文章目录
-
- [一、Tesla Free - Fall attack:特斯拉汽车网络安全事件纪要](#一、Tesla Free - Fall attack:特斯拉汽车网络安全事件纪要)
- [1. 引言](#1. 引言)
- [2. 攻击流程](#2. 攻击流程)
-
- [2.1 攻击切入点](#2.1 攻击切入点)
- [2.2 系统入侵](#2.2 系统入侵)
- [2.3 CAN 总线操控](#2.3 CAN 总线操控)
- [3. 影响后果](#3. 影响后果)
- [4. 特斯拉应对措施](#4. 特斯拉应对措施)
- [5. 研究意义](#5. 研究意义)
- 二、安全攻击事件技术分析以及相应的检测和缓解措施
一、Tesla Free - Fall attack:特斯拉汽车网络安全事件纪要
1. 引言
Tesla Free - Fall attack 是腾讯科恩实验室(Tencent Keen Security Lab)于 2016 年 9 月实施的针对特斯拉 Model S 的远程攻击事件,在汽车网络安全领域掀起巨大波澜。
2. 攻击流程
2.1 攻击切入点
研究人员首先察觉到特斯拉汽车内的 Wi - Fi SSID"Tesla Service",其密码在 QtCarNetManager 中以明文形式储存,但正常情况下无法自动连接。于是,他们把目光投向"Tesla Guest"这一由特斯拉车身修理厂和超级充电站提供的 Wi - Fi 热点,因其信息被存储在众多客户汽车中以便后续自动连接。研究人员通过伪造该 Wi - Fi 热点,并巧妙地将 QtCarBrowser 的流量重定向至自己的域名,成功打通远程攻击的路径。此外,当汽车处于蜂窝网络模式时,研究人员精心构建大量特定域名,利用钓鱼手段与用户可能的误输入,远程触发浏览器漏洞,进一步拓宽攻击渠道。
2.2 系统入侵
凭借成功利用的浏览器漏洞,研究人员顺利突破防线,进而成功侵入汽车内部多个关键系统,包括 IC(仪表盘控制单元)、CID(中央信息显示屏)以及网关等重要部件,为后续深度攻击奠定基础。
2.3 CAN 总线操控
在成功攻破上述系统后,研究人员向 CAN 总线注入恶意消息,从而实现对汽车的远程控制。CAN 总线作为汽车内部电子控制单元之间通信的核心网络,一旦被黑客掌控,汽车的加速、制动、转向等关键功能都将陷入危险,完全受黑客摆布。
3. 影响后果
此次攻击有力地证明了黑客能够借助无线网络(Wi - Fi/蜂窝网络)远程侵入特斯拉汽车,并肆意操控其关键系统。这绝非仅仅是一个普通的技术问题,而是直接关乎驾乘人员生命安全的重大隐患。倘若这种攻击被恶意利用,极有可能引发严重交通事故,甚至危及驾乘人员生命,其潜在危害不堪设想。
4. 特斯拉应对措施
在腾讯科恩实验室将研究成果提交给特斯拉后的短短 10 天内,特斯拉迅速做出反应。通过其 OTA(空中下载软件更新)机制及时发布更新,并引入代码签名保护措施。代码签名能有效确保汽车软件的完整性和来源可靠性,有力防止恶意代码注入与执行,显著提升汽车整体安全性,在一定程度上弥补此前暴露的安全漏洞。
5. 研究意义
此次研究意义深远,不仅深刻揭示了特斯拉汽车在网络安全方面存在的诸多漏洞,更为整个汽车行业敲响沉重警钟。随着汽车智能化、网联化进程加速,网络安全已成为汽车安全关键部分。这一事件警示各大汽车厂商务必加强技术研发投入,全力提高汽车系统安全性与抗攻击能力,切实保障驾乘人员生命财产安全,为汽车行业安全发展保驾护航。
二、安全攻击事件技术分析以及相应的检测和缓解措施
这部分内容是对Tesla Free - Fall attack中各个攻击阶段(Attack Stages)所涉及的技术(Technique)以及相应的检测和缓解措施(Detection and Mitigation)的详细描述:
- 漏洞扫描(Vulnerability scanning)
- 技术:攻击者可能会利用漏洞扫描工具来寻找汽车系统中的安全漏洞,这是攻击的前期准备阶段。
- 检测和缓解:通过网络流量分析(Network traffic analysis)来监测是否存在异常的扫描行为。同时,采取配置强化(Configuration hardening)措施,例如对系统的配置进行优化和加固,减少可被利用的漏洞。
- 恶意 WiFi 接入点(Rougue WiFi Access Point (Tesla Guest))
- 技术:攻击者设置恶意的 WiFi 接入点(如特斯拉访客网络),试图诱使用户连接,从而获取对车辆系统的访问权限。
- 检测和缓解:对网络中的接入点进行监测,识别出恶意的 WiFi 接入点(Rogue WiFi Access Point)。采取配置强化措施,例如加强网络接入点的认证机制和加密设置,防止车辆连接到恶意网络。
