破解特斯拉的第一人解密 如何利用CAN 總線來黑掉你的汽車

　　對于汽車，有很多種攻擊途徑：OBD 盒子、WI-FI、藍(lán)牙、車機(jī) APP、車聯(lián)網(wǎng)平臺……它們都要經(jīng)由 CAN 總線進(jìn)行控制。如果 CAN 總線不安全，這樣的汽車就可以受到“狗帶”般的攻擊——你拿著車鑰匙也沒用，這車現(xiàn)在屬于控制了 CAN 總線的黑客。

　　破解特斯拉的第一人，360車聯(lián)網(wǎng)安全中心工程師劉健皓又造出“萬能車破解器”：正兒八經(jīng)買的一輛新車，可以輕而易舉地被他開走?!其實(shí)，在11月，劉健皓就展示了這一酷炫的技術(shù)。360 公司大樓下列陣了二十幾臺豪車，利用神秘的技術(shù)，劉健皓和團(tuán)隊(duì)輕松逐一破解了這些車。

　　這次，他就是來詳細(xì)解密——他是如何做到的。

　　CAN 總線留下的 BUG

　　一切危險的源頭是因?yàn)槠嚨腃AN總線設(shè)計(jì)。

　　CAN 是控制器局域網(wǎng)絡(luò) ( Controller Area Network ) 的簡稱，是在1986 年，由以研發(fā)和生產(chǎn)汽車電子產(chǎn)品著稱的德國 BOSCH 公司開發(fā)的，并最終成為國際標(biāo)準(zhǔn)(ISO 11898)，是國際上應(yīng)用最廣泛的現(xiàn)場總線之一。

　　對于汽車，有很多種攻擊途徑：OBD 盒子、WI-FI、藍(lán)牙、車機(jī) APP、車聯(lián)網(wǎng)平臺……它們都要經(jīng)由 CAN 總線進(jìn)行控制。如果 CAN 總線安全，那么即使黑客利用上述途徑，對車?；ㄕ校囌w安全還是可以被保證，這些花招都僅僅是“娛樂”而已。但是，如果 CAN 總線不安全，這樣的汽車就可以受到“狗帶”般的攻擊——你拿著車鑰匙也沒用，這車現(xiàn)在屬于控制了 CAN 總線的黑客。

　　如何守衛(wèi) CAN 總線的安全，要從 CAN 總線的結(jié)構(gòu)說起。

　　故事是這樣開始的，很久很久以前……

　　傳統(tǒng)的汽車線束結(jié)構(gòu)是這樣：很多控制器鏈接在一個東西上，控制器之間可能還會互相干擾……

　　直到有一天，人們?nèi)滩涣肆?，設(shè)計(jì)出一個總線架構(gòu)，就像交換機(jī)一樣，所有 ECU (電子控制單元)都要經(jīng)過這個“交換機(jī)”：交換信息，協(xié)調(diào)指令。

　　但是，現(xiàn)在看來，CAN 總線還有幾個致命的攻擊點(diǎn)：

　　1.它遵從 CSMA/CD 的交流方式，在任何一個節(jié)點(diǎn)搭上總線，都可以看到總線的數(shù)據(jù)，所以黑客只要找到一個點(diǎn)攻破，就可以看到車內(nèi)所有數(shù)據(jù);

　　2.它支持多路訪問，網(wǎng)絡(luò)上所有節(jié)點(diǎn)接收數(shù)據(jù)都經(jīng)過一條總線，所有數(shù)據(jù)都在一條線上，發(fā)的數(shù)據(jù)是廣播的，所以可以看到很多控制器發(fā)的控制指令，如果控制指令是明文，那么就可以通過重放的方式控制汽車的一些設(shè)備;

　　3.它有一個沖突檢測機(jī)制，所有節(jié)點(diǎn)在發(fā)送數(shù)據(jù)的過程中，會不斷檢測所發(fā)送的數(shù)據(jù)，預(yù)防與其它節(jié)點(diǎn)產(chǎn)生沖突，由于這樣的機(jī)制，只要一直在傳統(tǒng)線中發(fā)送數(shù)據(jù)，就可以導(dǎo)致 CAN 總線拒絕服務(wù)，車上任何控制器都沒有反應(yīng)。

　　劉健皓介紹，只要知道 CAN 總線的數(shù)據(jù)、ID、發(fā)送周期，那么黑客就可以通過重放來判斷某個控制功能。

　　所以，對 CAN 總線的攻擊其實(shí)十分危險，可以竊聽總線數(shù)據(jù)、偽造協(xié)議，實(shí)施重放攻擊和拒絕服務(wù)攻擊。這意味著，如果做了這些動作，車處于極度危險中。 萬能車破解器真的能破解一切車?