汽车网络安全 -- ECU会遭受黑客怎样的攻击？

汽车MCU软件设计 · 公众号 · · 2024-04-17 18:53

正文

1. 黑客攻击ECU的目的是什么？

1.1 什么是黑客攻击

1.2 ECU的资产是什么

1.3 常见攻击手段

2. 如何管理ECU的网络安全漏洞

3. 漏洞风险确定及处置决策

4.小结

1. 黑客攻击ECU的目的是什么？

1.1 什么是黑客攻击

黑客针对汽车ECU的网络攻击某种意义上讲是通过非授权方式访问到目标ECU内部资源，从而获取ECU内部数据、影响该ECU的运行状态、导致功能失效等。

一般我们把黑客攻击ECU的目的分为如下三类：

获取控制权限：例如车辆行驶过程劫持程序执行流程，影响该ECU的系统机密性、完整性等；

获取、篡改程序和数据信息：例如改装车刷ECU提升动力、获取车主个人隐私信息、获取整车敏感数据等；

拒绝服务：通过内存破坏使得目标ECU失去提供正常服务的能力，导致系统失效。

因此，针对上述三类攻击目的，我们就可以定义出一个ECU到底需要保护哪些资产。

1.2 ECU的资产是什么

什么是资产？当然是对某个角色有价值的东西。

在ECU里，资产的定义通常取决于使用对象；如常见的通信密钥对于OEM来说是资产，登录在IVI上的各种账号信息对于车主来说就是资产；所以具体来讲，对于ECU的资产定义可以笼统地分为两类：ECU本身硬件资产、软件代码和数据资产。如下图所示：

那么针对ECU这些资产，黑客们最喜欢如何攻击呢？

1.3 常见攻击手段

俗话说，打蛇打七寸，对于ECU进行攻击当然也要选择从最薄弱的地方入手。

ECU哪里最薄弱？当然是各种对外接口。这个很好理解，比如房门和窗户就是我们室内对外部的接口，因此盗贼最先想到就是从这里进来，毕竟直接拆墙动静太大了。

针对这些接口，我们又可以分别近端、中端、远端攻击，在网络安全里这又被称为攻击向量。

攻击向量(Attack vector)：攻击者可以经由非授权方式访问到系统及资产的攻击方法或者路径

因此，我们对于攻击向量可以进行如下分级：

远程攻击：利用移动网络对ECU进行攻击；

中程攻击：利用局域网(蓝牙)；

近程攻击：利用OBD等、CAN总线实施攻击

我们以近程攻击为例，常见攻击方式为攻击通信总线或者调试接口，如下图：

除此之外，还可通过侧信道进行攻击。

侧信道攻击：通过观测ECU或者内部组件的内部行为来进行攻击，常见如时序分析(Timing Analysis)、动静态功率分析(SPA\DPA)、电磁分析(EMA)等等。

完整示例如下图：

2. 如何管理ECU的网络安全漏洞

从第一节，我们了解到攻击ECU的资产、常见攻击手段等等，实际上，我们在设计ECU整体系统架构时就应该从这些方式对架构进行加固，示意如下：

这不是我所擅长的，就不嫌丑了，所以我们接下来聊聊如何管理这些漏洞。

所谓漏洞管理，就是通过一系列控制程序将影响降至最低，一般而言我们会按照如下步骤进行处理：

漏洞收集：通过公开漏洞信息收集、供应商漏洞信息、网络安全事件监控的漏洞等方式进行收集；

漏洞识别和分析：通过场景复现、动静态分析、漏洞扫描、渗透测试等方式进行漏洞确认；

漏洞处置：通过模拟之前漏洞确认过程的攻击方式，发现无法利用漏洞还原出车辆发生问题的场景，则认为该漏洞已被处置；

漏洞关闭：漏洞修复完成后，关闭漏洞，形成报告分析。

3. 漏洞风险确定及处置决策

本文主要从黑客攻击目的、ECU资产定义以及漏洞管理做了入门级描述，事实上在漏洞识别评估中，还缺少重要的一个描述，即漏洞风险确定及处置决策。

一般来讲，风险确定是有风险影响等级、攻击难度确定；风险处置决策又得根据项目定义、风险影响等级、威胁场景等进行确认，常见决策如下：

风险处置决策	解释
保留风险	风险的影响很小，没有特别采取安全措施来降低风险，并接受该风险。
降低风险	通过对漏洞采取安全措施来减少威胁的可能性，降低安全风险。
分担风险	就是把风险分担或转移给其他公司，比如通过合同或者协议将风险转移给产品或者服务供应商。
消除风险	通过消除风险源，通过以完全不同的方式停止或改变威胁的来源来消除风险的可能性。