2017智能网联汽车信息安全年度报告.pdf

2017 智能网联汽车信息安全年度报告 1 目录 综述 . 1 1. 智能网联汽车标准规范动态 . 3 国外标准动态 . 3 国内标准分析 . 6 2. 智能汽车漏洞分析 . 9 汽车 CVE 漏洞分析 . 9 汽车漏洞平台 . 13 3. 2017 年智能汽车破解案例分析 . 14 斯巴鲁汽车破解案例分析 . 14 马自达车机娱乐系统破解案例分析 . 17 特斯拉汽车车联网系统攻击案例分析 . 20 利用海豚音攻击破解语音控 制系统开启天窗分析 . 27 4. 2018 年智能网联汽车信息安全建设建议 . 28 5. 附录 . 29 360 智能网联汽车安全实验室 . 29 参考文献 . 30 2017 智能网联汽车信息安全年度报告 2 综述 随着互联网、人工智能、云计算和大数据等技术的应用，汽车已经不再像以前一样仅仅被人们当成是交通工具，如今汽车正慢慢走进人们的生活，成为生活的一部分。人们对汽车与各个设备之间信息互通的要求越来越高。车内设备不仅要与手机等智能设备连接，同时还需要方便地接入互联网，与交通管理系统、周边其他车辆进行信息共享，即车联网。所谓车联网（ Internet of Vehicle，简称 IOV）是物联网在汽车行业领域的具体应用，车联网将物联网的范围限定到车与路、车与人、车与车以及车与传感设备上，各个车辆通过车载互联网设备经由无线 网络、无线电等传播技术来实现车辆间、车辆与数据平台间的实时通信，汇总车辆的行驶信息、车辆周边的道路状况等动、静态信息，并将这些信息通过无线网络传输到信息中心进行加工、筛选、计算，再使用这些信息为车辆提供有效的引导、路况、信息共享、多媒体等综合网络服务，以满足车辆不同的功能需求；另一方面，监管部门也可以对车辆进行有效的监管。 车联网与智能网联汽车紧密相关，互为支撑。智能网联汽车与车联网、智能交通系统之间有紧密的相关性，是智能交通系统中与车联网交集的汽车产品，智能网联汽车是车联网不可或缺的组成部分，智能网联汽车 的技术进步和产业发展也有利于支撑车联网的发展，而车联网是智能动态信息服务和车辆智能化控制的重要手段，可服务于汽车智能制造、电商销售后市场等环节，车联网发展将大幅提升汽车安全和交通安全，促进绿色发展，带动信息消费，对汽车、信息通信和交通运输等多个行业生产方式和产业分工产生深远的影响。 汽车信息安全作为汽车发展的重中之重，在一开始就受到了电信行业、汽车行业、汽车电子设备行业以及互联网服务商的重视。现代车辆由许多互联的、基于软件的 IT 部件组成，为了避免安全问题，需要进行非常细致的测试。例如，刹车突然停止工作。然而 ，在汽车领域系统性的安全测试发现潜在的安全威胁并不是一个常规的流程。汽车中使用的智能联网系统沿袭了既有的计算和联网架构，所以也继承了这些系统天然的安全缺陷。随着汽车中 ECU 和连接的增加，也大大增加了黑客对汽车的攻击面，尤其是汽车通过通信网络接入互联网连接到云端之后，每个计算、控制和传感单元，每个连接路径都有可能因存在安全漏洞而被黑客利用，从而实现对汽车的攻击和控制。汽车作为公共交通系统的重要组成部分，一旦被黑客控制，不仅会造成驾驶者的个人信息和隐私被泄露，还会直接带来人身伤害和财产损失，同时还会导致品牌和声 誉受损，甚至上升成为危及国家安全的社会问题。 本报告从智能网联汽车 信息安全 规范 、智能汽车 CVE 漏洞 分析和智能汽车破解案例分析三个角度阐述了 2017 年智能网联汽车信息安全 的 发展历程，并结合 2017 年我们在汽车厂商的项目实施经验 提出 智能网联汽车信息安全建设建议 。 2017 智能网联汽车信息安全年度报告 3 1. 智能网联汽车标准规范动态 智能网联汽车信息安全已成为国际标准组织关注的主要问题之一，在国际标准组织中 3GPP 对 V2X 的技术有建立了信息安全技术要求，以保障通信层面的安全。一直致力于汽车安全标准的 SAE 与 ISO 形成了联合工作组，在 ISO/SAE TC22中起草了 ISO 21434 国际标准，该标准将于 2019 年完成，主要约束了汽车信息安全工程能力的建设。