智能网联汽车安全渗透白皮书

技术白皮书智能网联汽车安全渗透中国软件评测中心·智能网联汽车测评工程技术中心202012序 言进一步建立健全智能网联汽车信息安全防护体系至关重要。年安全保障建议。（赛迪汽车团队撰写，参与人员包括邹博松、朱科屹、王卉捷、郭盈、王荣，目录前 言 .-1-3(一)3(二)4(三)57(一)7-(二)8-(三)8-(四)10-(一)(二)1212(一)13(二)14(三)15(四)App1516(一)17(二)18(三)21(四)23(五)25(六)OBD数据监听 .-26-(七)USB2728--PAGE9-前 言战略谋划。全能力提升的相关建议。（工业和信息化部软件与集成电路促进中心地方政府以及电信和互联网、汽车、教育、卫生、广电、交通、500多个城市，构建了基于第三方服务的科技产业链。（赛迪汽车安全、V2X安全、车载终端信息安全、电动汽车通信协议及数一、智能网联汽车安全产业概述(一)产业生态总体趋势智能网联汽车市场规模预计将持续增长。在互联网多模式发展和工业智能化趋势的背景下，智能网联汽车作为创新发展的新方向，将汽车产业带入到多领域、大系统融合的高速发展时期，产业链各主体都在积极开展相关产业布局，汽车产业正在发生革命性变化。工业和信息化部部长肖亚庆在2020世界智能网联汽IHSMarkit45%202560%的市场规模。长期预测中国的智能网联汽车市场将不断增长，至2025200075%以上。图1：2018-2025年智能网联汽车渗透率趋势图片来源：IHSMarkit车联市场分析，2020年智能网联汽车信息安全问题日益严峻。一方面，2019年上层出不穷。图2：智能网联汽车信息安全事件统计40%202070%，网率增加使得其逐步成为网络攻击重点目标，安全问题风险突层出不穷。图2：智能网联汽车信息安全事件统计图片来源：UpstreamSecurity，2020年(二)安全技术研究现状面对日益严峻的智能网联汽车信息安全问题，关键在于产业模式，明确各自安全的要求也迫在眉睫。IT领域的技术沉淀和积2020年信息安全十大风险分析了包括不安全的云端接口、(三)标准政策法规动态20179会重点工作任务。2017年起，工业和信息化部联合公安部、交通运输部、国编制车联网网络安全标准体系框架。201812(智能网联汽车)产业发展行动计划》，明确“强化管理、保障安全”的基2020224业链关键环节的安全责任体系”。20204162020年智能网联汽车标准化工作要点》提出，2020年智能网联汽车标准化工作将以推动二、智能网联汽车信息安全态势(一)网络安全技术领域扩展，智能网联汽车成为新目标性、整体性特点。智能化、网联化发展使得汽车面临的网络安全风险不断增大，相较传统互联网，因其应用环境更加特殊、组网更加复杂、联汽车功能的大幅增加，导致信息安全接入点和风险点不断暴露，逐渐成为攻击者目标。(二)产业价值体系正在构建，外部环境安全隐患突出2.02035年智能网联汽车技术和产业体系全面以智能网联汽车为载体的产业多样化服务伴随着大量信息资产的产生。2019检测中发现，85%的关键部件存在着安全的漏洞，80%App六成企业缺乏自动化的网络安全监测响应能力。UpstreamSecurity20202016202016052019展趋势，随着汽车联网率不断提升，安全问题会更加突出。(三)数据信息泄露风险加剧，个人信息保护不断加强智能网联汽车的信息安全危机不仅能够造成个人隐私泄露、56%信息安全保障已成为当务之急。（一202010（草案（二管理实践方面，20192020年电信和互联网行等新领域网络数据安全管理列为年度重点工作之一，从贯标试1506570App（三）标准制定方面，数据脱敏等方面推进车联网数据安全标准化工作，20204月工信部发布《车联网信息服务数据安全技术要求》《车联网信息服务用户个人信息保护要求》标准草案，明确车联网数据安全管理和个人信息保护基线要求。