黑客攻击汽车总结篇之漏洞在哪儿（上）

车云按：不久前底通用型汽车被Charlie Miller&Chris Valasek携手补齐的该事件或许打开了两个控制器，通用型、Tesla纷纷Saverdun，还有骇客发现了可以在品牌之间LX1反击的方式。Vaubecourt大会+USENIX安全可靠会议，也公布了两个又两个让车渐微胆跳胆战心惊却还要表现得暗自的安全可靠恶意软件。

随着互联功能、近场通信方式的愈发激增，电动汽车上可被反击的地方也越来越多。要攻陷两辆电动汽车的阵地，能从四方面侧发力？电动汽车生产商和分销商们又该怎么防止侵略呢？在逐一分析完补齐事例之后，下面进入归纳篇。

电动汽车被侵略该事件或许就此结束，但其背后折射出的问题却相比之下没有。

在去年发生的事例中，Model S被Kevin Mahaffey、Marc Rogers揭露恶意软件、长安汽车在360要公开模拟补齐操作过程时候，发声明的内容中，都无一例外的提及了两个相当重要的大前提，那就是力学碰触。即使对电动汽车而言，只有远距且可拷贝的反击才会或者说带来严重威胁。

其原因不言而喻。力学碰触类反击虽然最后造成的危害性大，但实施技术难度却极高，费时，对崇尚收益的或者说骇客们而言，牺牲投资回报比太大。远距反击则灵巧可期，而且被抓个旧有的机率要降低多了。

必须要言明的一点是，这里的力学碰触反击与远距反击是指在反击时采用的方式。在研究恶意软件时，力学碰触是个不可或缺的操作过程，并不能以力学碰触过为来历证明工程车无法被远距反击。

从互互联角度而言，有恶意软件并不可悲，即使截至到目前，还并没有哪两个系统能算是是绝对安全可靠。有恶意软件自然有措施来堵上恶意软件、保护恶意软件，以及如何减少恶意软件的存在。

那么，在去年的事例中，工程车折射出来的恶意软件都有什么样呢？咱么原都事例来看看其元凶。

通用型汽车该事件

在通用型汽车被远距控制该事件之中，Uconnect最后成了按理说的所处，成为了Miller与Valasek接手工程车控制技术的出口处。但导致工程车煞车、传动装置被控制的或者说其原因，并不只是Uconnect两个。这一点，在之前的文章中也有点名：

为了防止骇客通过接入一条非重要网络，进而窜入系统关键网络内部捣乱，一般安全可靠专家会在两条线路之间安装两个「安全可靠隔离网闸」(air gap)。然而在被黑的Jeep切诺基上，控制工程车运行的系统间并没有网闸存在。因此，结合找到的其他几处安全可靠恶意软件，查理和克里斯发现了工程车控制技术和Uconnect系统（支配仪表娱乐单元）之间的联系。一张SIM卡存在的恶意软件，加之骇客的其他反击，将原本理论上才可能出现的远距控制变成了赤裸裸的现实。

可以归纳得出，导致这次该事件的其原因有二：一是Uconnect为无线接入工程车提供了接口，二是在Uconnect信息娱乐系统与工程车控制技术之间没有进行隔离，进入Uconnect之后，就相当于鱼入大海，畅通无阻。

在恶意软件爆出之后，即使无法进行远距更新，通用型汽车无奈只能选择了召回处理。好处在于恶意软件该事件的严重性引起了NHTSA的注意，或许对信息安全可靠标准的更改，有促进作用。

小结：弊端在于信息娱乐系统安防不到位、工程车不同系统之间隔离不到位、无法远距更新修复恶意软件，提供OTA升级、工程车内部控制技术与信息娱乐系统之间设置隔离网关，加强验证方式以及信息娱乐系统本身的安防方式，都是可用的方式。

通用型Onstar及其它有相同恶意软件的车互联服务App

Samy Kamkar用Ownstar盒子打开了4家车企与一家后装厂商的车互联服务App的恶意软件所处。原理我们已经清楚，Ownstar会扫描手机曾经连接过的WiFi网络并伪装成其中两个，一旦手机连接上此WiFi网络，就可以读取到App的验证信息，并借着验证信息使用车互联服务APP所提供的所有功能，锁车解锁、工程车定位、远距启动等等。