- 缓冲区溢出 - QtCarBrowser 上的代码注入(Buffer overflow - code injection on QtCarBrowser (CVE - 2011 - 3928))
- 技术:利用 QtCarBrowser 中的缓冲区溢出漏洞(CVE - 2011 - 3928)进行代码注入攻击,可能导致攻击者获取更高的权限或执行恶意代码。
- 检测和缓解:检测是否有对公共应用程序(Exploit public facing application)的利用行为。通过栈保护(stack protections)对应用程序进行强化,例如使用编译器的相关选项来防止缓冲区溢出,如 - fstack - protector - all 等。
- ARM 漏洞(ARM vulnerability on Linux (CVE - 2013 - 6282) allowing UID: 2222 to become root through put_user/get_user)
- 技术:利用 Linux 系统中的 ARM 漏洞(CVE - 2013 - 6282),使得 UID 为 2222 的用户能够通过 put_user/get_user 操作提升权限成为 root 用户,从而获取系统的最高控制权。
- 检测和缓解:检测权限提升控制机制(Abuse Elevation control mechanism)是否被滥用。通过系统调用过滤(system call filtering)进行隔离,限制非法的系统调用,防止攻击者利用漏洞提升权限。
- 禁用 AppArmour(Disables AppArmour: reset_security_ops())
- 技术:攻击者通过执行 reset_security_ops() 函数来禁用 AppArmour,绕过强制访问控制(Bypass mandatory access control)机制,从而获取更大的操作权限。
- 检测和缓解:通过系统调用过滤(system call filtering)进行访问控制和隔离,监测和阻止对 AppArmour 相关安全机制的非法操作,确保强制访问控制机制的有效性。
- ECU 刷机前仅验证文件名(ECU verifies only filename before flashing)
- 技术:在对 ECU 进行刷机操作时,只验证文件名而不进行全面的代码签名验证,这使得攻击者有可能绕过代码签名机制(Bypass code signing),植入恶意代码。
- 检测和缓解:实施加密代码签名(Implementation of cryptographic code signing)机制,在刷机过程中对代码进行全面的加密签名验证,确保刷入 ECU 的代码是经过授权和安全的。
- 更新网关 ECU 规则(Update Gateway ECU gtw.hex rules)
- 技术:攻击者通过更新网关 ECU 的 gtw.hex 规则,进行横向移动(Reprogram for lateral movement),试图从一个受攻击的 ECU 扩展到其他 ECU,扩大攻击范围。
- 检测和缓解:实施安全刷机方法(Implement secure flashing approach to authorize)来授权刷机操作,确保只有合法的、经过验证的更新才能应用到网关 ECU 上,防止非法的规则更新和横向移动攻击。
- 在 CAN 总线上操纵刹车和转向(Manipulate brakes and steering on CAN)
- 技术:攻击者通过修改 CAN 总线上的消息(Modify Bus message)来操纵车辆的刹车和转向系统,直接威胁车辆的安全。
- 检测和缓解:将网关(GW)的受攻击信息共享给其他 ECU(Share the compromised information from GW to other ECUs),使得其他 ECU 能够了解到攻击情况并采取相应的措施,例如进入安全降级模式或采取其他保护机制,以维持车辆的安全状态。
- WiFi 到 CAN 消息丢失(Free - Fall of messages from WiFi to CAN)
- 技术:导致车辆从 WiFi 到 CAN 通信的消息丢失,可能使车辆失去控制,引发安全事故。
- 检测和缓解:采取措施确保安全(Retain safety),例如建立冗余通信机制、加强通信协议的可靠性和安全性,以及在检测到消息丢失时及时采取应急措施,如切换到备用通信路径或启动安全保护程序,防止车辆失控。
这些内容详细展示了特斯拉自由落体攻击的技术手段以及对应的防御策略,对于理解汽车网络安全中的攻击与防御机制具有重要意义,也为研究和设计汽车入侵检测与防御系统(IDPS)提供了实际案例和参考依据。