1、探 索 软 件 定 义 汽 车 的 安 全 攻 击 面曲乐炜关于我前百度资深安全工程师,曾负责百度AIoT产品安全保障工作,现为某自动驾驶公司安全负责人,负责车路云一体化产品安全保障、企业网络和数据安全防护体系建设工作专注Android生态系统安全研究,在WiFi、蓝牙、内核等方向均有深入研究,累计获得300+CVE漏洞,多次被谷歌、高通、联发科致谢,是紫光展锐在全球发现漏洞最多的研究员Google 2022 Top Bug Hunter BlackHat 2021 Europe,BlackHat 2022 Aisa,BlackHat 2022 USA,KCon 2023,5th AutoCS
2、 2023 演讲者目录背景概述威胁分析典型案例总结建议背景概述整车软件架构演变整车软件架构案例软件定义汽车概念整车软件架构演变传统汽车:分布式电子电器架构,独立的ECU,基于CAN和LIN总线的通信现代汽车:域集中电子电器架构,划分几大域,基于CAN和以太网的通信未来汽车:车云计算,物理上简化线束复杂度,采用基于SOA的软件架构BOSCH EEA发展六阶段整车软件架构案例-特斯拉Model3中央控制器多传感器设置软件定义的驾驶控制系统车载应用生态系统整车软件架构案例-某新势力造车更加丰富的座舱应用生态更加丰富的外部交互大量远程控制功能OTA能力整车软件架构案例传统汽车:只有简单的蓝牙连接手机功
3、能现代汽车:丰富的车载应用引入,更像手机软件定义汽车概念2007年4月份,IEEE 4月份会议首次提出特斯拉的商业模式,硬件为流量入口,软件为收费服务面向服务的设计思想(SOA),分层,解耦,快速迭代,OTA大量的软件开发也引入了安全风险软件定义汽车概念-AAOSAndroid Open Source Project Android Automotive OSFramework层面定制Car相关APISystem Service层面定制Car相关ServiceHAL层面留给OEM自定义实现威胁分析整车威胁分析座舱威胁分析困难与挑战整车威胁分析ISO 21434主导,标准的方法论目的是明确网络安
4、全需求考虑的要素是系统化的防护方案座舱威胁分析APP攻击路径1系统服务调用Native调用ADAS CAN控制AIDLbinderTCP IPTCP IP/NFS攻击路径2困难与挑战实车测试环境缺乏访问控制限制仅支持车机自带应用商店中的应用安装封闭的应用生态ADB、TELNET、SSH等调试口封闭,或设置强密码调试入口封闭针对整车开展独立的安全研究,在经费和限制上挑战巨大大部分车机SELINUX均开启,IPC、文件系统的访问受限困难与挑战-解决思路零部件台架攻防演练+安全众测困难与挑战-解决思路汽车工程模式各地车展小姐姐不是目的,大量的调试车!典型案例案例1:某国产汽车多处漏洞突破案例2:某国
5、产汽车越权控车漏洞案例3:供应链漏洞导致本地提权案例4:USB外设的拒绝服务漏洞案例1:某国产汽车多处漏洞突破QNX+Android架构调试车辆可通过USB安装应用Framework+System APP权限控制存在重大缺陷车内网络访问控制存在重大缺陷案例1:某国产汽车多处漏洞突破问题1:系统服务缺乏权限校验,可导致恶意控车com.living.vehicle.carservice.ICarService缺陷模块Transaction IDFunction1getCarCanSignal(arg8.readString();/获取CAN信号2setCarCanSignal(arg8.readS
6、tring();/发送CAN信号3registerListener(com.living.vehicle.carservice.ICarServiceChangedListener$Stub.asInterface(arg8.readStrongBinder(),arg8.readHashMap(this.getClass().getClassLoader()4unregisterListener5updateListenerAIDL接口接口使用场景案例1:某国产汽车多处漏洞突破问题1:系统服务缺乏权限校验,可导致恶意控车CarSystemServer逆向分析开启车后门命令signal_id:
7、506,body:value1:1车门解锁命令signal_id:616,body:value1:true案例1:某国产汽车多处漏洞突破问题1:系统服务缺乏权限校验,可导致恶意控车POC案例1:某国产汽车多处漏洞突破问题2:系统服务缺乏权限校验,可导致恶意控制TBoxcom.tbox.service.TboxService缺陷模块打开飞行模式拨打电话获取设备IMEI案例1:某国产汽车多处漏洞突破问题2:系统服务缺乏权限校验,可导致恶意控制TBoxPOCsetAirplaneMode to HALHAL to Tbox TCP Socket案例1:某国产汽车多处漏洞突破问题3:车内网络缺乏隔离,
8、可导致恶意控车(绕过IVI 系统服务和应用)案例1:某国产汽车多处漏洞突破问题3:车内网络缺乏隔离,可导致恶意控车(绕过IVI 系统服务和应用)案例1:某国产汽车多处漏洞突破问题4:ICU内存破坏漏洞案例1:某国产汽车多处漏洞突破问题4:ICU内存破坏漏洞Core Dump文件/var/log/cluster_middleware.logCrash log案例2:某国产汽车越权控车漏洞泄露固件包三方应用安装工程模式吊起DevelopmentTools逆向关键模块获取APP权限获取shell权限系统服务AutoDeviceManager系统应用AutoCamera系统配置空调、天窗、后备箱车辆敏
9、感信息读取静默录制视频GPS、VIN、IMEIAPN、ICCID等https:/ Credit:Lewei Qu(曲乐炜)车机受到芯片厂商BSP漏洞模块影响,导致被获取Root权限ju_ipsec_server缺陷模块POC案例4:USB外设的拒绝服务漏洞Android 上游Linux Kernel USB 模块0 Day 漏洞总结建议总结分析了软件定义汽车面临的安全风险,以车机为入口,展示SOA服务存在的设计缺陷,导致恶意车辆控制,车门解锁等风险分析车内网络设计中的缺陷,导致车内其他零部件遭受攻击相关风险组合利用,实车验证,展示风险的危害建议重视车载APP带来的安全风险,警惕Framework、系统应用的未授权接口车内网络需进行隔离和访问控制重视供应链漏洞,例行安全补丁及OTAT h a n k s!T H A N KY O UF O RY O U RW A T C H I N G感谢柯懂湘和闫晗对本议题的贡献