--PAGE29-(四)安全建设能力仍需完善，渗透测试服务不可或缺2020中国汽车产业发展国际论坛2019360通过渗透测试整车企业可以从攻击角度了解车辆是否存在隐性漏洞和安全风险，有助于进一步健全安全建设体系。三、智能网联汽车攻击场景分析IVIDBC文件等。图3IVIDBC文件等。图3：智能网联汽车典型攻击场景(一)工程模式入侵IVI导航、娱乐、语音助手、蓝牙、等功能。因为其附属功能多且集成度高，因而成为攻击者的重要目标。IVIadbIVI统登录名及密码；登录成功后，尝试提权。IVI(二)无线通信安全威胁通信等。（1）蜂窝通信。攻击者可通过建立伪基站，利用DNS劫持（WiFi（3）蓝牙通信。攻击者可利用劫持方式，拦截蓝牙钥匙与车辆辆功能安全。四、智能网联汽车安全渗透指标中国软件评测中心参考ISO/SAE-21434《道路车辆信息安全工程》、20191065-T-339《汽车信息安全通用技术要求》、20191069-T-339《车载信息交互系统信息安全技术要求》、GB∕T347521App面。图4：渗透测试指标智能网联汽车安全渗透测试指标接口安全智能网联汽车安全渗透测试指标接口安全App安全车载信息交互安全车内外通信安全航线F 牙 导总Wi蓝 航线F 牙 导总Wi蓝 星车卫汽…USB接口OBD接口个人信息保护恶意攻击防范能力程本 通 内序地 信 身部源数 数 份数文据 据 认据件存 传 证交储 输 互车载以太网i蜂窝网络操 应 数作 用 据系 软 管统 件 理(一)车载信息交互系统安全ECUECUIVI二者还有融合的趋势。本文不严格限定车载信息交互系统的边载信息交互系统安全无论对整车企业还是用户都具有直接的现(二)车内外通信安全车内外通信主要指智能网联汽车具备对外通过蜂窝网络（4G/5G）CAN、LINMOST、FlexRay等汽车总线协议、车载以太网协议进行信息采车外通信主要测试指标包括基于蜂窝网络通信的伪基站识测试指标包括车内通信数据监听、DBC文件解析等。(三)接口安全接口安全主要是指智能网联汽车接触式通信接口，如OBD接口、USB接口等的安全。攻击者可通过植入恶意软件、监听步入侵车内系统，窃取车辆数据或修改车辆关键控制系统参数等。接触式攻击是最直接有效的接口攻击方式。OBD接口安全测试指标主要包括数据监听、UDS安全认证机制：数据监听指OBD接口输出的数据是否包含重要指令、是否可以CANUDS诊断是否有安全认证机制。USB接口安全测试指标主要包括设备认USBUUU盘。(四)App安全App按照用途可大致分为车App安全。车控App需与车辆绑定，为用户提供控车功能，主要包括远程开车辆油量（电量）等信息。App往往直接与车辆直接绑定，对其分析可获得高AppApp五、智能网联汽车渗透实践聚焦106辆，燃油车4辆。具体信息如下：车企车型奇瑞汽车股份有限公司小蚂蚁车企车型奇瑞汽车股份有限公司小蚂蚁EQ1威马智慧出行科技(上海)股份有限公司EX5长城股份有限公司VV6广州汽车集团股份有限公司传祺GS8浙江合众新能源汽车有限公司哪吒U北京现代汽车有限公司索纳塔10车企车型北京新能源汽车股份有限公司ARCFOX极狐零跑汽车有限公司S01华晨汽车集团控股有限公司中华V7重庆长安汽车股份有限公司逸动测试过程中，发现的典型问题包括语音助手未进行身份校三方应用与服务器通信内容易被劫持篡改，软件升级未进行校验，无线网络通信内容可被监听，OBD接口可以获取报文，蓝牙连接未进行认证，USB接口可以进行调试，无线钥匙可以重放等，以上问题检出率情况如下图所示：图5：典型问题检出率第三方应用劫持篡改软件升级安全校验