在 ITU-T SG17组中目前已经有一项 智能交通系统通信设备的安全软件更新功能 标准已经发布，剩下有新的标准正在立项。 国外标准 动态 ISO/SAE TC22 ISO/TC22 道路车辆技术委员会成立 ISO/TC22/SC32/WG11 Cybersecurity 信息安全工作组，开展信息安全国际标准的制定工作。其运行方式以由美国 SAE 和ISO 联合成立工作组的方式即ISO/SAE/JWG Automotive Security 运行。 Figure 1 Cybersecurity Project Groups 目前 ISO/SAE 在进行 21434（道路车辆 -信息安全工程）标准的制定，该标准主要从风险评估管理、产品开发、运行 /维护、流程审核等四个方面来保障汽车信息安全工程工作的开展。目标是通过该标准设计、生产、测试的产品是具备一定信息安全防护能力的。 Figure 2 Cybersecurity Overall Schedule 该标准的进度是根据已经完成 20%，目标是在 2019 年 10 月份正式发布，目前中国代表团也积极参与此项标准的制定，国内几家汽车信息安全企业、整车场，也参与了 该标准的讨论。 2017 智能网联汽车信息安全年度报告 4 SAE SAE（国际自动机工程师学会）成立于 1905 年，是一个技术性学会，在全球拥有超过 145,000 名会员，包括航空航天、汽车和商用车辆行业的工程师和相关技术专家。其中， SAE 的全球车辆标准工作组（ Global Ground Vehicle Standards group）所属汽车电子系统安全委员会（ Vehicle Electrical System Security Committee）负责汽车电子系统网络安全方面的标准化工作 ， 作为第一个关于汽车电子系统网络安全的指南性文件， J3061 对汽车电子系统的网络安全生命周期具有重要的应用意义，为开发具有网络安全要求的汽车电子系统提供了重要的过程依据。 J3061-1 Automotive Cybersecurity Integrity Levels 审查其他行业的现有分类方案和 SAE 提出的或可能正在其他组织中提出或使用的现有想法。 确定使用现有方案或根据现有或提议的方法或想法（整合或合并思路）为汽车行业创建新的分类方案。 威胁分析和风险评估方法，可以与分类方案一起使用，或者我们可以在网络安全完整性分类方案中将其映射到特定级别 a。 这将需要审查现有的 TARA 方法并确定一个或一个定制的版本确定如何将 ACSIL 与安全相关的威胁与 ISO 26262 中的 ASIL 相关联。 J3061-2 Security Testing Methods 该文件是定义该主题的初始框架。 该文件用作与软件和硬件测试相关的安全测试方法的详细分类， 并集中于发布时可用的 测试 模型。 J3061-3 Security Testing Tools 本文档是安全相关工具及其功能制造商的内部列表。 这份清单并不是作为任何制造商的认可，而是市场上存在的例子和能力的清单。 J3101 Requirements for Hardware-Protected Security for Ground Vehicle Applications 为地面车辆的硬件定义一套通用的安全要求，以促进安全性增强的应用程序，提出对实现地面车辆应用硬件保护理想系统所需功能的期望，包括示例，但未明确详细说明实施要求。 J3138 Guidance for Securing the Data Link Connector (DLC) 车载诊断（ OBD）法规要求轿车以及轻型和中型卡车提供数据链路连接器，以支持将诊断信息传送到车外设备。 诊断信息也需要及时传达给离线设备。 许多汽车制造商还通过该连接器提供增强型诊断信息和车辆系统 /子系统。 2017 智能网联汽车信息安全年度报告 5 3GPP 3GPP SA3 正在进行 LTE-V2X 安全的研究和标准制定工作。相关规范 TR 33.885 和 TS 33.185 预计将在 17 年 6 月完成标准制定。 