以前，汽車(chē)是孤立的，物理隔離的，因此黑客很難遠(yuǎn)程入侵汽車(chē)內(nèi)部電腦(ECU)，除非進(jìn)行物理入侵，而這個(gè)是需要很高的犯罪成本。隨著互聯(lián)網(wǎng)的進(jìn)化，當(dāng)golo3這樣的車(chē)聯(lián)網(wǎng)產(chǎn)品通過(guò)OBD(On Board Diagnostics)診斷座將汽車(chē)內(nèi)部ECU聯(lián)網(wǎng)之后，汽車(chē)受到的遠(yuǎn)程網(wǎng)絡(luò)攻擊就不再是猜想。可以預(yù)見(jiàn)，一旦車(chē)聯(lián)網(wǎng)產(chǎn)品普及，關(guān)于汽車(chē)被攻擊的現(xiàn)實(shí)案例就會(huì)出現(xiàn)并越來(lái)越多。

[[114139]]

試想一下，在高速公路上汽車(chē)發(fā)動(dòng)機(jī)被人為控制突然熄火，會(huì)是怎么樣的一場(chǎng)結(jié)局?你，害怕了嗎?

一 OBD診斷座與ECU拓?fù)浣Y(jié)構(gòu)

在詳細(xì)探討車(chē)聯(lián)網(wǎng)安全之前，首先我們來(lái)了解下OBD診斷座，如下圖是SAE J1962標(biāo)準(zhǔn)對(duì)OBD診斷座的定義：

OBD診斷座是一個(gè)包含16pin的母座，除上圖給出的引腳的定義，其它沒(méi)有給出的引腳都由汽車(chē)廠商自己定義。不同的ECU通信協(xié)議可能采用不同的引腳， KWP(key word protoctol)關(guān)鍵字協(xié)議采用的是7號(hào)引腳或者15號(hào)引腳，目前最普遍的500kbaud的iso15765協(xié)議(高速CAN)采用的是6號(hào)引腳和14號(hào)引腳。OBD診斷座一般位于汽車(chē)方向盤(pán)的下面，不同的車(chē)型具體位置可能不一樣，下圖給出的是豐田凱美瑞2011經(jīng)典版OBD診斷座的具體位置：

圖2 豐田凱美瑞2011經(jīng)典版診斷座位置

接下來(lái)我們需要了解ECU和ECU之間的拓?fù)浣Y(jié)構(gòu)。ECU(Electronic Control Unit)電子控制單元，通俗的的說(shuō)，它其實(shí)就是一些用于控制，記錄或者改變汽車(chē)的狀態(tài)的單片機(jī)或者ARM芯片。一般現(xiàn)在汽車(chē)內(nèi)部都會(huì)有十幾個(gè)到幾十個(gè)不等的ECU，不同的ECU掌管不同的模塊，比如，發(fā)動(dòng)機(jī)控制模塊(PCM)會(huì)接受傳感器信號(hào)，通過(guò)復(fù)雜的計(jì)算來(lái)控制燃油的供應(yīng)量，空氣的配給(電子節(jié)氣門(mén))，噴油及點(diǎn)火的時(shí)機(jī)，進(jìn)氣壓力的調(diào)整，還要根據(jù)溫度、負(fù)荷、爆震、燃燒狀況等來(lái)決定發(fā)動(dòng)機(jī)的補(bǔ)償控制系數(shù)。按照功能的不同，我們又可以把ECU分為動(dòng)力，車(chē)身，底盤(pán)，其它等幾大類(lèi)。下表列舉了高配置的2011款經(jīng)典版凱美瑞的一些ECU模塊。

表1 2011款經(jīng)典版凱美瑞的一些ECU模塊

汽車(chē)內(nèi)部除了ECU之外，還會(huì)有大量的傳感器以及執(zhí)行器等部件，通過(guò)它們的協(xié)調(diào)工作共同完成復(fù)雜的智能化操作。那么ECU與ECU，ECU與其它部件又是如何通信的呢?如下圖是汽車(chē)內(nèi)部各個(gè)部件之間的拓?fù)浣Y(jié)構(gòu)

圖3 CANBUS拓?fù)浣Y(jié)構(gòu)

實(shí)際情況比上圖中復(fù)雜的多,不同車(chē)型之間也會(huì)有差別，各部件之間可能還會(huì)出現(xiàn)直接相連接，總體來(lái)說(shuō)原理是差不多的，所有部件平等的連接在CAN總線上。CAN總線具備低成本，總線利用率極高，可靠的容錯(cuò)機(jī)制，高速的傳輸速率等物理特性。它是基于廣播形式的，也就是說(shuō)同一總線上的任何一個(gè)節(jié)點(diǎn)往總線上發(fā)消息，總線上其它的節(jié)點(diǎn)都可以收到該消息，然后根據(jù)消息的頭部來(lái)判斷是否是發(fā)給自己的消息。不同波特率的總線之間通過(guò)網(wǎng)關(guān)來(lái)完成信號(hào)適配。#p#

二 通過(guò)OBD診斷座我們能做什么

我們知道OBD診斷座的設(shè)計(jì)初衷是用于汽車(chē)診斷，它是汽車(chē)ECU與外部進(jìn)行交互的唯一接口，也就是說(shuō)汽車(chē)診斷儀能做的我們都能做，我們先來(lái)看看符合市場(chǎng)要求的診斷儀應(yīng)該具備的功能：

