剖析：《速8》中的自動駕駛汽車為什麼「瘋了」

本文作者：張偉

導語：當殭屍車隊（Zombie Cars）朝你湧來……

《速度與激情8》片段截圖

《速度與激情8》最近在國內熱映，引發各路影迷廣泛討論。在作者看來，影片涉及到的黑客技術主要有兩個——天眼（The Eye）和殭屍車隊（Zombie Cars），這兩個東西其實和現實當中兩項比較前沿的安全技術——汽車及物聯網安全和攻擊者溯源相關。雷鋒網摘取了作者針對殭屍車隊的技術解讀部分並進行了編輯。

被激活的「殭屍車」

殭屍車隊——汽車及物聯網安全

首先我們先來說說智能汽車和非智能汽車，智能汽車其實就可以當做一個物聯網設備來解決，也就是說智能汽車的攻擊面和其他IoT設備的攻擊面是差不多甚至更多的。

其實汽車和計算機一樣，內部通信依靠匯流排進行，汽車中的匯流排就是CAN匯流排。

CAN網路是由以研發和生產汽車電子產品著稱的德國BOSCH公司開發的，並最終成為國際標準（ISO 11898），是國際上應用最廣泛的現場匯流排之一。CAN匯流排協議目前已經成為汽車計算機控制系統和嵌入式工業控制區域網的標準匯流排，同時也是車載ECU之間通信的主要匯流排。當前市場上的汽車至少擁有一個CAN網路，作為嵌入式系統之間互聯的主幹網進行車內信息的交互和共享。

CAN匯流排的短幀數據結構、非破壞性匯流排仲裁技術、靈活的通訊方式等特點能夠滿足汽車實時性和可靠性的要求，但同時也帶來了系列安全隱患，如廣播消息易被監聽、基於優先順序的仲裁機制易遭受攻擊、無源地址域和無認證域無法區分消息來源等問題。

特別是在汽車網聯化大力發展的背景下，車內網路攻擊更是成為汽車信息安全問題發生的源頭，CAN匯流排網路安全分析逐漸成為行業安全專家聚焦點。如2013年9月DEFCON黑客大會上，黑客演示了從OBD-II控制福特翼虎、豐田普銳斯兩款車型實現方向盤轉向、剎車制動、油門加速、儀錶盤顯示等動作。汽車車內CAN網路安全問題當前主要通過安全漏洞的分析和各種攻擊手段進行挖掘，因為汽車車內網路安全的脆弱性和威脅模型的分析尤為關鍵。

這麼說來，只要抓住了CAN匯流排，我們就相當於是抓住了汽車的神經，也就能對汽車進行控制。

影片中自動駕駛狀態下的汽車

攻擊CAN匯流排會引發什麼後果？

第一個後果是失控：CAN匯流排主要應用之一是支持主動安全系統的通信。車輛行駛的時候，主動安全系統將是一把雙刃劍，它們確實發揮著不可替代的作用，但是考慮到主動安全系統的可操作和有能力調整正確的輸入，也會引起駕駛者對主動安全系統的完全依賴。因此一個突然的故障會引起不可預知的危險後果。

為了引發一個危險的條件，惡意攻擊者將會在CAN匯流排中注入錯誤幀，讓主動安全系統失靈。例如，在牽引力控制系統里安裝一個攻擊，會造成車輛失去控制等危險。如果攻擊者的目標是自適應巡航系統，將會導致汽車不會按駕駛者預期的那樣停止。

此外，為了最大可能地傷害汽車駕駛者，假如數據可以直接從CAN匯流排上獲取，攻擊者可以根據特定的條件，觸發一個DoS攻擊。例如汽車某一特定速度、特定的節氣門百分比或者是某一確切的GPS位置等。

第二個後果就是勒索：一個惡意攻擊者在CAN匯流排中某一目標幀中設置攻擊，這將會導致駕駛者無法控制節氣門的位置從而不能讓汽車移動。儘管這些不一定會誘發危險狀態，但一個以金錢為目的的攻擊者，將會利用車載娛樂系統的漏洞，迫使汽車停止，並在娛樂系統屏幕上顯示消息，讓車主為了重新獲取汽車的操控權而去付贖金。

第三個可能是盜竊：現在，大部分昂貴的汽車門鎖是通過CAN連接到ECU來控制，通常通過OBD-II埠連接。隔離負責控制鎖/解鎖車門的數據幀比逆向主動安全設備更簡單、更快捷。因此，攻擊者可以在幾分鐘左右隔離負責鎖車門的數據幀，編寫他的設備程序-特定幀的DoS攻擊，然後把設備插入到OBD-II的介面，阻止車門鎖住。對於一個攻擊者來說，這個攻擊結果是可能的。通過低成本的花費就能進入到車內，隨後就能夠竊取車內任何貴重物品。

長期以來，幾乎整個汽車界都有這樣的共識：CAN匯流排是沒法保護的。

兩方面的原因，其一，ECU的計算處理能力不足；其二，車載網路的帶寬有限。有些LIN匯流排使用的MCU甚至是16bit或8bit，但AES使用的加密演算法只能處理16位元組區塊的數據，這意味著很多時候LIN匯流排根本就是處在「裸奔」的狀態。

所以汽車安全未來肯定是炙手可熱的一部分。

作者註：本文中的技術僅供交流，如有疏漏還請大家批評指正。

雷鋒網原創文章，網站轉載請至雷鋒網官網申請授權。但，歡迎轉發分享~

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！