李东宏：各位先生、各位女士、各位朋友，大家下午好！今天我跟大家分享一下作为一个安全界厂商、作为一个安全公司，对于车联网其中的隐患进行简单剖析和大概的解决方案。

首先作一下自我介绍，我在安全界十多年，我现在就职于绿盟科技威胁响应中心，擅长的是算法逆向、漏洞分析与挖掘、恶意代码分析与溯源跟踪、网络协议分析、数据挖掘、网络与系统安全评估、网络与系统安全防护。

我们在讲车联网受攻击的话题时，要明确一下攻击者通常称为黑客。“黑客”是一个褒义的定义，对计算机科学编程技术有着高度理解的人。如果拓展到一个通用行业里，黑客是什么？在各行业里精通于设计、生产以及工艺方面的专家。

由于利益的驱使，黑客可能有两种形式：1、科恩实验室的白帽子，这属于为厂商提供解决方案；2、在互联网攻击中通称为“黑客”，即未经授权进入对方系统进行破坏行为的人群。

汽车安全到底是什么？汽车安全有四个方面：
1、工艺安全。与环境有关，如尾气排放、车材料是否有抗压能力，车表面反光度，车的反光度有可能影响到驾驶员视线，车面材料有可能会吸收无线电波，使一些雷达信号减弱，导致误判；

2、工程安全。在设计过程中，一个防撞系统，我们车在高速上行驶，与前车撞了，工程物理学方面可以减少撞击对人身造成的伤害；3、机械安全。行驶过程中要变速，变速有效度和高保障度是什么样的？防抱死系统是否在我们真正使用时可靠有效？

车联网信息安全。随着汽车的发展，汽车可能对外有很多接口，提供很多方便我们生活的地方。信息安全即汽车跟其他设备进行通信。通信过程中会不会存在信息泄露或被黑客远程攻击？这些都是我们要讨论的话题。

什么是车联网？指以车内网、车外网和车载移动互联网为基础，按照约定的通讯协议和数据交互标准，在车与其他设备之间进行无线通讯和信息交换的系统网络，实现智能化交通管理、智能动态信息服务和车辆智能化控制的一体化网络。

车联网有三个要素：
1、基础设施。最重要的要素就是人。汽车在行驶过程中会采集各种各样的数据，然后进行处理。道路基础设施会给我们汽车有一个参考，如防撞系统，会采集基础设施发送的设备，然后在汽车里面进行校正，汽车会根据数据进行校轨，同样也防止碰撞。

2、管理。随着互联网越来越发达，汽车会连到云端，基础设施也会连到云端。特别是交通部的一个交通设施要在线管控交通流量，这就会联系到我们云端。在这个过程中，我们就要考虑一下是否有一些安全问题呢？黑客是怎么样考虑这个闭环环境的。

威胁模型（从车的结构来讲），车的对外通讯方式分四个：远距离通讯，即蜂窝网，定位系统、WiFi；近距离通讯有TPMS、蓝牙系统、钥匙，有效距离大概在10米之内，远距离通讯在10米之外；内部物理连接，我们所暴露的一些端口，比如CANBus端口等；

车内网络连接，主要由CANBus网络组织结构，里面包括TPMS接收器或ECU、防盗系统、控制系统和引擎系统。可能在后续一些发展过程中，会有一些新的通讯方式出现。

攻击者攻击车联网的目的到底是什么？动机是什么？攻击有四种目的：1、金钱。2、技术。作为技术炫耀，这个技术我已经懂了，能破解什么东西。3、荣誉。破解这个东西，提供给设备商或提交给CVE或国家信息安全中心，能安全界有一个知名度的提高。

4、在过程中会有报复行为的破坏，看谁不顺眼就去破坏。这个破坏不止破坏我们的汽车，有可能会破坏交通设施，造成重大交通事故。最终利用的还是我们在设计和实现的缺陷。

车载通讯系统。
无钥匙进入系统，车放在那里，攻击者要攻击的话首先要进入车内。现在有很多车标配了无钥匙进入系统，主要利用近距离通讯，频率大概是331MHz和413MHz，调制方式主要是滚动码。熟悉信息安全或熟悉车载安全，一定知道背后这一段数字表示什么，这是某车型滚动码列表，即我们在重放这个滚动码列表时，车门可以打开。

