汽車安全技術研究員Charlie Miller與Chris Valasek將於近日在美國拉斯維加斯(Las Vegas)舉行的年度「黑帽大會(Black Hat conference)」上,介紹一種新的CAN訊息注入(message injection)駭客方法;這兩位研究員目前任職於Uber的先進技術中心(Advanced Technology Center),將在大會上展示如何實際掌控車輛的剎車、轉向以及加速系統。

去年這兩位安全專家扮演汽車駭客,成功以無線連結攻擊一輛克萊斯勒(Chrysler)的Jeep車款,導致車廠克萊斯勒(Chrysler)召回140萬輛汽車;當時他們是利用一台在2014年式Jeep Cherokee中做為Wi-Fi熱點的Harman汽車音響頭端設備進入該輛汽車的網路,接著兩位駭客以Sprint的蜂巢式網路連線入侵了汽車內部。

今年,Miller與Valasek將注意力轉向將惡意訊息注入車輛的CAN匯流排,據說會導致對Jeep車輛轉向與加速系統的全速攻擊。不過這一次他們並非以無線方式入侵車輛,而是用一台筆記型電腦透過Jeep車內儀表板下方連接埠與其CAN網路直接連結──而且他們證實,入侵的對象是經過安全性修補的Jeep車款。而在這雙人組於黑帽大會現場表演之前,已經有影音報導(參考連結)詳細介紹了他們最新的駭客行動。

20160804 blackhat NT01P1


總是扮演汽車駭客的安全技術專家Charlie Miller (右)與Chris Valasek (圖片來源:Black Hat)

不過在被問到Miller與Valasek的駭客實驗時,Chrysler的母公司Fiat Chrysler Automobiles (FCA)堅稱,他們最新的駭客攻擊手法不可能在遠端實施;FCA聲明:「該示範需要一部電腦與車載診斷系統(onboard diagnostic,OBD)連接埠實體連線,而且需要在車子裡面。」

「雖然我們很欣賞他們的創意,但顯然這兩位研究人員並沒有定義出任何新的遠端入侵2014式Jeep Cherokee或其他FCA美國市場車款的方法;」FCA並強調:「這種入侵非常不可能透過USB連接埠達成,如果車載軟體仍是最新版本。」

但無論Miller與Valasek的汽車駭客攻擊實驗是透過無線或是OBD連接埠進行,都是沒有意義的;實際情況是,Chrysler雖然在去年為Jeep車款做了軟體修補,卻沒有能從各方面防堵駭客的無線攻擊。不過Chrysler強調,他們以上的聲明並不意味著公司不認為車輛的安全系統不可能從其他地方滲透。

EE Times為此諮詢了總部位於日本東京的網路安全技術供應商Trillium執行長David Uze,他表示:「今年我們又看到第二輛Jeep被駭客攻擊,證實仍有很大一部分的汽車並未受到安全保護;」Chrysler的軟體修補只是針對Jeep的資通訊娛樂系統建立之防火牆,去年Miller與Valasek就是透過該系統入侵車輛。

「汽車廠商如果認為不會有其他方法能滲透防火牆,那就大錯特錯;」Uze表示:「舉例來說,當你把車子開到保養廠,把它留在那裡一下子,就會製造一個你的車子被動手腳的機會,有人可能會把不容易察覺的迷你裝置接上車子的OBD-II連接埠。」

Uze又舉了一個案例,有個只有14歲的駭客只花15美元在線上商店買零件,就打造了一個電子遙控自動通訊裝置;這個小駭客其實是在2014年參加Battelle CyberAuto Challenge挑戰賽的選手,他的無線裝置以SIM卡建立了一個點對點連結,成為車內CAN網路的一個後門。

汽車安全需要層層保護

車用電子控制單元(ECU)缺乏安全方案,暴露真正的安全性問題。Uze表示,因為CAN網路是直接與汽車的驅動系統──如剎車、轉向系統──連結,根據他的統計:「有85%的汽車驅動是透過CAN網路;」若無身分驗證、加密或是密鑰管理,CAN網路會成為整個汽車安全鏈中最弱的環節。

20160802 Auto NT31P1


連網汽車最容易遭受駭客入侵的15個攻擊點 (圖片來源:Intel)

Uze認為,要讓連網汽車免於駭客入侵,汽車產業需要採取層層保護的方法。首先,如果身分驗證是在網路上進行,就只能允許一個合法成員參與CAN匯流排的通訊;其次,藉由為CAN匯流排加密,如果惡意訊息要被驗證為合法,就必須要模擬從加密、密鑰交換以及身分驗證碼的所有程序。

而第三層保護是非對稱(asymmetric)式的密鑰交換方案,也就是說如果網路上所有的合法成員──例如50個ECU──被列在白名單中,如果有第51個跑出來:「你就會知道那不是合法的。」

Trillium是一家Uze於兩年前在日本成立的新創公司,開發了一種名為SecureCAN的技術,也就是CAN匯流排的加密與密鑰管理系統,能保護低於8bytes的有效負載(payloads)。在傳統上,汽車廠商以及一線汽車零組件供應商認為保護CAN匯流排是不可能的,因為ECU處理性能以及車內網路頻寬有限;但Trillium聲稱,SecureCAN能為CAN匯流排提供市場獨家的身分驗證、加密或是密鑰管理。

但這種方法也不是萬靈丹,Uze表示,要充分保護CAN匯流排以及汽車:「你還需要可建立回饋迴路以偵測匯流排異常流量的入侵偵測與預防系統(IDS/IPS),以及安全的OTA軟體更新解決方案;」Trillium的目標是以統一規格的API開發一系列的安全技術。

在此同時,如Harman、Augus Cyber Security、Symantec以及Intel等業者,也爭相為汽車安全提供不同的技術;而這場競賽看來永無止盡。

編譯:Judith Cheng

(參考原文: New Jeep Hack Proves Cars Still Exposed,by Junko Yoshida)

延伸閱讀:連網汽車駛向安全的未來