别以为汽车连网就很爽？黑客无孔不入

汽车安全技术研究员Charlie Miller与Chris Valasek将于近日在美国拉斯维加斯(Las Vegas)举行的年度“黑帽大会(Black Hat conference)”上，介绍一种新的CAN讯息注入(message injection)骇客方法；这两位研究员目前任职于Uber的先进技术中心(Advanced Technology Center)，将在大会上展示如何实际掌控车辆的刹车、转向以及加速系统。

去年这两位安全专家扮演汽车骇客，成功以无线连结攻击一辆克莱斯勒(Chrysler)的Jeep车款，导致车厂克莱斯勒(Chrysler)召回140万辆汽车；当时他们是利用一台在2014年式Jeep Cherokee中做为Wi-Fi热点的Harman汽车音响头端设备进入该辆汽车的网路，接着两位骇客以Sprint的蜂巢式网路连线入侵了汽车内部。

今年，Miller与Valasek将注意力转向将恶意讯息注入车辆的CAN汇流排，据说会导致对Jeep车辆转向与加速系统的全速攻击。不过这一次他们并非以无线方式入侵车辆，而是用一台笔记型电脑透过Jeep车内仪表板下方连接埠与其CAN网路直接连结──而且他们证实，入侵的对象是经过安全性修补的Jeep车款。而在这双人组于黑帽大会现场表演之前，已经有影音报导(参考连结)详细介绍了他们最新的骇客行动。

总是扮演汽车骇客的安全技术专家Charlie Miller (右)与Chris Valasek　

不过在被问到Miller与Valasek的骇客实验时，Chrysler的母公司Fiat Chrysler Automobiles (FCA)坚称，他们最新的骇客攻击手法不可能在远端实施；FCA声明：“该示范需要一部电脑与车载诊断系统(onboard diagnostic，OBD)连接埠实体连线，而且需要在车子里面。”

“虽然我们很欣赏他们的创意，但显然这两位研究人员并没有定义出任何新的远端入侵2014式Jeep Cherokee或其他FCA美国市场车款的方法；”FCA并强调：“这种入侵非常不可能透过USB连接埠达成，如果车载软体仍是最新版本。”

但无论Miller与Valasek的汽车骇客攻击实验是透过无线或是OBD连接埠进行，都是没有意义的；实际情况是，Chrysler虽然在去年为Jeep车款做了软体修补，却没有能从各方面防堵骇客的无线攻击。不过Chrysler强调，他们以上的声明并不意味着公司不认为车辆的安全系统不可能从其他地方渗透。

EE Times为此谘询了总部位于日本东京的网路安全技术供应商Trillium执行长David Uze，他表示：“今年我们又看到第二辆Jeep被骇客攻击，证实仍有很大一部分的汽车并未受到安全保护；”Chrysler的软体修补只是针对Jeep的资通讯娱乐系统建立之防火墙，去年Miller与Valasek就是透过该系统入侵车辆。

“汽车厂商如果认为不会有其他方法能渗透防火墙，那就大错特错；”Uze表示：“举例来说，当你把车子开到保养厂，把它留在那里一下子，就会制造一个你的车子被动手脚的机会，有人可能会把不容易察觉的迷你装置接上车子的OBD-II连接埠。”

Uze又举了一个案例，有个只有14岁的骇客只花15美元在线上商店买零件，就打造了一个电子遥控自动通讯装置；这个小骇客其实是在2014年参加Battelle CyberAuto Challenge挑战赛的选手，他的无线装置以SIM卡建立了一个点对点连结，成为车内CAN网路的一个后门。

汽车安全需要层层保护

车用电子控制单元(ECU)缺乏安全方案，暴露真正的安全性问题。Uze表示，因为CAN网路是直接与汽车的驱动系统──如刹车、转向系统──连结，根据他的统计：“有85%的汽车驱动是透过CAN网路；”若无身分验证、加密或是密钥管理，CAN网路会成为整个汽车安全链中最弱的环节。

连网汽车最容易遭受骇客入侵的15个攻击点

Uze认为，要让连网汽车免于骇客入侵，汽车产业需要采取层层保护的方法。首先，如果身分验证是在网路上进行，就只能允许一个合法成员参与CAN汇流排的通讯；其次，藉由为CAN汇流排加密，如果恶意讯息要被验证为合法，就必须要模拟从加密、密钥交换以及身分验证码的所有程序。

而第三层保护是非对称(asymmetric)式的密钥交换方案，也就是说如果网路上所有的合法成员──例如50个ECU──被列在白名单中，如果有第51个跑出来：“你就会知道那不是合法的。”

Trillium是一家Uze于两年前在日本成立的新创公司，开发了一种名为SecureCAN的技术，也就是CAN汇流排的加密与密钥管理系统，能保护低于8bytes的有效负载(payloads)。在传统上，汽车厂商以及一线汽车零组件供应商认为保护CAN汇流排是不可能的，因为ECU处理性能以及车内网路频宽有限；但Trillium声称，SecureCAN能为CAN汇流排提供市场独家的身分验证、加密或是密钥管理。

但这种方法也不是万灵丹，Uze表示，要充分保护CAN汇流排以及汽车：“你还需要可建立回馈回路以侦测汇流排异常流量的入侵侦测与预防系统(IDS/IPS)，以及安全的OTA软体更新解决方案；”Trillium的目标是以统一规格的API开发一系列的安全技术。

在此同时，如Harman、Augus Cyber Security、Symantec以及Intel等业者，也争相为汽车安全提供不同的技术；而这场竞赛看来永无止尽。