問能力。當(dāng)前,沒有一種簡易的方式可以寫自定制軟件對(duì)現(xiàn)代汽車的ECU進(jìn)行監(jiān)視和交互。攻擊的風(fēng)險(xiǎn)是切實(shí)存在的,但是對(duì)于研究人員來說沒有一種方式對(duì)汽車系統(tǒng)進(jìn)行監(jiān)視和交互真是令人沮喪。這篇報(bào)告正是提供了一種針對(duì)汽車系統(tǒng)且允許進(jìn)行這類工具構(gòu)成的框架,而且能夠在兩種現(xiàn)代汽車上進(jìn)行演示,該框架能夠讓研究人員用具體的方式展示針對(duì)汽車系統(tǒng)的威脅,并且能夠?qū)懗霰O(jiān)視和控制程序用來減輕這種威脅。
我們所說的框架結(jié)構(gòu)是針對(duì)后續(xù)提到的兩款汽車的,也是這次研究的關(guān)鍵。我們所討論的應(yīng)用是基于帶有停車輔助和其他技術(shù)附件的豐田普銳斯(Prius)和福特翼虎(Escape)(均是2010款)。與早期研究不同,這些技術(shù)附加產(chǎn)品能夠讓我們的框架不僅能訪問制動(dòng)和顯示層面的系統(tǒng),而且還能訪問轉(zhuǎn)向系統(tǒng)。我們選擇了兩臺(tái)汽車達(dá)到我們通用研究的目的,同時(shí)也盡可能的說明不同汽車的不同之處。希望我們使用的所有數(shù)據(jù)和工具的發(fā)布能夠讓其他研究人員對(duì)研究結(jié)果進(jìn)行輕易地重現(xiàn)(和詳細(xì)描述)。
- ISC.AI 2025展廳:見證安全與智能技術(shù)的融合未來
- 增長強(qiáng)勢(shì) 成果豐碩 | Fortinet發(fā)布2025年第二季度財(cái)報(bào)
- 終端安全新時(shí)代!AI自主逆向軟件并找出未知惡意軟件
- 七部門聯(lián)合發(fā)布《關(guān)于推動(dòng)腦機(jī)接口產(chǎn)業(yè)創(chuàng)新發(fā)展的實(shí)施意見》
- 從AI誘餌到自動(dòng)化攻擊組織的一次深度分析與溯源
- 工信部:關(guān)于防范BERT勒索軟件的風(fēng)險(xiǎn)提示
- 3600萬元獎(jiǎng)金池重金求洞!微軟推出最大安全眾測(cè)項(xiàng)目
- 情報(bào):從秘密工具到公開武器的戰(zhàn)略轉(zhuǎn)型
- 《272項(xiàng)密碼標(biāo)準(zhǔn)全景圖(2025版)》發(fā)布
- 全新360安全云重磅發(fā)布:AI智能體驅(qū)動(dòng)「安全即服務(wù)」新未來