3GPP TR 33.885 , 研究车载对一切（ V2X）服务（版本 14）的 LTE 支持的安全问题，其中包含对 V2X 服务的安全方面的研究以及对支持此类服务所需的可能技术解决方案的评估。 3GPP TR 33.185, 技术规范组服务和系统方面 ;汽车到一切（ V2X）服务的 LTE支持的安全方面。 本文档详细说明了 LTE 中 V2X 功能的安全性，包括安全体系结构，用于支持 V2X 服务的网络实体的安全要求，以及为满足这些要求而提供的程序和解决方案。 ITU-T ITU-T 的通信安全研究与标准制定工作很早就已经开展。但是在 2000 年以前，网络与信息安全并没有独立出来单独作为一个项目组来研究，而是在其它标准制定过程去发现有必要做相关安全标准时才开展相关工作，相对来说网络与信息安全比较零散，并没有整体性的工作。为了适应日益严重的通信安全形势， ITU-T 成立了专门的 SG17 来主要负责通信安全研究与标准制定工作。 在 ITU-T SG17 工作组 已经建立新的小组 Q13， 对智能交通，以及联网汽车安全的研究工作。目前已经 正式发布的标准有 X.1373，正在制订中的有 7 个。 目前正在 SG17 Q13 组内 的标准有： X.1373 该 标准通过适当的安全控制措施，为远程更新服务器和车辆之间的提供软件安全的更新方案，并且定义了安全更新的流程和内容建议。 X.itssec-2 该标准为 V2X 通信系统提供安全指导。 V2X 是本建议书中V2V（车辆到车辆）， V2I（车辆到基础设施）和 V2ND（车辆到漫游设备）和 V2P（车辆到行人）通信模式的通用术语。 X.itssec-3 该标准 定义 了 包括 车载诊断 II（ OBD-II）端口连接等接入设备的 安全要求，并且做了相应的威胁分析 。 X.itssec-4 该标准主要集中在车载网络上的内部通信作为 CAN 通用 IDS无法支持的部分，以保证利用各种高效光源来检测影响 ECU通信的威胁 重量检测模型，如基于签名的模型，基于熵的模型，基于自相似性的模型，基于危害的模型，本建议书将考虑使用 IDS 来保护连接的车辆。 X.itssec-5 该标准车辆边缘计算提供安全指导。 它涵盖了车辆边缘计算的威胁分析，安全要求和使用案例。 X.mdcv 该标准为联网汽车提供了安全相关的异常行为的检测机制，定义了所需的数据类型和整套检测机制的步骤 。 X.srcd 该标准提出了针对于 V2X 通讯数据保护的安全要求 ， 并且定义了数据的安全等级 。 X.stcv 该标准定义了联网汽车相关的安全威胁，并提出了相应的分析 。 2017 智能网联汽车信息安全年度报告 6 国内标准分析 我 国 汽车信息安全标准 服务体 系 的建设。在国家相关部委的组织和指导下，全国汽车标准化技术委员会 （ TC114）在 2017 年底发布了 国家车联网产业标准体系 列出了多项汽车信息安全相关标准。 中国通信标准化协会 （ CCSA）、 全国信息技术安全标准化技术委员会 （ TC260） 、车载信息服务产业应用联盟 （ TIAA） 、中国智能网联汽车产业创新联盟 （ CAICV） 等国内相关标准化机构、汽车产业联盟自 2016 年下半年开始，纷纷启动开展了车联网 、智能网联汽车相关 标准体系的建设 工作，截至目前已经取得阶段性成果。 TC114 全国汽车标准化技术委员会（简称汽标委）下属的智能网联汽车分技术委员会（编号为 SAC/TC114/SC34）负责归口管理我国智能网联汽车领域的国家标准和行业标准，并成立了先进驾驶辅助系统（ ADAS）标准工作组、信息安全、自动驾驶等工作组。汽标委于 2016 年推出了智能网联汽车标准体系建设方案（第1 版），明确了智能网联汽车标准体系建设的目标和原则，对智能网联汽车标准体系框架进行了分析和研究，并积极推进后续标准法规方面的各项事宜。信息安全标准体系（ 204）作为该方案的重要组成部分，支撑着整个智能网联汽车标准体系 的整体架构。 2017 年汽标委已组织两次汽车信息安全工作组会议，目前对 智能网联汽车标准体系建设方案 中汽车信息安全标准建设已经进入讨论阶段。 