现代汽车的实验安全分析外文翻译资料

现代汽车的实验安全分析

作者：Karl Koscher, Alexei Czeskis, Franziska Roesner, Shwetak Patel, Tadayoshi Kohno

计算机科学与工程系

华盛顿大学

西雅图，华盛顿98195–2350

邮箱： {supersat,aczeskis,franzi,shwetak,yoshi}@cs.washington.edu

Stephen Checkoway, Damon McCoy, Brian Kantor, Danny Anderson, Hovav Shacham, 和 Stefan Savage

计算机科学与工程系

加州大学圣地亚哥分校

拉霍亚，加利福尼亚州92093–0404

邮箱：: {s,dlmccoy,brian,d8anders,hovav,savage}@cs.ucsd.edu

摘要：

现代汽车不再仅仅是机械装置; 它们由通过内部车载网络协调的数十台数字计算机进行普遍监视和控制。虽然这种转变已经推动了效率和安全性的重大进步，但它也引入了一系列新的潜在风险。在本文中，我们实验地评估这些问题在现代汽车和展示基础系统结构的脆弱性。我们证明，能够渗透几乎任何电子控制单元（ECU）的攻击者可以利用这种能力完全绕过各种安全关键系统。在实验室和道路测试的一系列实验中，我们证明了能够对抗地控制各种汽车功能，并完全忽略驾驶员输入包括禁用刹车，选择性地制动单个车轮，停止发动机， 等等。我们发现，可以绕过汽车内的基本网络安全保护，例如我们汽车的两个内部子网之间的恶意桥接。我们还提出利用个人弱点的复合攻击，包括将恶意代码嵌入汽车远程信息处理单元的攻击，并会在崩溃后完全清除其存在的任何证据。展望未来，我们将讨论解决这些漏洞的复杂挑战，同时考虑现有的汽车生态系统。

1. 引言

通过80年的大规模生产，乘用车保持表面静态：单个汽油动力内燃机; 四个轮子; 以及熟悉的方向盘，油门，换档和制动的用户界面。然而，在过去二十年，基础控制系统发生了巨大变化。今天的汽车不仅仅是机械设备，而且包含了无数的电脑。这些计算机协调和监视传感器，部件，驾驶员和乘客。事实上，最近的一个估计表明，典型的豪华轿车现在包含超过100 MB的二进制代码分布在50-70独立的计算机 - 电子控制单元（ECU）在汽车本地通过一个或多个共享的内部网络总线通信^{[8 ] [13]}。

虽然汽车工业一直将安全性视为关键的工程问题（实际上，这种新软件中的大部分已经专门用于提高安全性，例如防抱死制动系统），但不清楚汽车制造商是否在其设计中预期到的对手。事实上，似乎这种增加程度的计算机化控制也带来了相应的一系列潜在威胁。

除了这种问题，为现代汽车的攻击面正在迅速成长为更先进的服务和通信功能都集成在车辆。在美国，联邦授权的车载诊断（OBD-II）端口，在几乎所有现代车辆的冲击下，提供对内部汽车网络的直接和标准的访问。诸如音频播放器的用户可升级子系统常规地连接到这些相同的内部网络，各种短距离无线设备（蓝牙，无线轮胎压力传感器等）也是如此。通用汽车公司（GM）OnStar提供的远程信息处理系统通过远程无线链路提供增值功能，例如自动碰撞响应，远程诊断和被盗车辆恢复。为此，这些远程信息处理系统通过广域蜂窝连接将内部汽车子系统与远程命令中心集成。一些人已经采取了这个概念甚至进一步 - 提出一个“汽车作为平台”的第三方发展模式。Hughes Telematics描述了为汽车应用开发“App Store”的计划^[22]，而福特最近宣布将打开同步远程信息处理系统作为第三方应用的平台^[14]。最后，提出未来的车对车（V2V）和车对基础设施（V2X）通信系统[^{5] [6] [7] [25]}只会进一步扩大攻击面。

总的来说，这些趋势表明，攻击者可能会利用各种各样的向量来攻击组件，并获得进入内部车载网络的后果。不幸的是，虽然以前的研究工作已经在很大程度上考虑了车辆安全风险，但是对于今天的道路上的汽车的实际安全问题，公众很少公开。我们的研究旨在填补这一空白。

本文通过经验透镜研究这些问题 - 对两个晚期模型乘用车（同一品牌和型号）进行积极实验。我们在实验室中孤立地测试这些汽车的部件，作为在受控环境中的完整系统（在升降机上升起的汽车），以及在封闭路线上的实况道路测试。我们努力全面评估常规汽车对其内部组件的数字攻击有多少弹性。我们的研究结果表明，不幸的是，答案是“小”。

