点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
OTA作为汽车软件升级的新型方式,升级流程大致分为:
1.企业推送OTA升级包,车端与OTA云服务器建立安全连接,一般将待更新的固件传输到车辆的 T-box(或者其他联网部件),再传输给 OTA Manager。
2.OTA Manager管理所有 ECU 的升级过程,它负责将固件分发到 ECU,并告知 ECU 何时执行更新。
3.ECU更新完成后,OTA Manager通过 T-box(或者其他联网部件)向云服务器发送确认。
OTA安全风险存在于升级的各个流程,常见的安全风险有云服务器安全风险、传输安全风险、通讯协议安全风险、车端安全风险、升级包篡改风险等。
OTA云服务器主要进行升级包制作、软件管理、策略及任务管理等。OTA云服务器与其它云平台一样,容易遭受DDoS攻击、MITC攻击、跨云攻击、编排攻击、加密劫持等,可能导致用户敏感信息泄露、推送的升级包被篡改、升级策略更改等风险。
OTA云服务推送软件升级包到车端的过程,若采用弱认证方式或明文传输,容易遭受中间人攻击、窃听攻击等,黑客可进一步获取升级包进行解析、篡改升级包信息等,可能导致关键信息泄露、代码业务逻辑泄露等风险。
云端与车端的通信过程若采用不安全的通信协议或通信过程不采用认证机制、明文通信等,容易遭受中间人攻击、窃听攻击、重放攻击、DoS攻击等,可能导致车端升级信息错误、敏感信息泄露、拒绝服务等风险。
车端获取到升级包后会进入升级流程。若引导程序、系统程序、OTA版本号等固定参数可信验证策略不安全或缺失,可能导致车端运行恶意系统,造成隐私泄露、财产损失等风险。此外,车端系统出现公开漏洞,若不及时进行修复,可能导致黑客利用漏洞进行攻击,造成车辆、财产乃至人身安全风险。
篡改或伪造升级包后发送到车端,若车端升级流程缺少必要的验证机制或验证机制存在漏洞,篡改或伪造的升级包可顺利完成升级流程,可达到篡改系统、植入后门等恶意目的。
本文对OTA升级过程中可能存在的安全风险进行检测。
(1)通过调试工具进入到车机系统后,发现数据库文件存在TSP平台信息泄露。可以看到OTA升级地址。
(2)对该云平台尝试进行渗透。发现开放某端口,且需要证书进行连接。
(3)发现采用了明文MQTT协议进行传输。尝试接入,发现可连接并可订阅相关消息。
(4)使用漏洞扫描工具对IVI进行漏洞扫描。发现DHCP服务器存在检测漏洞,低危。
系统漏洞扫描
(5)篡改升级包,尝试尽进行本地升级。修改相关文件关键信息,升级包无法正常启动。
文章来源:车端
智能网联汽车信息安全综述
会员权益: (点击可进入)谈思实验室VIP会员
谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。
每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全、功能安全、自动驾驶、TARA、渗透测试、SOTIF、WP.29、以太网、物联网安全等,现专题社群仍然开放,入满即止。
扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。
原文始发于微信公众号(谈思实验室):网联汽车OTA升级流程及安全风险案例分析
