11曲樂煒-探索軟件定義汽車的安全攻擊面.pdf

1、探 索 軟 件 定 義 汽 車 的 安 全 攻 擊 面曲樂煒關于我前百度資深安全工程師，曾負責百度AIoT產品安全保障工作，現為某自動駕駛公司安全負責人，負責車路云一體化產品安全保障、企業網絡和數據安全防護體系建設工作專注Android生態系統安全研究，在WiFi、藍牙、內核等方向均有深入研究，累計獲得300+CVE漏洞，多次被谷歌、高通、聯發科致謝，是紫光展銳在全球發現漏洞最多的研究員Google 2022 Top Bug Hunter BlackHat 2021 Europe，BlackHat 2022 Aisa，BlackHat 2022 USA，KCon 2023，5th AutoCS

2、 2023 演講者目錄背景概述威脅分析典型案例總結建議背景概述整車軟件架構演變整車軟件架構案例軟件定義汽車概念整車軟件架構演變傳統汽車：分布式電子電器架構，獨立的ECU，基于CAN和LIN總線的通信現代汽車：域集中電子電器架構，劃分幾大域，基于CAN和以太網的通信未來汽車：車云計算，物理上簡化線束復雜度，采用基于SOA的軟件架構BOSCH EEA發展六階段整車軟件架構案例-特斯拉Model3中央控制器多傳感器設置軟件定義的駕駛控制系統車載應用生態系統整車軟件架構案例-某新勢力造車更加豐富的座艙應用生態更加豐富的外部交互大量遠程控制功能OTA能力整車軟件架構案例傳統汽車：只有簡單的藍牙連接手機功

3、能現代汽車：豐富的車載應用引入，更像手機軟件定義汽車概念2007年4月份，IEEE 4月份會議首次提出特斯拉的商業模式，硬件為流量入口，軟件為收費服務面向服務的設計思想(SOA)，分層，解耦，快速迭代，OTA大量的軟件開發也引入了安全風險軟件定義汽車概念-AAOSAndroid Open Source Project Android Automotive OSFramework層面定制Car相關APISystem Service層面定制Car相關ServiceHAL層面留給OEM自定義實現威脅分析整車威脅分析座艙威脅分析困難與挑戰整車威脅分析ISO 21434主導，標準的方法論目的是明確網絡安

4、全需求考慮的要素是系統化的防護方案座艙威脅分析APP攻擊路徑1系統服務調用Native調用ADAS CAN控制AIDLbinderTCP IPTCP IP/NFS攻擊路徑2困難與挑戰實車測試環境缺乏訪問控制限制僅支持車機自帶應用商店中的應用安裝封閉的應用生態ADB、TELNET、SSH等調試口封閉，或設置強密碼調試入口封閉針對整車開展獨立的安全研究，在經費和限制上挑戰巨大大部分車機SELINUX均開啟，IPC、文件系統的訪問受限困難與挑戰-解決思路零部件臺架攻防演練+安全眾測困難與挑戰-解決思路汽車工程模式各地車展小姐姐不是目的，大量的調試車！典型案例案例1：某國產汽車多處漏洞突破案例2：某國

5、產汽車越權控車漏洞案例3：供應鏈漏洞導致本地提權案例4：USB外設的拒絕服務漏洞案例1：某國產汽車多處漏洞突破QNX+Android架構調試車輛可通過USB安裝應用Framework+System APP權限控制存在重大缺陷車內網絡訪問控制存在重大缺陷案例1：某國產汽車多處漏洞突破問題1：系統服務缺乏權限校驗，可導致惡意控車com.living.vehicle.carservice.ICarService缺陷模塊Transaction IDFunction1getCarCanSignal(arg8.readString();/獲取CAN信號2setCarCanSignal(arg8.readS

6、tring();/發送CAN信號3registerListener(com.living.vehicle.carservice.ICarServiceChangedListener$Stub.asInterface(arg8.readStrongBinder(),arg8.readHashMap(this.getClass().getClassLoader()4unregisterListener5updateListenerAIDL接口接口使用場景案例1：某國產汽車多處漏洞突破問題1：系統服務缺乏權限校驗，可導致惡意控車CarSystemServer逆向分析開啟車后門命令signal_id:

7、506,body:value1:1車門解鎖命令signal_id:616,body:value1:true案例1：某國產汽車多處漏洞突破問題1：系統服務缺乏權限校驗，可導致惡意控車POC案例1：某國產汽車多處漏洞突破問題2：系統服務缺乏權限校驗，可導致惡意控制TBoxcom.tbox.service.TboxService缺陷模塊打開飛行模式撥打電話獲取設備IMEI案例1：某國產汽車多處漏洞突破問題2：系統服務缺乏權限校驗，可導致惡意控制TBoxPOCsetAirplaneMode to HALHAL to Tbox TCP Socket案例1：某國產汽車多處漏洞突破問題3：車內網絡缺乏隔離，

8、可導致惡意控車(繞過IVI 系統服務和應用)案例1：某國產汽車多處漏洞突破問題3：車內網絡缺乏隔離，可導致惡意控車(繞過IVI 系統服務和應用)案例1：某國產汽車多處漏洞突破問題4：ICU內存破壞漏洞案例1：某國產汽車多處漏洞突破問題4：ICU內存破壞漏洞Core Dump文件/var/log/cluster_middleware.logCrash log案例2：某國產汽車越權控車漏洞泄露固件包三方應用安裝工程模式吊起DevelopmentTools逆向關鍵模塊獲取APP權限獲取shell權限系統服務AutoDeviceManager系統應用AutoCamera系統配置空調、天窗、后備箱車輛敏

9、感信息讀取靜默錄制視頻GPS、VIN、IMEIAPN、ICCID等https:/ Credit：Lewei Qu(曲樂煒)車機受到芯片廠商BSP漏洞模塊影響，導致被獲取Root權限ju_ipsec_server缺陷模塊POC案例4：USB外設的拒絕服務漏洞Android 上游Linux Kernel USB 模塊0 Day 漏洞總結建議總結分析了軟件定義汽車面臨的安全風險，以車機為入口，展示SOA服務存在的設計缺陷，導致惡意車輛控制，車門解鎖等風險分析車內網絡設計中的缺陷，導致車內其他零部件遭受攻擊相關風險組合利用，實車驗證，展示風險的危害建議重視車載APP帶來的安全風險，警惕Framework、系統應用的未授權接口車內網絡需進行隔離和訪問控制重視供應鏈漏洞，例行安全補丁及OTAT h a n k s！T H A N KY O UF O RY O U RW A T C H I N G感謝柯懂湘和閆晗對本議題的貢獻