1. 能夠讀取汽車(chē)ECU的信息，比如17位vin碼，ECU的硬件信息等。

2. 能夠讀取汽車(chē)的當(dāng)前狀態(tài)，比如當(dāng)前的車(chē)速，胎壓等等。

3. 能夠讀取汽車(chē)的故障碼，快速定位汽車(chē)的故障位置，并且清除故障碼。

4. 能夠?qū)ζ?chē)進(jìn)行一些預(yù)設(shè)置的動(dòng)作行為測(cè)試。比如車(chē)窗升降等

5. 除上述基本的診斷功能之外，還可能具備刷動(dòng)力，里程表修改，鑰匙匹配，安全氣囊復(fù)位等復(fù)雜的特殊功能。

除此之外，我們知道CAN總線是基于廣播的形式來(lái)發(fā)送消息的，并且消息一旦發(fā)送到CAN總線上，接收到此消息的ECU是無(wú)法確定該消息是從哪個(gè)節(jié)點(diǎn)發(fā)來(lái)的，即消息不包含源地址或者目標(biāo)地址，消息頭部?jī)H僅是個(gè)標(biāo)識(shí)符，ECU僅僅是根據(jù)這個(gè)標(biāo)識(shí)符來(lái)辨認(rèn)是否是發(fā)給自己的。這樣的設(shè)計(jì)缺陷自然就能導(dǎo)致消息偽造和欺騙攻擊。OBD診斷座作為總線上的一個(gè)節(jié)點(diǎn)，不僅能監(jiān)聽(tīng)CAN總線上面的消息，而且還能偽造消息(比如傳感器消息)來(lái)欺騙ECU，從而達(dá)到改變汽車(chē)行為狀態(tài)的目的。

綜合上述的兩種情況，我們可以把CAN總線上的消息分為如下兩種：

1. 診斷儀與汽車(chē)ECU之間通信的消息叫做診斷消息。

2. 汽車(chē)內(nèi)部各部件之間通信的消息叫做內(nèi)部消息。

通過(guò)精心構(gòu)造上面定義的任何一種消息序列發(fā)往總線，惡意攻擊者都有可能改變汽車(chē)的狀態(tài)。

這里可以列舉幾種攻擊以及攻擊帶來(lái)的后果。比如惡意攻擊者可以通過(guò)對(duì)車(chē)身系統(tǒng)發(fā)送消息序列來(lái)解鎖汽車(chē)車(chē)門(mén)和尾箱，從而達(dá)到竊取車(chē)主財(cái)物的目的;再比如攻擊者可通過(guò)構(gòu)造消息序列發(fā)送給OBD診斷座強(qiáng)制讓跑在高速上的車(chē)輛發(fā)動(dòng)機(jī)熄火，從而達(dá)到車(chē)毀人亡的目的。

三 對(duì)車(chē)聯(lián)網(wǎng)的攻擊途徑

OBD車(chē)聯(lián)網(wǎng)產(chǎn)品由云端服務(wù)器、手機(jī)APP、盒子三大基本要素構(gòu)成，攻擊其中的任何一個(gè)要素以及要素之間的通信，都能夠給車(chē)聯(lián)網(wǎng)帶來(lái)毀滅性的打擊。我這里例舉幾點(diǎn)：

1. 入侵云服務(wù)端，篡改服務(wù)端的診斷數(shù)據(jù)邏輯，達(dá)到改變汽車(chē)行為的目的

2. 通過(guò)逆向工程獲知手機(jī)APP和盒子之間的通信邏輯，偽造成車(chē)聯(lián)網(wǎng)產(chǎn)品的手機(jī)APP向盒子發(fā)送惡意的消息序列。

3. 通過(guò)WIFI、藍(lán)牙等通信渠道進(jìn)行攻擊等等。#p#

四 案例演示

這里選擇2011款的豐田凱美瑞經(jīng)典版作為演示對(duì)象，如下圖：

1. 獲取當(dāng)前車(chē)速：http://v.qq.com/page/m/3/m/m0130i9zr3m.html

2. 欺騙汽車(chē)儀表盤(pán):：

詳細(xì)視頻演示：http://v.qq.com/page/r/q/h/r0130lc5fqh.html

3. 欺騙ABS警告燈：

點(diǎn)亮ABS警告燈，讓車(chē)主認(rèn)為防抱死系統(tǒng)有問(wèn)題。

詳細(xì)視頻：http://v.qq.com/page/x/5/i/x0130inc45i.html

4. 殺死發(fā)動(dòng)機(jī)(kill engine)：

向OBD診斷座發(fā)送特定指令后,點(diǎn)燃的發(fā)動(dòng)機(jī)瞬間熄火。

詳細(xì)視頻演示：http://v.qq.com/page/j/j/n/j0130x1x4jn.html

五 總結(jié)

和PC時(shí)代一樣，破壞總是會(huì)伴隨著創(chuàng)造而誕生，它會(huì)稍微落后于創(chuàng)造，但是車(chē)聯(lián)網(wǎng)的安全問(wèn)題遠(yuǎn)遠(yuǎn)比以前要重要很多，因?yàn)樗c人們生命息息相關(guān)!可以想象，當(dāng)汽車(chē)不再孤立，安全問(wèn)題絕對(duì)是最先需要考慮的領(lǐng)域!

未完待續(xù)，敬請(qǐng)關(guān)注。

【附錄】

https://law.resource.org/pub/us/cfr/ibr/005/sae.j1962.2002.pdf

http://en.wikipedia.org/wiki/ISO_14230

http://www.ebn.din.de/sixcms_upload/media/1995/9601556.pdf

【編輯推薦】