主要立项标准有：汽车信息安全通用技术要求、汽车网关信息安全技术要求、车载信息交互系统 TBOX 信息安全技术要求、电动汽车远程信息服务于关系统信息安全技术要求、电动汽车充电系统信息安全技术要求主要围绕基于智能网联汽车云、管、端、充电服务等信息安全攻击面，通过汽车信息安全通用技术要求建立智能网联汽车分级体系做为整体框架，根据安全防护要求进行分级别防护应 用的标准措施，目前每个标准都处于编写和立项阶段。 # 标准名 进度 204-1 汽车信息安全通用技术要求 预研中 204-2 汽车信息安全风险评估指南 预研中 204-3 汽车数据保护安全和隐私保护通用要求 预研中 204-4 车载操作系统及应用软件安全防护要求 预研中 204-5 汽车信息安全通用测试与评价方法 预研中 204-6 汽车信息感知设备安全技术要求 预研中 204-7 车载 ECU 信息安全技术要求 预研中 204-8 车载总线系统信息安全技术要求 预研中 204-9 汽车网关信息安全技术要求 已申请立项 204-10 车载信息交互系统（ TBOX） 信息安全技术要求 已申请立项 204-11 车载诊断接口（ OBD） 信息安全技术要求 预研中 204-12 驾驶员身份认证系统技术要求 预研中 204-13 汽车软件升级信息安全防护规范 预研中 204-14 电动汽车远程信息服务与管理系统信息安全技术要求 已申请立项 204-15 电动汽车充电系统信息安全技术要求 已申请立项 204-16 汽车信息安全漏洞应急响应指南 预研中 Table 1 204 相关标准及进度2017 智能网联汽车信息安全年度报告 7 TC260 全国信息技术安全标准化技术委员会（信安标委）是国家标准化管理委员会的直属标准委员会，成立于 2002 年，编号为SAC/TC260，负责全国信息安全技术、安全机制、安全服务、安全管理、安全评估等领域标准化工作，并负责统一协调申报信息安全国家标准年度计划项目，组织国家标准的送审、报批工作。 2017 年 7 月，信安标委立项首个关于汽车电子系统网络安全的国家标准项目信息安全技术 汽车电子系统网络安全指南。汽车电子系统作为集电控技术、信息技术、网络技术和汽车技术于一体的复杂系统，汽车网络安全在根本上取决于汽车电子系统的网络安全防护能力。 目前在信安标委立项的与汽车信息安全相关标准有：信息安全技术 车载网络设备信息安全技术要求、信息安全技术 车载终端安全技术要求、信息安全技术 汽车电子信息安全检测技术要求及测试评价方法、智能网联汽车网络安全风险评估指南、信息安全技术 汽车电子系统网络 安全指南，信安标委着手于汽车电子系统本身，建立了风险评估体系及网络安全指南，保障了汽车电子的网络安全标准有效落地。 CCSA 中 国 通 信 标 准 化 协 会 ( 英 文 译 名 为 ： China Communications Standards Association，缩写为： CCSA) TC8 的研究领域包括：面向公众服务的互联网的网络与信息安全标准，电信网与互联网结合中的网络与信息安全标准，特殊通信领域中的网络与信息安全标准。技术工作委员会下设四个工作组，即有线网络安全工作组（ WG1）、无线网络安全工作组（ WG2）、安全管理工作组（ WG3）、安全基础工作组（ WG4）。 国内 CCSA TC8 WG2 已经完成了车路协同系统的安全研究和 LTE-V2X 安全研究的研究， CCSA TC5 WG3 已经开展了基于公众 LTE 网络的车联网无线通信系统总体技术要求的行 业 标 准 制定。 CCSA TC8 WG2 提出适用于 LTE-V2X 的车联网通信安全总体技术要求。 CCSA 已完成立项的标准： 基于移动互联网的汽车用户数据应用与保护技术要求 本标准主要规定互联网汽车数据在收集、存储、传输、使用、共享、交易、披露、出境及销毁等环节中应遵循的安全保护要求，建立相应的 安全管理体系和技术防护措施。 基于移动互联网的汽车用户数据应用与保护评估方法 本标准主要评估互联网汽车服务提供商在数据收集、存储、传输、使用、共享、交易、披露、出境及销毁等环节中的安全保护能力，可为第三方机构开展评估或企业自评估提供指导。 