《速度與激情8》中的自動駕駛汽車“瘋了”，背後是什麼駭客技術在搗亂？

▲ 《速度與激情8》片段截圖

雷鋒網按：本文作者為奇虎360企業安全集團安全服務JMPESP實驗室資深安全研究員（知乎ID：elknot），研究方向為資料驅動的安全運營。雷鋒網獲授權發佈文章，如欲轉載，請與作者本人聯繫。

《速度與激情8》最近在國內熱映，引發各路影迷廣泛討論。

在作者看來，影片涉及到的駭客技術主要有兩個——天眼（The Eye）和僵屍車隊（Zombie Cars），這兩個東西其實和現實當中兩項比較前沿的安全技術——汽車及物聯網安全和攻擊者溯源相關。雷鋒網摘取了作者針對僵屍車隊的技術解讀部分並進行了編輯。

▲ 被啟動的“僵屍車”

僵屍車隊——汽車及物聯網安全

首先我們先來說說智慧汽車和非智慧汽車，智慧汽車其實就可以當做一個物聯網設備來解決，也就是說智慧汽車的攻擊面和其他IoT設備的攻擊面是差不多甚至更多的。

其實汽車和電腦一樣，內部通信依靠匯流排進行，汽車中的匯流排就是CAN匯流排。

CAN網路是由以研發和生產汽車電子產品著稱的德國BOSCH公司開發的，並最終成為國際標準（ISO 11898），是國際上應用最廣泛的現場匯流排之一。CAN匯流排協定目前已經成為汽車電腦控制系統和嵌入式工業控制局域網的標準匯流排，同時也是車載ECU之間通信的主要匯流排。當前市場上的汽車至少擁有一個CAN網路，作為嵌入式系統之間互聯的骨幹進行車內資訊的交互和共用。

CAN匯流排的短幀資料結構、非破壞性匯流排仲裁技術、靈活的通訊方式等特點能夠滿足汽車即時性和可靠性的要求，但同時也帶來了系列安全隱患，如廣播消息易被監聽、基於優先順序的仲裁機制易遭受攻擊、無源地址域和無認證域無法區分消息來源等問題。

特別是在汽車網聯化大力發展的背景下，車內網路攻擊更是成為汽車資訊安全問題發生的源頭，CAN匯流排網路安全分析逐漸成為行業安全專家聚焦點。如2013年9月DEFCON駭客大會上，駭客演示了從OBD-II控制福特翼虎、豐田普銳斯兩款車型實現方向盤轉向、刹車制動、油門加速、儀錶盤顯示等動作。汽車車內CAN網路安全問題當前主要通過安全性漏洞的分析和各種攻擊手段進行挖掘，因為汽車車內網路安全的脆弱性和威脅模型的分析尤為關鍵。

這麼說來，只要抓住了CAN匯流排，我們就相當於是抓住了汽車的神經，也就能對汽車進行控制。

▲ 影片中自動駕駛狀態下的汽車

攻擊CAN匯流排會引發什麼後果？

第一個後果是失控：CAN匯流排主要應用之一是支援主動安全系統的通信。車輛行駛的時候，主動安全系統將是一把雙刃劍，它們確實發揮著不可替代的作用，但是考慮到主動安全系統的可操作和有能力調整正確的輸入，也會引起駕駛者對主動安全系統的完全依賴。

因此一個突然的故障會引起不可預知的危險後果。

為了引發一個危險的條件，惡意攻擊者將會在CAN匯流排中注入錯誤幀，讓主動安全系統失靈。例如，在牽引力控制系統裡安裝一個攻擊，會造成車輛失去控制等危險。如果攻擊者的目標是自我調整巡航系統，將會導致汽車不會按駕駛者預期的那樣停止。

此外，為了最大可能地傷害汽車駕駛者，假如資料可以直接從CAN匯流排上獲取，攻擊者可以根據特定的條件，觸發一個DoS攻擊。例如汽車某一特定速度、特定的節氣門百分比或者是某一確切的GPS位置等。

第二個後果就是勒索：一個惡意攻擊者在CAN匯流排中某一目標幀中設置攻擊，這將會導致駕駛者無法控制節氣門的位置從而不能讓汽車移動。儘管這些不一定會誘發危險狀態，但一個以金錢為目的的攻擊者，將會利用車載娛樂系統的漏洞，迫使汽車停止，並在娛樂系統螢幕上顯示消息，讓車主為了重新獲取汽車的操控權而去付贖金。

第三個可能是盜竊：現在，大部分昂貴的汽車門鎖是通過CAN連接到ECU來控制，通常通過OBD-II埠連接。隔離負責控制鎖/解鎖車門的資料幀比逆向主動安全設備更簡單、更快捷。因此，攻擊者可以在幾分鐘左右隔離負責鎖車門的資料幀，編寫他的設備程式-特定幀的DoS攻擊，然後把設備插入到OBD-II的介面，阻止車門鎖住。對於一個攻擊者來說，這個攻擊結果是可能的。通過低成本的花費就能進入到車內，隨後就能夠竊取車內任何貴重物品。

長期以來，幾乎整個汽車界都有這樣的共識：CAN匯流排是沒法保護的。

兩方面的原因，其一，ECU的計算處理能力不足；其二，車載網路的頻寬有限。有些LIN匯流排使用的MCU甚至是16bit或8bit，但AES使用的加密演算法只能處理16位元組區塊的資料，這意味著很多時候LIN匯流排根本就是處在“裸奔”的狀態。

所以汽車安全未來肯定是炙手可熱的一部分。

作者注：本文中的技術僅供交流，如有疏漏還請大家批評指正。