腾讯安全沙龙：车联网漏洞挖掘方法及典型案例剖析

Abeutrrs2018JD-HITB会议演讲嘉宾《vocore2在安全研究的应用》车联网漏洞挖掘方法及典型案例剖析➢车联网安全现状➢车联网攻击技术➢车联网安全比赛经验➢大型车联网安全事件➢车联网安全解决方案530337139

15124

33

年份

趋势汽车网络安全事件

年份

趋势数据来源：Upstream安全研究报告2019

2020

2021

2022

2023

20242021

2022

2023

20244504003503002502001501005007006005004003002001000汽车CVE增长270240409295编号发布日期内容DB44032024年1月22日智能网联汽车网络安全技术要求GB44495-20242026年1月1日汽车整车信息安全技术要求GB44496-20242026年1月1日汽车软件升级通用技术要求GB44497-20242026年1月1日智能网联汽车自动驾驶数据记录系统2020年6月，联合国世界车辆法规协调论坛（简称“WP29”）发布2项智能网联汽车R155

、

R156法规，即网络安全（Cybersecurity）

、

软件升级（Software

updates），

适用于1958协议下成员国（覆盖所有欧盟国家和其他OECD国家），生产汽车若销售至1958成员国则必须通过认证。

UN

R155法规是全球第一个汽车信息安全强制法规，

这意味着车辆的信息安全已经从符合标准进入到遵从法规的时代。ISO/SAE21434ISO

24089UN

R155支撑关联UN

R156支撑支撑实践支撑实践CSMSSUMSVTAVTA车辆全生命周期覆盖概念设计

开发阶段

生产阶段生产后阶段终端客户UN

R155网络安全管理体系(CSMS)UN

R156软件更新管理体系(SUMS)强制实施时间线●2022.7

2024.7

2025.3

持续R155

&

R156

对新车型

UN

R155

&

R156所有新车《智能网联汽车车载通信系统安全》系列国标实施

全面实施供应链安全用户告知执行更新过程安全性风险管理安全设计软件识别码保护OTA更新法律基础攻击检测与防御事件响应与报告更新失败恢复UN挑战5:不安全的车载通信CAN总线缺乏加密认证机制

嗅探·伪造·重放攻击风险

数据来源：Upstream安全研究报告车辆软硬件层软件安全挑战2:车辆固件和软件存在已知漏洞挑战3:

车辆固件和软件可被非授权获取固件和软件组件

固件和软件未及时修复漏洞

逆向工程分析生态系统层挑战1:不安全的生态系统主机厂·供应商·服务商·基础设施标准不一·责任界定不清数据与隐私层挑战7:数据非法传输窃取·篡改·未授权发送违反数据安全法规:挑战9:不安全的密钥管理硬编码·弱密钥密钥泄露风险挑战6:不安全的硬件接口JTAG·UART未妥善保护 生态系统层数据隐私层

软硬件层挑战10:不符合法规要求UN

R155/R156中国相关法规挑战8:隐私数据泄露身份·位置·驾驶习惯生物特征泄露挑战4:外部设备威胁USB·OBD接口恶意软件载体车载通信层硬件安全●

通信层受影响系统威胁源影响与防御防御建议•定期安全评估•及时更新补丁•供应链安全管理•多层防护体系•安全监控机制芯片硬件充电基础设施车载信息娱乐系统网络设备车载操作系统行业响应•加强安全投入•加速漏洞修复•完善安全流程安全风险•远程攻击•数据泄露•系统劫持持续威胁部分漏洞未修复供应链管理痛点Pwn2Own202549个0-day漏洞奖金$90万Pwn2Own202449个0-day漏洞奖金$132万

威胁源

受影响系统

防御响应关键数据98个0-day漏洞$222万奖金充电桩系统处理器芯片UbiquitiAGL

OS电源管理通信模块Linux

BasedWiFi/蓝牙TeslaKenwood

AlpineSony

Others这是本次事件的核心漏洞。它存在于

UPDMwemCmdCreatSHA256Hash函数中，是一个命令注入漏洞。由于系统未能正确验证用户通过USB设备提供的字符串，攻击者可以构造恶意输入，最终在root权限下执行任意代码。该漏洞的

CVSS评分为6.8，攻击向量为物理接触（AV:P）。2DI-24-849(CV呈-2024-23961:

