汽車各種被黑事件還沒完，這次又是OBD

黑帽大會連著USENIX安全會議，汽車制造商與相關(guān)的供應(yīng)商們也跟著揪了一把心——汽車被破解入侵事件接連不斷。繼克萊斯克被召回、通用Onstar安全漏洞、特斯拉破解攻防戰(zhàn)之后，在這周召開的USENIX安全會議上，來自加州大學(xué)圣地亞哥校區(qū)(University of California at San Diego，下稱UCSD)的一個研究團(tuán)隊，又公布了他們的一個最新研究案例：以OBD為入口入侵汽車，這一次跟著一起躺槍的是依然是歸屬于通用的一個品牌——科爾維特。

UCSD的入侵情況

先看看這次UCSD研究團(tuán)隊是怎么入侵的。

他們研究的OBD裝置是被一家名為Metromile的創(chuàng)業(yè)公司提供給用戶的產(chǎn)品。關(guān)于這家創(chuàng)業(yè)公司車云菌此前有過分享，模式為利用OBD監(jiān)控駕駛行為的 UBI車險，根據(jù)車輛的駕駛里程來收保險費。他們提供給用戶的OBD生產(chǎn)方是一家法國設(shè)備制造商，名為Mobile Devices。

研究團(tuán)隊利用這款OBD設(shè)備，入侵了一輛2013年款的科爾維特，而這個入侵方式相比那些要拿個電腦出來的，就簡單多了。在入侵過程中，研究員只用到了一款手機(jī)，而控制方式則是發(fā)送短信，短信內(nèi)包含控制命令。通過這種方式，UCSD的研究員成功實現(xiàn)了打開與關(guān)閉車輛的雨刷器、控制車輛剎車以及讓剎車失靈。短信是從手機(jī)發(fā)送到OBD所使用的SIM卡卡號上，這塊SIM卡接受了控制命令之后，再通過OBD端口傳送到車輛的CAN總線上，實現(xiàn)以上功能的控制。

當(dāng)然，好消息是，在演示視頻中研究員們也表示，控制剎車的方式受到了事先設(shè)定在行車電腦中的速度上限的限定，因而只能在低速下發(fā)揮作用，也就表示了這種入侵并不會帶來安全上的隱患。

在發(fā)現(xiàn)設(shè)備的弊端之后，UCSD團(tuán)隊在今年六月份聯(lián)系了Metromile，告知了其產(chǎn)品存在的缺陷。Metromile則是與供貨商Mobile Devices聯(lián)系，由Mobile Devices提供了一個安全補丁，Metromile通過OTA方式對設(shè)備進(jìn)行了更新。

但是問題又來了，更新之后，團(tuán)隊依然通過搜索工具Shodan(可以搜索到指定類型的硬件設(shè)備)搜索到了屬于Metromile的，以及其他一些來自 Mobile Devices的設(shè)備。這些設(shè)備大部分位于西班牙。盡管Mobile Devices并沒有回應(yīng)連線雜志對此的詢問，但是連線雜志根據(jù)設(shè)備所在地以及Moblie Devices的合作關(guān)系猜測，這些設(shè)備是來自于Mobile Devices在西班牙的合作伙伴Coordina(一家車隊管理公司)。

Coordina并沒有對此做出解釋，反倒是其管理方案提供商TomTom Telematics發(fā)布了一份公告。公告中提到UCSD的攻擊只有在舊版本的設(shè)備上才會生效，而他們所使用的舊版本設(shè)備數(shù)量并不多并正在逐步替換掉。 TomTom Telematics的總經(jīng)理Thomas Schmidt表示，他們使用的設(shè)備中SIM卡號并非是公開的號碼，因此并不能從普通手機(jī)上直接發(fā)送短信。

不過，研究團(tuán)隊的回復(fù)是，號碼不公開并不是什么大事，曾經(jīng)就通過暴力破解的方式直接發(fā)送了短信控制命令，完全不需要知道具體的SIM卡卡號是多少。盡管這種方式他們還沒有在Coordina的設(shè)備上進(jìn)行測試，不知道是否能夠生效，但很明顯，利用OBD漏洞入侵車輛，這事兒還沒完。

這次入侵表現(xiàn)出來的安全問題

利用OBD入侵車輛的事件并非首例。最早在汽車還沒有聯(lián)網(wǎng)的時候，通過物理接觸的方式去破解汽車內(nèi)部協(xié)議，大多都是車上的OBD端口。所以，在有OBD設(shè)備之后，尤其OBD設(shè)備大多都有互聯(lián)模塊，能夠通過各種方式與其連接，被盯上實在是件順理成章的事情。

在安全會議上公布這項案例之后，美國連線雜志對UCSD的團(tuán)隊進(jìn)行了采訪。根據(jù)連線的報道內(nèi)容，團(tuán)隊中的計算機(jī)安全教授Stefan Savage表示，在研究Mobile Devices的設(shè)備之后，對其進(jìn)行了反編程，發(fā)現(xiàn)其整體上就缺乏安防措施，而最大的兩個隱患表現(xiàn)在兩個方面：

