背景●摘要
近年来,随着现代车辆技术的快速发展,网联汽车的攻击面(Attack Surface)和车载网络结构(In-Vehicle Network)都变得更加复杂。目前,已出台多项网联汽车信息安全标准,包括WP29 R155e、ISO 21434以及一系列国标,但这些刚出台标准与法规仍处于起步阶段,需要在摸索实践中直面各种挑战并不断完善。在这样的背景下,我们展开了如下的研究来重新审视现在的网联汽车信息安全:
我们通过深入访谈15位网联汽车信息安全专家,揭示了安全团队在保障车辆信息安全过程中遇到的挑战,以及现行规定的局限性:包括缺乏高质量的车载威胁案例信息库以及难以高效执行Threat Analysis & Risk Assessment (TARA)等。
基于现有的法规和收集的访谈数据,我们建立了一个新的层次化的网联汽车信息安全的威胁案例库,包括多达119条具体的车载威胁案例。同时我们提出一种新的基于Datalog的推理方法,可根据车载网络结构自动化推理攻击路径和计算对应的威胁分数。
以实车上的安全研究案例分析展示了自动化方法的有效性。
**合作共赢
**
该研究由科恩实验室和香港理工大学罗夏朴教授团队及香港大学钱晨雄教授联合完成。相关论文**《Revisiting Automotive Attack Surfaces: a Practitioners’ Perspective》**已被安全领域四大顶会中的IEEE S&P 2024录用。
文末阅读全文查看论文
关于IEEE S&P会议
IEEE S&P会议,全称IEEE Symposium on Security and Privacy,别名Oakland,是安全领域最具影响力的顶级学术会议之一。其常与USENIX Security, CCS, NDSS并称为安全领域的四大顶会。特别地,S&P由于其极高的录取要求和极低的论文录用率(常年低于15%),被公认为是安全领域含金量最高的会议。
Part.1: 访谈研究与新的威胁案例库
我们一共邀请了以下15位来自不同企业,处于不同职位的网联汽车信息安全专家参加访谈:
图.1: 参加访谈研究人员画像信息(已匿名化处理)
在访谈过程,研究人员与受访者开放性地深入探讨了:
1) 执行信息安全活动中的具体挑战
2) 对现有TARA方法的评估
3) 对现有法规中威胁案例的评估
4) 对现有法规局限性的讨论
具体来说,我们通过质性分析的方法,将结果总结成了20个Key Points(详见Code and Supplementary Materials [2]),同时提出用一种结构化的方法来描述现有的网联汽车安全威胁,并基于访谈收集的数据建立了一套新的威胁数据库:
图.2: 威胁数据库概览
新的威胁数据库包含了所有现有法规和标准中的威胁案例,以及所有从访谈研究中补充的案例。该数据库一共包含有119条具体的威胁案例,而这些案例层次化地分布在一共28个Code和7个Theme下。每一威胁案例都从Attack Description (AD), Root Cause (RC), Security Testing Approach (STA), 以及Mitigation (MG)几个方面具体展开。与现在法规中的案例相比(比如WP29 R155e的附录),我们提出的新威胁案例库从数量和质量上都有十分显著的提升。案例库内容具体见 [2]。
以下是以车机安全(In-Vehicle Infotainment)为例的部分内容:
图.3 威胁数据库预览-IVI安全
Part.2: 自动化攻击路径推理
我们的访谈研究除了发现现有威胁案例的不足之外,还发现TARA流程往往是低效的,缺乏自动化的方法。相应的,我们提出了名为CarVal的基于Datalog的自动化的车载网络攻击路径推理方法:
图.4 CarVal:自动化攻击路径推理与威胁评估
CarVal将基于已有的威胁数据库(Vulnerability Set)以及车辆信息(Vehicle Configuration),并根据用户输入的攻击目标(Attack Goal)和攻击入口(Attack Entry),用Datalog的推理方法来自动化推理可能得攻击路径。此外,CarVal还将自动化地计算每条攻击路径的威胁值,实现自动化的威胁评估。
应用举例:下图一条由CarVal推理出的具体攻击路径,描述了攻击者能如何从IVI的Wi-Fi接口控制IVI,并进一步在车内网络的infoCAN上广播恶意消息。
图.5 CarVal应用举例:从IVI到车内网络infoCAN的攻击
CarVal基于IT网络的威胁推理工具_MulVAL[3]开发,代码详见**[2]_**。
Part.3: 实车漏洞分析
基于CarVal的自动推理方法,我们在多辆实车上进行了深入的安全分析,并发现了众多高危漏洞。以下将以其中一辆车为例展示分析流程。下图为该车辆的车内网络拓扑:
图.6 待分析车辆的网络拓扑
基于车辆拓扑信息,CarVal可自动化推理出从TCU到BCM的攻击路径:
图.7 攻击路径:通过重放攻击从TCU控制BCM
通过对App远程车控逻辑的逆向分析,我们还原出了其中BLE车控的具体逻辑,并发现其中存在潜在的密钥泄露问题。攻击者可通过窃取的密钥,执行重放攻击来实现车控:
图.8 通过逆向分析还原的车控流程
负责任的披露流程。所有实车上发现的漏洞都已经详细报告给相关人员且得到了合理修复。关于更多的实车分析流程,具体见论文原文[1]。
结语
现代车辆的复杂性以及网络安全威胁的不断演变为整个行业带来了持续的挑战,而为了促进网络安全文化并完善现有的标准和规定,汽车行业、监管机构和研究者都需要持续付出努力。
感谢所有参加访谈研究的专家,为本次研究中提出了大量高价值观点与建议。我们期望我们改进的威胁数据库和提出的自动化推理方法能助力规定完善,使TARA流程更加高效!
参考
[1] Paper link: https://www.computer.org/csdl/proceedings-article/sp/2024/313000a080/1RjEaOV6EQE
[2] Code and Supplementary Materials: https://github.com/VehicleCyberSec/CarVal
[3] MulVAL: https://github.com/risksense/mulval
★
科恩智能网联汽车研究历程
★
⦁ Black Hat 2018议题解读|穿云拨雾:对特斯拉汽车网关、车身控制模块以及辅助驾驶(Autopilot)ECU的渗透测试
⦁ 腾讯安全科恩实验室发布特斯拉Autopilot实验性安全研究成果
⦁ 在Tesla Model S上实现Wi-Fi协议栈漏洞的利用
⦁ 腾讯安全科恩实验室:梅赛德斯-奔驰汽车信息安全研究综述报告
⦁ 科恩实验室最新自动驾驶安全研究成果发布于安全顶会USENIX Security 2021-以人造扰动欺骗车道线检测系统
⦁ 科恩嵌入式系统安全审计平台入选"2021工业信息安全优秀应用案例"!
点击“阅读原文”查看论文