由NCC

Group发现的另一个命令注入漏洞，位于UPDM_wemCmdUpdFSpeDecomp函数中。同样通过物理接触（

USB）触发，并能获得root权限。研究人员通过这个漏洞成功在IVI屏幕上运行经典游戏《毁灭战士》（

Doom），展示其危害性。2D)-2484(v屋2624-22歌:这是一个释放后重用（

Use-After-Free）漏洞，存在于

prhl2sardataind函数中。攻击者可在邻近网络（AV:A）中利用此漏洞，无需认证即可执行代码，

CVSS评分高达8.8。这是一个基于栈的缓冲区溢出漏洞，位于蓝牙协议栈的DecodeUTF7函数中。攻击者通过配对恶意的蓝牙设备即可触发，

CVSS评分为8.0。E22q24➢车联网安全现状➢车联网攻击技术➢车联网安全比赛经验➢车联网安全解决方案云端服务层车载系统层网络传输层数据存储层影响规模统计：数据泄露事件:8起受影响用户:395万+涉及车型:2014-2021年多品牌泄露数据:3TB+地理范围:全球多地区主要威胁组织：Black

Basta、Clop、Qilin等勒索软件团伙

关键漏洞：SQL注入、未签名更新、硬件信任根缺失企业数据泄露•赫兹100万客户•欧洛普卡20万客户•威尔逊汽车OnStar系统•驾驶行为监控•未授权数据采集•保险欺诈风险供应链攻击•第三方供应商•Cleo平台漏洞•

GitLab入侵CAN总线攻击•任意报文发送•车辆控制劫持•硬件信任根缺失勒索软件攻击•现代汽车欧洲•Club

Car•Black

Basta组织更新机制缺陷•未签名包刷写•校验缺失•

固件篡改隐私侵犯•未授权数据收集•保险公司数据•

180万用户权限提升•

Root权限获取•系统完全控制•2014-2021车型数据泄露•丰田客户数据•通用OnStar数据•奔驰源代码信息娱乐系统•马自达CMU漏洞•

SQL注入•

USB攻击身份认证绕过•令牌泄露中间人攻击•通信链路攻击网络监听拦截•数据传输劫持配置错误•数据库配置问题金融信息泄露信用卡详情身份信息泄露驾照信息车辆信息泄露车型、配置驾驶行为数据超速、急刹车位置轨迹数据GPS定位个人信息泄露姓名、联系方式云服务攻击V2X安全ECU控制安全ADAS扩展安全接入I.可接入设备手机PCETCRSU传感器A.动力系统B.地盘系统C.车身舒适系统D.安全辅助系统E.诊断维护系统接口

BLE

WIFIOBD-IIeSIM高价值数据•

控制参数•

隐私数据•

知识产权高脆弱性•

复杂度递增•

CAN源生缺陷•

CPS系统缺陷高互连性•

车-车互联•

车-路互联•

车-云互联高可达性•

车内-车外接口•

有线/无线接口•

V2X安全合规•

安全标准法规•

安全准入认证•

安全摸底验证安全防护•

车载终端防护•

通信链路防护•

云端平台防护自主可控•

终端设备可信•

可信通信接入•

安全管理平台•

安全态势感知•

安全监测预警•

安全OTA安全切

入

点车载可信计算平台车载入侵检测防御系统车联网安全管理平台安全传输网络安全OTA升级车载安全网关F.ITS系统

(V2I/V2R)G.车联网

(V2V/V2

C)H.信息娱乐系统安全技术应急响应软件漏洞数据篡改系统提权信号干扰固件逆向DoS攻击敏感信息泄露某些正在监听的服务，在接收到特制指令后可能返回敏感信息。可执行命令端口暴露比如设备某端口暴露多个AT指令，借助这些指令可以修改设备配置。弱口令SSH、WiFi等存在弱口令、空口令。风险点弱口令尝试固件分析接入内网内网扫描测试方法攻击"服务化"模式勒索软件即服务(RaaS)技术门槛降低专业攻击服务包地下产业链IT/OT融合风险IVI系统+