10%

20%20%

30%

40%

50%

60%60%60%

70%率高、影响严重的问题进行重点分析。(一)系统调试模式开启测试内容：尝试是否可以在IVI交互界面进入工程模式，进adbUSBIVIroot权限。60%的被测车辆得调试权限。图6：获取调试权限问题分析：获取调试权限后，可以查看IVI系统运行信息、66.6%IVI工程模式没得调试权限。图6：获取调试权限问题分析：获取调试权限后，可以查看IVI系统运行信息、IVITSP平台通信内容，分析业务逻辑，进一步获取车辆控制权。IVI隐藏工程模式入口，部署多种独立安全机制形成多层次防护体系。(二)敏感数据明文存储据；尝试读写关键系统文件、导出关键信息。感数据进行读写、复制、导出、删除等操作。IVIIVI系统中的密钥（的出现。图7：整车企业密钥明文存储（社会公共安全，乃至上升到国家安全层面。图8：明文存储语音助手对话内容IVI户造成严重影响。图9：明文存储用户通讯录防护建议：密钥等关键数据存储于安全芯片或系统内部加密权；关键信息加密存储；车辆量产前关闭非必要日志功能。(三)应用软件通信内容劫持测试内容：通过流量监听工具捕获车载信息交互系统与服务其业务逻辑，篡改通信内容并重发，实现中间人攻击。测试结果：在本次渗透测试过程中，可以劫持60%被测车辆与服务器间的通信流量，分析通信内容（见图10）并找到服务互系统（。图11：篡改通信内容图图11：篡改通信内容问题分析：目前车载信息交互系统中应用软件不仅包括系统TSP平台给车辆下发的控车指令被监听，实现中间人攻击后防护建议：加密关键应用软件通信内容，传输采用安全的通信协议等。(四)车内外通信未加密测试内容：利用流量监听工具，捕获车载信息交互系统与外部服务器及内部设备的通信流量，查看通信内容是否可以分析。测试结果：在本次渗透测试过程中，有60%的被测车辆可以监听车载信息交互系统与外部服务器以及内部设备的通信流量；其中存在超过半数的车辆未对传输内容加密，采用明文进行传输。问题分析：测试过程中发现，部分车辆的车载信息交互系统VIN（CAN报（CAN直接相连并（CAN接口发送数据可导致其无法再使用。图13：与内部设备明文通信图图13：与内部设备明文通信图14：与CAN整性校验、访问控制等措施，抵御重放攻击、拒绝服务攻击、报文篡改等威胁，实现车内外通信数据保密性、完整性及可用性。(五)蓝牙连接认证机制薄弱过测试工具监听、捕获蓝牙流量。30%发送垃圾语音信息等。全性，可由开发人员通过在标准蓝牙规范之上叠加一层实现。PIN用应用级的认证及加密。(六OBD数据监听测试内容：OBDCAN数据。测试结果：在本次渗透测试过程中，40%的被测车辆OBD50%CAN报文内容。问题分析：CAN总线的OBDCANDID1XEXXXX39E4CANOBD发送IDXXF8F9XXF1XX30FFXX8BXXF9FFXX77XXFF的CAN报文能够关闭发动机机引擎。防护建议：静默OBD接口数据，关键总线数据进行隔离。(七)USB外接设备及调试模式测试内容：验证USB接口插入U盘、鼠标、键盘等外接设UU盘。测试结果：在本次渗透测试过程中，20%的被测车辆未限制UBSUBSU盘接入目标系统，并且运行恶意软件。问题分析：部分车型的车载信息交互系统搭载Android操作AndroidUSBAndr