一个非典型攻击汽车黑客的日常

导语

    智能汽车的问世让消费者既紧张又兴奋，同时也产生了很多顾虑。更可怕的是，汽车被黑客破解已经有不少案例，包括特斯拉、奔驰等豪车都难逃“黑手”。此前我们报道过汽车通讯协议一周就破解的恐怖案例，比亚迪的云服务也被曝出存在严重安全漏洞。

    这些便捷科技背后究竟埋藏着多少隐患？本期车视点就来模拟一下黑客入侵车辆的心路历程。

    灰帽攻击

    日记黎明时分，老肖的任务下来了：攻击一辆正在环城高速上行驶的车。《灰帽攻击手册》从床上掉下来，我傻了。这TM是人干的活儿吗？不许物理侵入，能选择的手段就很有限了。

    虽然哈里斯写的东西很基本，但一点都不垃圾。根本就不存在独一无二的、打上某个牛X黑客印迹的独特手段。一个伟大的黑客，并不总有新花样，他们无非善于组合基本手段，并有耐心一个一个试。

    就像采访任何一个高考状元，他都会告诉你“寓学于乐”、“每天11点前睡觉”。他不会告诉你面临过任何一个揪着头发抓狂的题目，也不会告诉你拿着一张成绩糟糕试卷躲在无人地方嚎啕大哭。我们也是，号称3分钟解锁、5分钟攻破，都是头天晚上无数次的演练，失败次数多得都想抽自己。

汽车被黑客破解已经有不少案例，包括特斯拉、奔驰等豪车都难逃黑手
 

    现在就是一个打脸的好时机。知道这辆车的品牌、牌照，车架号，然并卵。它的CAN总线比我年龄还大，每个数据包都由ECU传送到线上的所有部件，如同拿着一个大喇叭广播。同样，所有部件的数据上收，也从不进行身份验证。好比骗子冒充某人儿子发短信说嫖娼被抓了，亟须掏钱赎人，某人却不核实这人的身份就汇钱一样愚蠢（假定他真有个奇葩儿子）。

    但如何伪造发送者ID，向ECU认证并夺取控制权呢？能介入总线当然没问题，现在我连车在哪里都不知道，还夺取个毛线啊。怎么能被ECU认做车里的一个部件呢？如果这辆车不能接受远程数据，就绝不可能被黑。但这辆安全相当于不设防的车，居然不知死地拥有互联驾驶功能。当然不是总台那些娇滴滴的小姐，而是云服务。

    找准漏洞

    攻击云平台？傻子才会这么做。车厂提供的云服务都不是自己开发的，多数托管在专门的互联网企业，它们都有防火墙。世界上没有攻不破的防火墙，但是机房里那些愣头青每天都像打了鸡血一样疯狂地给服务系统打补丁。白帽子灰帽子黑帽子说的漏洞都打上，还有他们自己测试得到的。找到新漏洞不是一个人能在3、5天做到的。限时完成懂不懂？等我找到云漏洞，环城高速上那辆车都开到越南去了。

    给车主手机端种木马？捕获这个家伙手机云服务通讯数据包？钓鱼不允许，我连这家伙带没带手机都不知道。况且又是破译密码，暴力破解程序倒是随便下，但就凭我这台高级上网本的运算能力？别逗了。

    还得想别的辙。

足够多的垃圾包，就有可能在正常数据包到达车载电脑系统
 

    这辆车有泊车辅助，这是一个大漏勺。辅助组件的认证相当弱智。它请求开始工作，和工作结束的汇报，都是发送同一个seed，这意味着响应总是一个样，简直就是一个笑话。要是能在车底装个WIFI嗅探模块，直接暴力破解也可以。想到这，不禁低声咒骂起给我任务的老肖。

    这么请求，肯定遭到嘲笑。加装模块，粘在底盘上？你以为你是特工呢？要能这么做，还要你们这些灰帽子干嘛？你怎么不说派辆车把他别住，把车主揪下来打一顿呢？拜托，有点技术含量好不。