ECU传感器充电基础设施集中体现支付(IT)+充电控制(OT)连锁反应风险管理措施供应链审计风险评估应急响应安全培训合规检查标准规范UN

R156ISO21434SAE

J3061GDPR合规行业最佳实践技术防护端到端加密身份认证入侵检测安全更新零信任架构协同防护产业联盟信息共享联合响应生态协作持续改进安全演练漏洞管理技术更新能力提升监测预警实时监控威胁情报异常检测预警机制暗网利用漏洞交易数据倒卖技术交流攻击复杂化V2X协议利用DSRC/C-V2X无线通信攻击面扩大AI驱动攻击生成式AI钓鱼攻击数据投毒对抗性攻击通信与应用服务器IT系统云后端充电基础设施IvantiVPN第三方集成导航支付充电服务数据泄露个人信息位置数据OTA威胁更新劫持恶意固件供应链攻击供应商入侵奔驰源码泄露勒索软件攻击Black

Basta应用劫持中间人攻击,替换应用密钥利用固件和App中的密钥泄露车内硬件CAN总线

USB

OBD-II充电桩蓝牙信息娱乐移动APP无钥匙系统定位系统ECU网关CAN总线数据库API接口新兴威胁趋势主要攻击类型综合防护策略攻击途径统计高风险中风险可控制典型攻击路径流程1

2

3入口点识别漏洞挖掘权限获取APP/IVI/T-Box

逆向/模糊测试

提权/绕过关键防御措施车辆层面攻击高级攻击技术零部件层面攻击密钥利用明文存储弱加密传输暴露数据泄露通信嗅探本地存储云端访问APP攻击逆向工程API越权密钥泄露T-Box攻击端口扫描弱口令协议逆向IVI漏洞固件分析调试接口权限提升车钥匙攻击信号重放中继攻击蓝牙嗅探应用劫持中间人攻击恶意安装包商店漏洞模糊测试协议测试API接口文件解析ECU攻击JTAG接口固件提取恶意刷写传感器攻击调试端口AT指令配置篡改通信总线CAN注入以太网协议分析摄像头攻击安全开发代码审计·安全编码·最小权限监控响应异常检测·实时告警·应急处理软件保护代码混淆·反调试·完整性通信安全端到端加密·身份认证5目标达成控制/窃取密钥管理HSM·TEE·密钥轮换

4横向移动网络渗透安全机制数据加密安全编码原型设计弱口令默认账户暴力破解信息泄漏压力攻击未授权访问远程代码执行中间人攻击攻击面重放攻击1.

ECUs物理硬件CAN总线安全认证2.

网关防火墙安全CAN总线车载以太网3.接口设备IVI

T-BOX

OBU硬件安全系统安全应用安全4.无线通道Wi-Fi安全蓝牙安全射频安全5.云端平台前/后端安全

中间件安全通信安全

服务器安全数据库安全

数据隐私

6.移动终端用户登录代码安全安装包安全•

遵守安全

编码规范•

代码安全

评估•

开启内存保护•

增加进程可信监控•

非法外联监控•唯一识别码•

可信认证•

分阶段安

全测试•

上市前安

全测试•

硬件可信•

应用可信•

内容可信•

数据强加密•

使用非对称算法认证•

固件加密•

发布版删除调试版本内容•

初次使用由用户设置相关认证内容云（端）模式风险面评估硬件安全固件安全二进制程序安全云/端安全组件识别协议安全WEB安全钥匙安全硬件接口暴露APP安全数据安全通信安全通信安全OTA升级数据安全固件升级协议安全数据安全诊断协议安全认证固件升级4G/5GV2X安全GPS安全安全测试后门防范接入认证➢车联网安全现状➢车联网攻击技术➢车联网安全比赛经验➢车联网安全解决方案T-Box接入内网寻找服务/逆向分析服务弱密码可能存在

SSH弱密码，可直接获取root

shell。可被控车NetComm控车组件

出现在多品牌的汽车TBOX中。逆向分析，利用FUZZ脚本测试控车指令，最终控车。信息泄露部分端口服务泄露诊

断信息。APP抓包分析逆向API接口越权有些只需改动VIN

或用户ID

即可越权，有些则需绕过云端API

签名授权认证后越权。OSS密钥暴露有些直接硬编码在APK中，有些还可能

存放在APK

中某个链接的源码中。利用OSS密钥可进入云端，获取各类敏感信息。重放控车IVI内网扫描工程模式固件分析内网主机/服务暴露扫描到内网主机IP，比如车底盘域控制器、车机仪表等。某些主