第一次先判断第一段代码有没有发出去，如果发出去，看车有没有开启，如果没有开启，会发送第二个数据包，判断是否开启，开启了以后，判断整个数据包是不是发完了，发完了就结束，如果没有的话，就继续发。

无钥匙进入系统攻击的方式：1、通过分析钥匙中滚动码序列获得密钥序列；2、车在钥匙开启或关门一瞬间，有一段时间这个车门处于开启状态，这段时间人走了，黑客可能直接过去把门打开；

3、一些钥匙使用的是静态码制列表，黑客可以通过无线电的劫持和数据包重放，导致车门打开；4、中间人攻击，现在汽车使用的是蓝牙模式，即手机模式，做一个蓝牙节点，就可以把蓝牙数据直接解密，获得最原始的数据，然后再重放出来。

这个无钥匙系统是在整个汽车安全中，就像今天早上朱教授分享的，这是最脆弱，也是最容易进入的。

防碰撞系统。
在要碰撞时，保证人身安全。防碰撞系统主要是雷达系统或其他传感设备来判断我们车是否将要有碰撞发生，当有碰撞发生时，直接发送信号给ECU，ECU直接控制刹车，然后停下来。攻击者可以伪造信号，前方本来没有车，伪造这个信号，说车非常近，导致ECU紧急刹车，导致驾乘人员出现碰撞。

另外一种情况，前面有车，而且已经到将要碰撞的距离，黑客发了一个欺骗性信号，导致我们判断前面没有车，就直接撞上去。

胎压检测系统。
攻击者如何做的？在高速路上并行行驶的汽车，可以伪造信号，说胎压过低或没气，这时候导致驾驶员紧急刹车，或ECU紧急刹车，在高速路上直接停止，导致后面的碰撞。

现在有很多高校发现了胎压检测系统有漏洞可以利用，利用这个漏洞直接攻击到ECU。华盛顿大学和加利福尼亚大学两个实验室发现的。跟踪车辆，即信息收集，能知道这个车跑到什么地方；触发事件，当胎压检测系统，走到一个油站时，本来要停，发了一个跟油站连接的信号，导致油站故障；欺骗，导致碰撞发生或紧急刹车。

无线网络接入，在车载系统里面用的比较多，后续车联网也用得比较多。当车连入互联网以后，可能会进行各种各样的数据信息通讯，比如上网、打网络电话，这就会增加安全保护难度，因为这样的业务数据是多种多样的，进入系统的方式也是多种多样的。

由于连了网，远端可以探测你的系统，发现系统的脆弱性，同时你自己连接时也可能会连接到一些恶意欺骗的网站，连接到它的网站上会下载到一个恶意程序，直接放到我们控制系统里，由于控制系统在分析以后容易被打通，容易控制我们的ECU。

目前通讯方式是2.4G和5G，这是两个WiFi，还有移动3G/4G模式，还有未来的5G模式。数据量越高的时候，我们的检测就会越难，因为这个变化非常快。

车与其他车辆或设备的通讯。
主要负责检测车距以及车道的变化，调整车辆运行和提高交通效率。与基础设施通讯，分析交通流量进行车辆分布。

目前检测频率：5.9GHz。攻击者一旦控制驾驶辅助系统，可以给基础设施或其他车发送欺骗信号，导致潜在交通事故发生，有可能会撞上护栏或者直接穿过红绿灯，或者前面正在修路，结果没有检测到，就直接开过去了。

车载诊断系统（OBD）。
这是一个有线的连接，黑客如何攻击？或者它的恶意是怎么进去的？OBD的作用，插入这个设备以后，能分析出整车运行状况，同时可以分析出驾驶员习惯，就是耗油怎么样，零部件损耗是什么样子。

我们去一些4S店或到一些小的维修部做检测时，他拿到这个设备里面有可能会被植入了恶意程序，通过OBD检测接口，直接进入到内部控制系统。因为这个设备可用在多个车上，这样会影响到一批车。