事实上，我们已经证明了能够系统地控制各种部件，包括发动机，制动器，加热和冷却，灯，仪表板，收音机，锁等。结合这些，我们已经能够安装代表对人身安全的潜在重大威胁的攻击。例如，我们能够在驾驶时强制地完全分离制动器，使得驾驶员难以停止。相反，我们能够强制激活制动器，使驾驶员向前移动并使汽车突然停止。

我们对汽车的数字组件和内部网络进行全面分析，而不仅仅关注单个攻击。我们实验性地评估我们的汽车中的每个关键组件的安全属性，并且我们分析底层网络基板的安全属性。除了衡量现代汽车中的计算机化组件的真实威胁以及这些威胁可能发生的根本原因之外，我们还探讨了如何调和战略之间的紧张关系，以实现更好的安全性和更广泛的汽车环境。

1. 背景

在美国有超过2.5亿辆注册的乘用车^[4]。其中绝大多数是计算机控制的,很显然，几乎所有新车现在普遍计算机化。然而，这些系统的普遍性，这些系统的结构，它们提供的功能和它们在内部使用的网络对于计算机安全社区来说是很不熟悉的。在本节中，我们提供有关汽车嵌入式系统架构的基本背景情况以及有关汽车安全的先前相关工作的概述。

A.汽车嵌入式系统

数字控制以称为发动机控制单元（ECU）的独立嵌入式系统的形式，在20世纪70年代后期进入美国生产车辆，主要是由于加利福尼亚清洁空气法案（以及随后的联邦立法）的要求和增加汽油的压力价格^[21]。通过动态测量废气中存在的氧气，ECU然后可以在燃烧之前调节燃料/氧气混合物，从而提高效率并减少污染物。从那时起，这样的系统已经被集成到汽车的功能和诊断的几乎每个方面，包括节气门，变速器，制动器，乘客习惯和照明控制，外部灯，娱乐等，使得术语ECU被推广到电子控制单元。因此，在过去几十年中，豪华轿车的软件数量从几乎没有增长到数千万行代码，分布在50-70个独立的ECU ^[8]。

ECU联轴器，许多功能需要跨 ECU的复杂交互。例如，现代电子稳定控制（ESC）系统监测单个车轮速度，转向角，节气门位置和各种加速度计。当车辆的线路停止跟随转向角（即，滑行）时，ESC自动调节发动机扭矩和车轮速度以增加牵引力。如果应用制动器，它们还必须与防抱死制动系统（ABS）相互作用。更高级的版本还提供滚动稳定性控制（RSC），其也可以应用制动器，减小节气门，并调制转向角度以防止汽车翻滚。主动巡航控制（ACC）系统扫描前面的道路，并根据路径中较慢车辆的存在自动增加或减少节气门（约一些预编程的巡航速度）（例如，在没有用户输入的情况，如果需要完全停止，奥迪Q7将自动施加制动，）。该技术的版本还在一些汽车中提供“预冲”的特征，包括预充电制动器和预张紧安全带。一些新的豪华轿车（例如，雷克萨斯LS460）甚至提供自动化平行停车特性，其中转向完全纳入。这些趋势进一步加速的电动车辆需要精确的软件控制电源管理和再生制动，以实现高效率，一系列新兴的安全功能，如大众的车道辅助系统，以及广泛的拟议的娱乐和通信功能（例如，最近宣布通用的OnStar将提供与Twitter的集成^[10]）。在一系列概念车中，包括通用汽车公司广泛宣传的Hy-wire燃料电池车辆^[12]，甚至已经实现了“线控转向”功能。

虽然一些早期系统使用一次性设计和用于这种相互作用的双向物理线路连接（例如，在不同传感器和ECU之间），但是该方法不广泛适应。时间上市压力，接线开销，交互复杂性和规模压力的经济性的组合已经驱使制造商和供应商在几个关键数字总线（例如控制器局域网（CAN）和Flex Ray）以及软件技术平台（参见汽车开放系统架构 ^[1]）在组件制造商和供应商之间共享。事实上，汽车制造部门的分布式性质已经有效地要求这样一种方法 - 很少有制造商能够承担全部汤 - 坚果设计的开销。

因此，典型的汽车包含覆盖不同组件组的多个总线（通常基于CAN标准）（例如，高速总线可以互连产生实时遥测的动力系部件，而单独的低速总线可以控制二进制执行器如灯和门）。虽然看起来这样的总线可以是物理隔离的（例如，安全关键系统在一个，娱乐在另一个），在实践中，它们“桥接”以支持微妙的交互要求。例如，考虑汽车的中央锁定系统（CLS），其控制电动门锁定机构。显然，该系统必须监视物理门锁开关，来自任何遥控钥匙链的无线输入（用于无钥匙进入）和远程信息处理命令以打开门。然而，非直观地，CLS 还必须与安全关键系统（例如碰撞检测）互连，以确保在安全气囊被部署以便于退出或救援之后轿厢锁脱离。