机服务可被未授权访

问、某些调试接口暴

露。ADB调试可开启寻找工程模式，若能打开ADB调试，查看服务、提取固件、逆

向分析。车钥匙简单重放特定信号重放后备箱可控基本上解锁/锁定车门、开关后备箱的信号均

不可直接重放。但有些车辆接收钥匙

信号的程序存在BUG

，导致重放一组特定信

号时进入异常状态，在此状态下，多次重

放开启或关闭后备箱

信号成功。检查

RTSP检查

HTTPRTSP未授权访问RTSP协议的默认端口是554。使用

VLC软件访问

RTSP地址：rtsp://ip:554/liveweb服务未授权检查8080

等

web

服务端口。有些可以未授权访问行车记录仪测试方法风

险

点测试方法风

险

点测试方法

风

险

点测试方法风

险

点测试方法风

险

点重放APP控车请求，也可控车。●APP脱壳：目前大多数车联网APP都进行加固，可以使用绿盟自研的破盾平台进行脱壳。●抓包逆向：签名算法逆向，接口越权，

获取车主及车辆敏感信息。●

密钥泄露：导致云端敏感信息泄露。●接口测试：任意车主账户账号接管，任意车辆信息获取。●

SDR重放测试：针对车钥匙使用软件定义无线电设备进行重放攻击，成功对某品牌车辆进行解锁操作。●数字钥匙攻击测试：嗅探蓝牙数据包并重放，成功对某品牌车辆进行解锁操作●无钥匙中继测试：车辆端设备对车辆发出的信号进行放大滤波变频，然后通过天线进行发射，车钥匙端设备对此信号进行变频放大滤波，然后发送给车钥匙，即可实现信号的中继。也可以对NFC和BLE信号进行中继。●

固件获取：工程模式开启调试接口获取固件数据，进行逆向工程。●密钥查找：分析车机包含的日志/二进制程序，获取密钥，获取云端升级服务权限。●车内网络测试：利用IVI作为跳板，对车内的网络进行黑盒扫描测试，并成功获取不同车内节点的root权限。●敏感服务测试：对包含行车记录仪在内的组件进行测试，发现暴露的敏感服务，获取行车记录等敏感信息。车辆安全测试无线测试APP测试测试困难●

厂商加固了硬件防护手段●

隔离车机内的IP网络，扫描不到内部IP●

权限、命令阉割●

很多命令获取不到车机内部通信的网段●

受权限和命令阉割影响，获取不到关键进程ID解决方案●

通过各种折腾，发现可疑IP地址 发现并验证车机内部IP的ftp权限●

发现并验证车机内部IP的SSH权限●

发现安装第三方软件漏洞●

浏览器XXE信息获取套路的发现和总结安全测试

漏洞发现

技术突破安全研究员加密破解•密钥提取•算法逆向•通信解密协议重放攻击•开门信号•

鸣笛控制•开窗开箱越权访问•VIN参数替换•跨车辆控制•用户信息泄露车联网云平台API接口|用户认证

|车辆管理目标车辆B•空调系统•行车模式•安全系统目标车辆A•车机系统•控制模块•传感器其他车辆•批量测试•漏洞验证•影响评估自动化脚本漏洞复现车主App移动控制端MobSF反编译App分析抓包工具HTTPS分析Frida动态分析密钥攻击者流量抓包：使用frida或者绕过SSL

PIN对于双向HTTPS绑定的，需要找到内置的客户端证书密钥文件，同时找到解密该文件的密码，导入密钥

文件到抓包软件中。密钥查找：分析APP中包含的敏感密钥（FTP密码，OSS密钥）针对APP

内置的URL进行分析，查看是否会存在泄露的信息。签名算法：抓包出现sign算法，需要分析算法的实现流程，从而达到修改请求

的目的。签名算法会将HTTP请求中的url及参数按照顺序排列并添加一个密钥求出一个哈希值。加固绕过：目前安卓上的对抗已经非常成熟，

可以去分析IOS平台上的应用，相对难度较小。针对IOS上的车联网APP，大多数只需要找到越狱检测地方绕过即可。IOS抓包相对方便，能快速入手。发现漏洞：寻找车联网APP社区中的用户信息泄露的漏洞。寻找越权获取车辆信息的漏洞，