引擎控制单元（ECU）。
在我们车里属于重中之重，所有的控制基本上都是由它来完成。攻击者可以通过多种途径接收到ECU，强制ECU显示虚假数据，如里程数据、温度数据，错误地提示和隐藏车辆的故障。

如你的车没油了，它不显示，显示你的车油满着，就继续接着开，结果开到一个地方没油了，你只能打救援电话。勒索车辆，攻击者远程控制ECU，会把ECU切断，所有方式对它来说是无效的，只有付完钱以后才可以给你解锁，才可以获得车的控制权。

ECU分析方法：1、电路分析。对ECU里面的东西不太了解，但是通过电路的信号分析输入和输出；2、JTAG调试接口。这是硬件调试接口，我们不会接触到这个车，但是知道ECU用什么型号的，可以弄一个开发板去调试，然后再作出一个恶意的软件；3、缺陷注入。

所有的软件和硬件在设计过程中不可能百分之百把所有因素考虑进去，在设计和制作过程中或多或少都会有缺陷，攻击者就是这个缺陷的发现者；4、时钟分析。

通过一些分析仪去分析里面整个运作原理，如果发现缺陷，利用缺陷包看输出是什么，有没有输出；5、电源分析。所有车里面ECU工作和互联网通讯都要有电源，会分析电源电路。

电源的控制由谁决定，就会去分析，比如我们开着车引擎正着火，他控制了以后，直接断电，有可能会导致急刹车，也有可能导致方向死锁；6、逆向固件。固件拿下来以后，把恶意代码植进去。

GPS，是为车辆提供位置服务的，可以帮助驾驶人按照目的路线行驶。民用，1.5GHz，军用是1.2GHz。民用带宽1M左右，军用10M左右，攻击者可以伪造GPS信号，让我们失去对位置的控制。

有可能前面是一条河，GPS正常情况下会告诉我们前面确实有条河，但是发了一个伪造GPS信号，说前面是一个大路，这时候我们就直接开到河里面去了。

温控系统。由ECU控制，攻击者控制ECU，可以改变车内温度和环境。如果温度比较高，夏天开车，室外37、38摄氏度，把温度提高到44摄氏度左右，在高速上开车会导致驾乘人员觉得不舒服，紧急停车，或者驾乘人员直接中暑。

多媒体系统。在中控中用的比较多，是智能系统，里面会有多种接口，流媒体文件可能在处理或解码过程中有一些缺陷，导致恶意流媒体文件引入一个恶意的代码。

分析方法：1、黑客一定会检测系统的架构，它是什么系统，它的CPU是什么，获得这类信息；2、分析系统升级，今天会讲到OBD升级，在升级过程中，这个固件是否容易被拦下来，拦下来以后会不会被篡改，篡改了以后，升级系统里面有没有对它做有效的签名和认证；

3、修改系统升级，把所有的固件升级完以后打包、签名，直接通过OTA途径下发下来；4、系统里面会集成很多APP，会在这个系统里把它的APP直接集成到系统固件里，即便我们发现它是恶意的，但也删除不了。

USB接入。车联网里面USB可能有对外连通的WiFi或者3/4G卡，USB插入时可能有一些媒体文件，都会提供多种通道。

电话系统。虽然现在已经明令不允许打电话，但是电话系统里会存在我们个人隐私信息，包括交际圈，黑客窃取到这些信息后能做什么？1、诈骗。2、姓名、电话、身份证信息，可以连到云端，获得跟车主有关的很多信息，提交给第三方，比如经常会接到骚扰电话。

3、经常用一些浏览器浏览网站，但是不知道这个网站是否安全，有可能我们连接到的是一个有恶意代码的网站，恶意代码进来以后，利用我们浏览记录控制我们的主机系统，这目前不管在互联网行业车载通讯系统里面，浏览器的漏洞是最多的。

4、云端。主要对客户情况和车辆情况进行管理，这部分和传统网络安全基本一样，攻击者主要攻击云端系统，获取云端数据。后续在车联网发展到一定程度时，利用云端直接可以控制车辆，比如这个车辆行驶里程多少，在云端可以直接控制，不让它开启。5、攻击者一旦攻击到云端，就可以强制控制车辆，让车主失去控制权。

