重磅：保障汽車軟體安全更新 美國研發新開源框架

導讀

汽車工業正在走向車聯網時代，迅速發展之際，安全形勢也日益嚴峻。最近，美國科研人員開發了一個免費、通用、開源的軟體框架，用於保護汽車中的軟體更新。在開源框架投入汽車工業使用之前，研究團隊呼籲世界各地的安全專家幫助他們尋找該框架的漏洞。

簡介

這款開源安全軟體框架名為「Uptane」，它在目前廣泛使用的「TUF」（軟體更新框架）基礎上發展而來。

Uptane 項目，由紐約大學坦登工程學院計算機科學和工程學院的助理教授 Justin Cappos 領導，由紐約大學坦登工程學院和密歇根大學交通研究所(UMTRI)，美國西南研究院(SwRI)合作開展。

(圖片來源於：紐約大學坦登工程學院)

背景

ECU

如今，汽車內部都會具有一些列的微機控制模塊，簡稱「電子控制單元」（ECU），又稱為「行車電腦」、「車載電腦」。它是一種汽車專用微機控制器，和普通電腦一樣，由微處理器、存儲器、輸入輸出設備、模數轉換器等大規模集成電路組成。這些ECU控制了汽車主要的安全設備例如安全氣囊、剎車系統、發動機和傳動裝置等環節。

(圖片來源於：維基百科)

ECU升級

然而，ECU和普通的計算機系統一樣，隨著根據用戶需要的變化，軟體缺陷和功能的相關更新，也會遭遇軟體（固件）升級的情況。例如， F1等汽車拉力賽的賽車，需要根據不同的賽道情況，來改善發動機動力輸出，以提高賽車成績，這時就會需要更新ECU。更新ECU固件，就類似更新計算機主板BIOS，對發動機來說，可以達到調控發動機動力輸出數值的效果。

傳統的升級方式，一般都需要專業人員將ECU拆出，連接專業設備進行升級。然而，這種方法需要用戶去汽車維修站或者返回原廠進行升級，操作難度大、過程複雜、風險高。

OTA升級

然而，對於新能源和車聯網汽車來說，例如豐電和特斯拉的一些型號，都可以通過空中無線通信的「空中升級服務」（OTA）方式，對於ECU進行軟體升級。升級可以修復車輛控制單元的安全漏洞，或者追加新的功能。這種方式通過無線網路更新，無需用戶去維修站，更加方便、安全、快捷，同時也減少了廠家的召回。

安全風險

OTA 升級方式也並不是萬無一失的，黑客仍然會瞄準這些汽車軟體更新機制，安裝惡意軟體，病毒，甚至是勒索軟體。一旦發生類似事件，結果往往是災難性的。

Uptane

Uptane，正是為汽車製造商提供一種安全的軟體更新框架，以抵禦各種安全攻擊和威脅。它的設計正是針對汽車行業的特點，考慮到其特殊的風險和限制。其中眾多設計細節，是和美國大多數汽車行業廠商和專家一起合作完成的。所以，它具有更加好的靈活性，適應各個汽車廠家需求，抵禦各種安全風險。

研究人員稱開發Uptane的首要目標，就是創建汽車軟體安全更新機制，保持最強的安全級別。不管更新的來源是哪裡，該機制都可以儘可能地確保軟體更新的真實性和可靠性，同時也能夠靈活地支持各個特殊的用戶模型和部署機制。

下面，首先介紹一下汽車安全威脅的來源，即黑客針對ECU的攻擊要達成的目標和攻擊採取的行動。

攻擊類型

針對ECU的主要攻擊類型，根據其目的，可以分為：

第一，讀取更新

攻擊者會竊取軟體更新內容，研究ECU固件內容，盜取汽車的知識產權財富。

第二，拒絕更新

攻擊者想要阻止汽車修復軟體問題。有以下類型：

阻止更新攻擊：阻止汽車內部或者外部的網路流量，讓ECU無法接收任何更新。

緩慢檢索攻擊：讓ECU緩慢地接收應用更新，這樣攻擊者可以同時展開安全攻擊。

凍結攻擊：在ECU已經有更新的情況下，不定期的發送給ECU已有的更新。

軟體版本部分安裝攻擊：讓一些ECU無法完全安裝最新的更新。攻擊者可以通過阻止ECU的網路通信來完成這個目的。有時，這種攻擊也會偶然地發生在電力供應終端的情況下。

第三，阻礙工作

攻擊者會嘗試讓ECU工作失效，使汽車或者其組件短時間或者永久性的行為反常，有以下攻擊方式：

回滾攻擊：讓ECU安裝具有問題的過期軟體。

無休止數據攻擊：這是攻擊者最簡單的攻擊方式之一，通過執行無休止的數據攻擊，發送大量的數據讓ECU存儲空間耗盡，從而發生崩潰。

混合軟體版本攻擊：它會引起ECU在互操作方面的失敗，阻止汽車正常工作。攻擊者通過給不同的ECU安裝不兼容的軟體更新版本（不能同時安裝），從而達到攻擊目的。攻擊者雖然無法設計出新的軟體包，但是他們能夠給不同的ECU同時安裝不同版本軟體更新。