VIN可以通过百度搜出来并进行修改。测试APP的登录以及找回密码的流程。流量抓包密钥查找签名算法加固绕过发现漏洞发现

漏

车机系统与硬件漏洞

6

认证与授权问题

5

不安全的加密实践

1信息泄露

22越权与访问控制

12物理与近场攻击9远程控制与执行

8应用安全漏洞

6漏洞类型分布应用层(Application

Layer)

难度上升通信层(Communication

Layer)

安全增强硬件层(HardwareLayer)

防护升级App与云端通信•签名认证升级为双向认证•通信安全性大幅提升•

中间人攻击防护加强•数据传输加密强化网络协议安全•协议层防护增强•认证机制完善•会话管理优化•安全策略更新ADB接口•

Root权限获取困难•调试接口限制增加•开发者选项保护•系统级权限控制固件安全•

固件提取不完整•需要巧妙提取方法•

固件加密保护•逆向工程难度提升车机系统•App安装权限限制•系统封闭性增强•第三方应用管控•安全沙箱机制AndroidApp•加固方法增加•脱壳更加困难•安全防护提升•

PIN码验证增强iOS

App•越狱检测增加•安全机制完善•

防护能力增强•控车验证严格厂商安全意识•安全意识提升•漏洞挖掘难度加大•

防护策略完善•安全投入增加系统架构说明：●

攻击者工具链-硬件/软件工具集●攻击目标域-APP/车载/无线通信●防御策略层-

应急响应/测试体系/持续博弈数据流向：工具→攻击→防御→持续优化的闭环博弈过程无线通信测试APP安全测试车载系统测试硬件工具软件工具漏洞发现内部测试体系SDL安全开发漏洞赏金计划应急响应持续博弈SDR设备逆向分析IVI系统跳板显微镜MobSFBinwalk模糊测试调试器分析仪FridaIDA

ProWireshark电烙铁SDR设备ADB调试CAN总线TPMS蓝牙钥匙中继攻击重放攻击更新包RKE/PKESAPP脱壳签名绕过信号捕获ECU控制API越权固件获取密钥提取VIN控制逆向分析AK/SK编码实现OTA更新加密防护激励机制社区参与权限控制测试验证修复方案动态防御需求分析风险评估签名加固主动发现快速修复工具集成架构设计漏洞验证能力建设研究投入威胁监控验证披露评估威胁挑战勒索攻击数据泄露车企目标0-day漏洞Pwn2Own持续发现以攻促防核心理念知己知彼渗透测试红队演练威胁建模安全网关迭代优化持续安全运营流程升级阶段技术升级安全迭代新威胁应对防护增强能力提升关键能力建设管理能力风险评估|流程制度合规管理|应急响应技术能力攻击模拟|漏洞挖掘

安全开发|测试验证车联网安全是一个动态持续的过程，

唯有将"以攻促防"思维融入全生命周期，

才能在网络威胁博弈中占据主动运营阶段实时监控威胁检测事件响应安全运营持续改进维护阶段补丁管理安全更新配置管理定期评估风险评估设计阶段安全需求威胁建模架构设计安全控制基线设计报废阶段数据销毁密钥注销安全清理合规处置经验总结持续改进经验反馈流程优化能力建设文化培养创新发展生产阶段安全测试代码审计漏洞扫描渗透测试安全验证协同能力情报共享|联防联控产业协作|标准制定运营能力监控分析|事件处置威胁狩猎|态势感知创新能力前沿技术|新型防护AI安全|智能防御人才能力专业培养|技能提升团队建设|文化塑造洞察先机威胁情报攻击技术预判风险供应链脆弱性第三方风险精准防御针对性控制CAN

IDS/IPS数据安全隐私威胁常态风险软件缺陷车辆召回安全问题无线攻击攻击面不断扩大持续验证BAS模拟

效果检验以攻促防核心理念AI威胁充电设施新兴技术➢车联网安全现状➢车联网攻击技术➢车联网安全比赛经验➢车联网安全解决方案政策制定者与监管机构法规标准体系

市场监管

产业引导支持

国际合作供应链风险管控与OEM协作质量保证体系持续改进汽车制造商(OEMs)最终责任主体技术支撑与发展方向威胁情报共享Auto-ISACs协同防护行业标准统一国际互认互操作性车联网安全协同共治生态系统V2X安全解决方案持续创新零部件供应商