    APP钓鱼？配备车载电脑的汽车可以都能下载执行APP。和手机里的流氓软件一样，大多数还是预装的。什么非法的第三方，第一方耍起流氓来，卸都卸不掉，跟粘在鞋底的口香糖一样。这样也方便各种帽子将恶意代码伪装成更新程序，然后获取超级管理员权限，将所有杀毒软件和墙都关了。不过大多数车载电脑根本没这玩意。装一个流氓的杀毒软件还不够添乱的呢。问题是钓鱼花的时间无法预测，总不能指望这家伙一边开车，还一边点来路不明的APP。

    想来想去，还得在互联驾驶上下功夫。互联驾驶能做什么？车辆能发送位置信息给网络服务中心（又是该死的云平台），远程诊断和防盗？远程追踪授权不难下手，难的是如何抢在云数据包之前发送自己的包包给他。

    大水漫灌？既然云平台难以短时间内攻破，就用垃圾包淹没整个数据通道。这算是阻塞式攻击，让垃圾包和正常数据包去拼吧，数量取胜。足够多的垃圾包，就有可能在正常数据包到达车载电脑系统。弱鸡的CAN总线会的认证能力可以忽略不计，只要远程帧和数据帧的校验数位被认可，就说明这小子献城而降了。

    这样就有一个缺点，只要云服务察觉有人用垃圾包阻塞数据通道，就会知道有人发动劫持攻击，他们可能想不到费这么大劲，只为了攻击某个特定车辆，而非整个云服务系统，我这也算高射炮打蚊子了。想偷个钱包，没必要打劫整个商厦里的人。让云平台的安防知道了，性质就变了。奇袭变成大规模强攻，我哪有那个本事和时间，去和托管云服务这帮人耗。

    这样做会不会遭到嘲笑，我已经不多考虑了。时间所剩无几，只是感觉瘫痪数据攻击不是好主意。

    让我再查查这家伙的互联功能还有啥。追踪显示，这家伙正用播放器软件下载播放音乐。只要塞给他个数据包，让他的车载电脑认为这是个音乐文件，不就中了？

    说干就干。马上通过数据通道，向这家伙的总线上连续发送过载帧。底层延时不会被上层的任何安全系统阻碍。就像一个拳头舞得密不透风的家伙，下盘中门大开。然后“音乐文件”来了，一口气发送了早已准备好的数据包，其中包含获取访问权的伪装程序。连续吃到延时的车载系统终于拿到数据包，立马照单全收，然后“播放”了。对于弱鸡来说，访问权就意味着控制权。总线上的其他ECU都把伪装程序认证成一个ECU设备。剩下的事，如同水银泻地一样潇洒自然。

    黑客的操守

    我操起对讲，冲着老肖嚷嚷，“让他把车开到空场去，别碰到花花草草。”

    “成了？”老肖嗓门也不小。

    “瞧好吧，我让他翻跟头，他都不敢大马趴。”

    “别别别，改几个数据证明一下就行了，别玩过了。”

    “放心吧，有数。”

    我放下对讲，开心地发送了一串代码，改了他的RPM转速和车速。他看到仪表盘会哭的。

就像现有的智能驾驶功能那么初级一样，安全性的保障也较薄弱
 

    然后就是爆闪、喇叭和油量计，我玩嗨了，关车窗、落锁，最后发了个“FF”——关掉所有气缸，就是断引擎，并连续发送，防止对方重启。

    “怎么样？”我打开对讲，得意道。

    “这个活算是接下来了，就是太慢。厂家说要上防火墙了。”老肖还在絮絮叨叨。

    “那个，给多少啊？”

    “还TM多少，你知道你把谁锁车里了？研发部的No1！”老肖不满道。

    这家伙，又找茬扣钱。我无奈地放下对讲，真应该把那孙子憋在车里不让出来。