1. OBD設(shè)備有一個開發(fā)者模式，允許任何從網(wǎng)絡(luò)上發(fā)現(xiàn)此設(shè)備的人能夠通過SSH(從電腦進(jìn)行遠(yuǎn)程控制的公共協(xié)議)的方式遠(yuǎn)程接入。所有的OBD設(shè)備使用同一個私鑰，因而黑客們可以在任一設(shè)備上很快獲得root權(quán)限(系統(tǒng)最高權(quán)限)。

2. OBD可以通過短信的方式接受指令。短信不需要經(jīng)過任何驗證，可以通過手機(jī)發(fā)送指令直接更改OBD的固件設(shè)置，向汽車CAN總線發(fā)布命令。

UCSD研究人員表示利用這兩個bug，他們能夠劫持任何車型的轉(zhuǎn)向與剎車系統(tǒng)，而并不是只針對Corvette這一個品牌。

如果只是看到這里，似乎得到的結(jié)論就是，一塊不注重安防手段的OBD設(shè)備，能夠毀了一款車的安防系統(tǒng)。

但事實上，卻并沒有這么嚴(yán)重。曾經(jīng)在360的安全團(tuán)隊破解特斯拉Model S的時候，車云菌就此問題進(jìn)行過分析，現(xiàn)如今車云菌的觀點依舊如此：OBD提供的只是黑客入侵車輛的一個入口功能，但是真正地操控汽車，獲得車輛核心功能(轉(zhuǎn)向、制動、啟動等)還是需要破解車輛的內(nèi)部協(xié)議才行，而并非接入一塊OBD設(shè)備所能夠做到的。

那么UCSD團(tuán)隊是如何控制這輛科爾維特的呢?

首先是Mobile Devices的OBD設(shè)備。車云菌從國內(nèi)一名測試過這塊設(shè)備的軟件工程師處了解到，Mobile Devices的OBD上使用的是Linux系統(tǒng)，他們家的OBD設(shè)備相當(dāng)于手機(jī)里的iPhone，功能多、相對來說智能。但是Linux是黑客們非常熟悉的OS，所以一旦有什么漏洞，都能夠很容易被發(fā)現(xiàn)。這款OBD上的權(quán)限問題就是因為其設(shè)置不當(dāng)而被發(fā)現(xiàn)的。

另外一個漏洞來自于短信方式控制的弊端。通過短信方式進(jìn)行配置有一個最大的好處是簡單方便，并且穩(wěn)定性高，保證達(dá)到。尤其車輛在高速行駛，或者網(wǎng)絡(luò)基站布置不夠的時候，網(wǎng)絡(luò)連接會很不穩(wěn)定。但是弊端就在于太不安全，不需要進(jìn)行任何驗證，只要知道配置的命令就可以了，而Mobile Devices的開發(fā)文檔，在其網(wǎng)站上是公開的。如果能夠采用HTTPS的網(wǎng)絡(luò)方式，破解起來就要難得多了。

然后就是車企了。對于這次案例，雪佛蘭并沒有進(jìn)行回應(yīng)。但是從UCSD可以控制的內(nèi)容上來看，雖然控制了剎車，但是受限于ECU的設(shè)置，只能在低速下接管，這個速度，有國外媒體報道是5km/h。至于雨刷器，這在CAN總線上只是一個開關(guān)功能，相對容易破解。而關(guān)于剎車傳動這類核心功能，其底層控制并沒有被放在CAN總線上，所以，這次的入侵，也只停留在了表面，內(nèi)部安防線并沒能被長驅(qū)直入。[!--empirenews.page--]

在UCSD研究員提到這個攻擊并非只針對科爾維特的時候，提到的車型是豐田普銳斯和福特翼虎。而這兩款車型，在2年前被Charlie Miller與Chris Valasek的組合破解之后，其車輛內(nèi)部協(xié)議就可以在網(wǎng)上直接找到了，所以他們才說，“這些車型是有現(xiàn)成的攻擊方式可以用的”。

車云小結(jié)

可以得到的結(jié)論依然是類似的，OBD設(shè)備確實本身并不安全，給黑客們提供了一些漏洞，但是好在，真正攻擊到車輛內(nèi)部，僅僅有OBD，還是不成的。不過值得注意的是短信通訊。這種方式并非僅僅在OBD中使用，在相當(dāng)一部分車載系統(tǒng)中，也同樣采用了這種方式。

值得欣慰的是，豐田普銳斯和福特翼虎的協(xié)議雖然已經(jīng)被公開，但是這兩年來，還并沒有發(fā)生相關(guān)的安全事件。這也回到一個老觀點，目前的車輛對于真正的黑客來說，還沒有產(chǎn)生足夠的吸引力。但是隨著OBD設(shè)備從民用車到官方用車(白宮在今年三月份表示要給車隊裝上OBD以提到車輛使用效率)，隨著人們在車載系統(tǒng)中留下的隱私數(shù)據(jù)與錢逐漸掛鉤，對于這個特殊人群來說，才有了真正的需求。