混搭的攻擊：這種攻擊也會引起ECU互操作性方面的失敗，如果攻擊者盜用了伺服器密鑰，他們可以使用這些密鑰發布一個獨特的新軟體鏡像。例如ECU-1和ECU-2都可以從軟體分支3上安裝更新。但是，攻擊者已經濫用簽署軟體版本的密鑰。這種混搭的攻擊，比前面提到軟體版本部分安裝攻擊和混合軟體版本攻擊更加惡劣，因為攻擊者可以任意組合更新。

第四，控制

這是第四點，也是最嚴重的一點。攻擊者能夠修改汽車的性能。攻擊者讓ECU安裝攻擊者選擇的軟體，這樣導致攻擊者可以隨意修改汽車的性能。他們可以通過任意的軟體攻擊，以惡意軟體覆蓋ECU現有的軟體。

攻擊行動

那麼，攻擊者又會採取那些具體行動呢？

攔截和改變網路通信（例如進行中間人攻擊），這些行動的實現途徑包括：（1）汽車外部：攻擊者可以控制用於發布軟體更新的蜂窩網路；（2）汽車內部：攻擊者可以控制ECU網關、普通ECU、OBD-II 介面、 USB。

危害汽車ECU。

危害軟體更新的密鑰或者存儲密鑰的伺服器。

防禦機制

Uptane 框架所具有的主要抵禦機制有以下四條：

第一，使用額外的存儲空間從無休止的數據攻擊中恢復。

（圖片來源於：參考資料【3】）

前面提到，黑客會對於ECU執行無休止的數據攻擊。然而，ECU往往只存儲一個鏡像文件。這樣，如果這些攻擊者會通過給ECU發送隨機數據，而不是實際的鏡像文件，讓它無法啟動到工作鏡像中去。雖然，引導程序能夠檢查出隨機數據和最近下載的元數據不匹配。

為了解決這個問題，ECU可以使用一個額外的存儲空間，使得它可以有足夠的存儲空間保存之前的鏡像和最新下載的鏡像。ECU在更新時，無需具有覆蓋之前已知的良好鏡像。這樣，如果攻擊者在數據傳輸時修改了鏡像，它仍然可以引導到功能鏡像。

第二，廣播元數據防止混合軟體版本攻擊。

（圖片來源於：參考資料【3】）

攻擊者控制了主ECU以後，就可以執行混合軟體攻擊，因為它們可以向不同的從ECU，同時展示不同版本的元數據。為了防止這個問題，主ECU需要向從ECU廣播最新下載的元數據。

所以，在CAN網路或者乙太網絡中，主ECU向某個從ECU發送的任何元數據，也需要同時發向其他的ECU。

第三，使用版本清單檢測軟體部分安裝攻擊

（圖片來源於：參考資料【3】）

即使有時ECU沒有受到任何其他攻擊，但是也偶爾會出現一種軟體版本部分安裝攻擊的情況，導致ECU只成功安裝了部分的軟體更新。

無論，這些攻擊是如何發生的，OEM 都可以通過軟體版本清單和ECU關於它最近安裝的簽署信息，檢測這種攻擊。在驗證和安裝更新後，ECU會使用OEM在汽車製造期間提供的對稱密鑰，來驗證其安裝的軟體，然後發送給主設備。

ECU，每個點火周期只會進行一次簽署和發回它的版本清單。主設備將搜集這些簽名，構建汽車版本信息，然後發送給汽車製造商。如果汽車製造商發現最近的汽車更新，和它們實際安裝的不匹配，製造商將會收到警報，並且採取進一步行動。

第四，使用時間伺服器限制凍結攻擊

（圖片來源於：參考資料【3】）

關於攻擊者對於ECU採取的凍結攻擊，是由於ECU桌面和伺服器程序不同，E無法具有可靠的時鐘。這樣主設備不能判斷元數據是否超時。

為了解決這個問題，每個ECU應該使用外部時鐘，周期性地更新目前的時間。

集思廣益

因為Uptane是開源的，所以與任何一個開源項目的標準流程一樣，團隊正在呼籲全是世界的安全專家和學術機構，幫助他們發現該軟體框架的漏洞，以及模仿黑客對於該框架展開攻擊，以進一步完善該框架，最終形成穩定的版本。

參考資料

【1】http://engineering.nyu.edu/press-releases/2017/01/18/call-issued-white-hat-hackers-find-flaws-new-automotive-software-updater

【2】https://uptane.github.io/

【3】https://isis.poly.edu/~jcappos/papers/kuppusamy_escar_16.pdf