CCSA 已开展的 行业标准项目： TC1 WG2 相关项目 1) 基于公众通信网络的汽车信息化业务技术要求 （ 从业务功能、管理功能、计费原则和营业流程方面进行技术要求 ） 2) 基于公众通信网络的汽车信息化服务支撑平台总体要求 3) 基于公众通信网络的汽车信息化服务支撑平台与车载终端的接口技术要求 4) 基于公众通信网络的汽车信息化业务支撑平台与汽车厂商业务平台的接口技术要求 （集中在汽车信息化服务的支撑平台相关要求） TC10 WG2 相关项目 1) 泛在物联应用汽车信息化业务需求和总体框架 （从业务的功能角度进行分类和需求分析） 2) 车载终端与智能手机互联技术研究报告 （局限于车内网络互联） 3) 泛在物联应用智能交通系统技术要求 （讨论基于通信网及信息服务的道路交通的智能交通系统系统，定义总体框架和技术要求，和车载信息服务不同点是，智能交通侧重交通管理方面的服务） 2017 智能网联汽车信息安全年度报告 8 TC10 WG4 相关项目 1) 车联网总体技术要求 （集中在车联网相关实体的功能和技术要求，没有从网络组网和通信协议的角度介绍） 2) 基于公众电信网 汽车网关技术要求 3) 基于公众电信网 汽车网关测试方法 （关注汽车网关实体的技术要求） 4) 汽车通信业务运营平台与汽车间通信的安全技术研究 （关注汽车通信安全技术） 5) 已开展的 TC10 WG3 的相关项目： 6) 基于公众移动通信网的协作式智能交通 网络技术需求研究（研究以 LTE 为主的公众移动通信网支撑协作式智能交通的技术需求，集中在车车、车路、车与行人通信的短距离应用场景。主要是 eMBMS 和 LTE D2D 技术） TC5 WG3 相关项目 1) 基于 TD-LTE 的车辆安全短程通信技术研究 （关注汽车通信安全技术） 2) 应用于智能交通系统的无线接入技术研究 （关注智能交通领域的无线接入技术，进行性能评估，而不是从全网络角度以及车载信息服务角度去研究） 2017 智能网联汽车信息安全年度报告 9 2. 智能汽车漏洞分析 2017 年是车联网增长快速的一年，在车厂大量制造互联网汽车以及车联网发展的同时并未考虑相关安全防护建设，2017 年我们通过大量的车厂的测试项目了解到了一车智能互联网汽车其实存在很多的漏洞，通过车联网的漏洞可以用户带来的很大的财产安全风险，其中漏洞涉及到 TSP 平台、 APP 应用、 Telematics(T-BOX)上网系统、车机 IVI 系统、 CAN-BUS车内总线等相关安全威胁风险。 汽车 CVE 漏洞 分析 2017 年汽车 安全爆出了很多 关于 汽车被攻击的 CVE 漏洞 ，我们 针对 2017 年关于 汽车相关安全漏洞进行 一些 分析，具体分析如下： TCU 漏洞 TCU/T-Box 其实是一种调制解调器，现在的汽车普遍用它来传输数据。利用这个模块汽车之间可以互相通讯，还可以用 web 控制台和手机 app 来远程控制手机。 CVE-2017-9647-TCU 漏洞影响的是 S-Gold 2 (PMB 8876)蜂窝基带芯片，其中一个漏洞是 TCU 中处理 AT 命令的组件存在缓冲区溢出漏洞（漏洞编号 CVE-2017-9647），这些命令包括 AT+STKPROF, AT+XAPP, AT+XLOG 和 AT+FNS，这些命令中有很多是苹果在 2015 年修复的 iPhone 漏洞。不过要执行这个攻击，攻击者需要对汽车有物理权限。 CVE-2017-9633-TCU 此漏洞则是攻击者可以利用 TMSI（临时移动用户识别码）来入侵并且控制内存（漏洞编号 CVE-2017-9633），这个漏洞可以被远程利用。该 漏洞同时也可以对汽车 进行 远程 攻击 。想要远程利用漏洞未必需要 2G 网络。只需要购买开源的 2G基站：“如果攻击者自己设立恶意基站（伪基站）， TCU 就会去连接基站，这就可以触发 TMSI 漏洞。只要 TCU 开着并且在寻找信号就会被黑。 Figure 3 CVE-2017-9647 漏洞描述 Figure 4 CVE-2017-9633 漏洞描述