远程信息处理，从20世纪90年代中期开始，汽车制造商开始结合更强大的ECU--提供完整的类Unix环境 - 与外围设备，如全球定位系统（GPS），以及使用蜂窝回程链路添加“回传”组件。到目前为止，最著名和最创新的这样的系统是通用的OnStar，现在在其第八代 - 提供了无数的服务。例如，配备OnStar的汽车可以在汽车行驶时分析汽车的车载诊断（OBD），主动检测可能的车辆问题，并通知驾驶员必须前往维修车间。OnStar ECU监控碰撞传感器，并自动发出紧急呼叫，在乘客和紧急救援人员之间提供音频链路，并中继基于GPS的位置。这些系统甚至允许正确授权的OnStar人员远程解锁汽车，跟踪汽车的位置，并且从2009年的几年模型开始，远程停止他们（为了在盗窃的情况下恢复），据称是通过停止燃料流到引擎。为了执行这些功能，OnStar单元常规地桥接汽车中的所有重要总线，从而最大化灵活性，并通过Verizon的数字蜂窝服务实现到因特网的按需链接。然而，通用汽车并不是唯一的，几乎每个制造商现在在他们的产品系列中都有一个重要的远程信息处理系统（例如，福特的同步，克莱斯勒的UConnect，宝马的互联驱动器和雷克萨斯的Enform），经常与第三方专家诸如Hughes Telematics和ATX Group等供应商。

综合起来，普遍存在的计算机控制，分布式内部连接和远程信息处理接口越来越多地结合起来，提供了具有外部网络访问的应用软件平台。因此，有充分的理由重新考虑车辆计算机安全的状态

B.相关工作

事实上，我们不是第一个观察汽车环境潜在脆弱性的人。在学术背景下，几个小组已经描述了汽车系统中的潜在脆弱性，例如^{[19] [24] [26] [27] [28]}。它们为构建车辆安全和隐私问题空间提供了宝贵的贡献，特别是在概述了流行CAN总线协议的安全限制以及用于保护车辆部件的可能方向。除了一些例外，例如^[15]，这些努力中的大多数抽象地考虑威胁;考虑关于假设的攻击者的“假设”问题。我们的论文的贡献部分是通过提供综合实验结果评估真实汽车和汽车组件的行为响应特定攻击的框架具体。

此外，广泛的研究人员已经考虑了车对车（V2V）系统（有时也称为车辆自组织网络或VANET）的安全问题; 见^[18]。实际上，这项工作是至关重要的，因为这样的未来网络将另外提供攻击者可能渗透车辆的另一个入口点。然而，我们的工作正好集中在任何这种渗透之后的可能性。也就是说，有什么安全问题中的汽车，而不是外部给它。

还有一些人集中在盗窃相关的访问控制机制，包括成功攻击车辆无钥匙进入系统^{[11] [16]}和车辆固定器^[3]。

在学术领域之外，有一个小的但充满活力的“调谐器”亚文化的汽车爱好者，监管合规外，他们使用专门的软件来提高性能（例如，通过消除电子RPM限制或改变火花正时，燃料点火参数或阀门正时） ^{[20] [23]}。这些团体不是敌人; 他们的修改是为了改善和个性化自己的汽车，而不是造成伤害。在我们的工作中，我们考虑具有恶意动机的对手如何可能破坏或修改汽车系统。

最后，我们指出，虽然有一个新的努力集中在设计完全自主的车辆（例如，DARPA大挑战^[9]），这些是专门设计为机器人控制。尽管这样的车辆无疑会引入新的安全问题，但在本文中，我们仅关注当今商业上可用的汽车的脆弱性。

C.威胁模型

在本文中，我们有意和明确地绕过了“威胁模型”的问题。相反，我们主要关注攻击者如果能够在汽车的内部网络上进行恶意通信，可以对汽车做什么。也就是说，这是为什么她可能能够获得这样的访问的问题。

虽然我们对现代汽车对未来研究的攻击面做了全面分析，但我们在这里简要描述了两种“种类”的向量，通过这两种向量可以获得汽车的内部网络。

第一个是物理访问。某人 - 例如机械师，代客，租车人，前朋友，不满的家庭成员或车主 - 甚至可以立即访问车辆，将恶意组件插入汽车的内部网络通过无处不在的OBD-II端口（通常在短期内）。攻击者可能将恶意组件永久地附加到汽车的内部网络，或者，如我们在本文中所示，他们可能使用短暂的连接时间将恶意软件嵌入汽车的现有组件中，然后断开连接。进入车辆部件供应链的伪造或恶意组件在车辆被发送给经销商之前或者车主购买售后市场第三方组件（例如伪造FM无线电）时呈现类似的入口点。

另一个矢量是通过在现代汽车中实现的许多无线接口。在我们的汽车中，我们确

剩余内容已隐藏，支付完成后下载完整资料

资料编号：[140821]，资料为PDF文档或Word文档，PDF文档可免费转换为Word