在这个操作过程中，恶意软件点在于：

这与之前车云菌亲眼目睹的360补齐电动汽车该事件可以归属于同一事例，同样是验证方式的缺乏。至于这个方式能破获更多云服务权限，乃至让云端命令优先级大于本地服务，Kamkar并没有试，俺们也不得而知。

与通用型汽车该事件的不同点在于，App提供的不仅仅是出口处。即使服务内容的其原因，App本身就可以与工程车的部分控制技术进行通信并获取控制权限，所以一旦App在权限设置、验证方式上出现问题，这些控制权限就是白送的。

这个问题还可以进行扩展，比如现在已经开始有工程车支持从智能手表进行基础功能的远距控制。

小结：这些车互联服务本身并没有问题，确实给消费者带来了方便，不能因噎废食就此解除服务，所以关键在于加强App的安防措施：加密方式的加强、增加验证方式如短信验证以及严格的权限设置。

用OBD控制雪佛兰科尔维特

与通用型汽车该事件相同，在这起事例中，犯人有两个，两个是Mobile Devices的OBD设备，两个是科尔维特的工程车CAN总线。

Mobile Devices的OBD问题一是开发者模式与使用同样的密钥让骇客们可以轻松获取最高权限，二是通过短信方式下发指令，短信不用经过任何验证的方式给骇客大开方便之门。不过解决方式也并没有那么难，都可以通过OTA完成更新，两个是更改权限设置，二则是增加短信控制的白名单，只能经由指定的手机号发送命令才能生效。

小结：从根本上而言，OBD所存在的恶意软件与通用型汽车的Uconnect性质十分类似，即使它们的可以互联且存在安防恶意软件，给了骇客可乘之机，但根源同样在于CAN总线的安全可靠策略设置之上，对工程车控制功能没有增加验证的关卡，才得以让骇客长驱直入。

无线钥匙解锁车门

RollJam破车门而入的方式我们都知道了，通过监听并存储无线钥匙用来解锁的密码，就可以将其用来开门。

在360的Hackpwn上，车云菌咨询过关于Samy Kamkar关于解锁与锁闭车门所使用密码不同如何处理的问题。Kamkar的解释是，有些工程车使用的是同样的密码，只不过有不同的命令，让电动汽车知道是解锁还是锁闭，而有的工程车则是分别使用了不同的密码。RollJam可以识别出密码与对应的命令，只会存储用于解锁的密码。而且，存储密码的数量是可以自由设定的，可以存储1个，也可以存储4个。

这一恶意软件最后被Samy Kamkar归结到了芯片问题。即使在他使用RollJam反击凯迪拉克新款电动汽车没有成功，就是在于这款电动汽车使用的Keelop芯片上有一种密钥系统，给密钥设定了两个很短的有效期，时间一过，密钥即会时效，便可以阻挡这类窃听存储密码式的反击。

小结：设置密码的时效性，让人拿到了密码也无计可施。

电动汽车点火防盗系统

与无线钥匙解锁不同，点火防盗系统的问题在于密码组成被破译，而且这个密码的设置方式，让人能轻松对密码的内容进行读写操作。

这个除了更换新的密码协议，就没有别的办法了。好消息是在新款车型中，越来越多的用到了无钥匙启动的方式。当然，无钥匙启动也有无钥匙启动的恶意软件需要注意了。

车云小结：

从以上这些事例中，可以看出电动汽车能被反击的点在于：一是出口处，二是内部安全可靠策略。OBD、Uconnect、或者App本身都只是提供了两个出口处而已。出口处本身安全可靠措施不足、开放的权限太大给了骇客们机会，而工程车内部安全可靠策略的设置则是根本所处，也是需要车渐微花费心思去考虑的。

但你以为工程车可被远距控制的出口处只有这些而已么，那就too young too simple啦。至于其他方式么，咱们下回接着说。