6、电动汽车有一个充电桩，充电桩里一定会获取到车的信息，首先车的电路状况、电池状况，一定会获得相关信息，攻击者可以通过充电桩来植入恶意代码。

车联网威胁分析。
1、未经授权的物理访问；2、攻击互联网；3、个人信息盗取；4、敲诈勒索；5、远程控制；6、制造假象。

未经授权的物理访问。车辆没有经过授权，黑客通过攻击直接进入到系统里面，把车开走。这个威胁的概率很高，高的原因：车辆容易丢失、取证难度比较大。对个人和厂商的影响：车辆容易被盗、保险费率增高、制造商可能会被追究相关责任。

个人信息的窃取。各种通讯接口增加，恶意程序进入车内通道也会增加，攻击者获取到信息以后就会出售给第三方，增加骚扰和诈骗的概率，威胁概率是高。在云存储，主要攻击云端模式，可以获得个人详细资料和车的详细资料。

在本地存储，主要获得个人信息，增加一些犯罪机率。对个人和制造商的影响：车辆的负面影响会增加，促进政府对车辆行业合规性检查；引起个人信息泄露，增加客户信用监督和维护的成本。

远程控制。给的概率是中。车辆远程控制需要针对特定品牌、特定型号和特定漏洞，所以对技术要求比较高；攻击者攻击的目的是要求更多的回报，而不是远程控制我们的汽车去搞破坏。

影响非常大：可以引起人身安全、财产损失和严重的交通事故；制造商可能因为车本身技术问题而承担法律责任；由于漏洞的影响，导致车辆会滞销。

攻击互联网。前一段时间美国物联网设备攻击了整个美国网络，网络就断了。随着车联网的发展，攻击者可能会把恶意代码潜伏在我们车里面，在设定时间对整个网络设施或某个网络服务，做一个DDOS攻击，就会影响到不只是我们汽车行业的安全，可能会影响到卫星通讯以及更多的网络服务。威胁概率低，影响也比较低。首先这个车不可能不被我们知道它就被控制了。

敲诈勒索。主要利用远程控制，直接把车锁死。传统互联网敲诈勒死，就是把计算机文件全部加密，然后付款，给你一个解密钥匙，然后获得文件信息。在车方面，把ECU直接锁死，厂商也无法解决，只能换ECU，或者付赎金进行解锁。影响比较高：重新获得控制权代价比较高；影响到汽车品牌。

制造假象。控制ECU或通过欺骗方式给一个虚假显示或虚假信号，让我们驾驶员或车辆无法判断周围的情况或车内的情况。给的级别是中级，无线信号容易被干扰；认证方式太简单；车主不容易发现车辆的故障，因为有欺骗性。

影响很高：可以危害到交通安全和驾乘人员安全；可以获得个人习惯，增加财产损失机率；驾驶人员在不知情的情况下违反交规；制造商因为技术缺陷承担法律责任。

安全建议：系统数据加密存储和通道加密；接入系统的口令进行复杂化和随机化，阻止暴力破解；数据认证和校验，防止第一次过去的数据会重放，第二次校验里面会有一个随机码，导致后面数据包认为它是假的；

接入设备和接入系统安全认证，就是点对点的认证，我知道你这个设备过来就是内部的，而不是攻击者发过来的信号；内置防护系统，就是车载防火墙，还有车载系统里面要集成一些安全防护软件或策略来阻止黑客的攻击。

我们要阻止黑客的攻击，攻击是不可能永远避免的，为了阻止，可以增加破解的难度。因为攻击者要有成本，如果一天之内能攻击到我们车，把我们车控制住的话，就有利可言，如果一年之内才能控制我们车辆的话，他绝对不会做这样的事情，因为一年的时间跟他的收入是不成正比的。

最后感谢大家的倾听，希望能跟各位朋友、各位厂商合作把车联网技术做好。我们做车联网安全的目的就是为了整个世界的和平，不再让个人或者财产受到损失。谢谢大家！