来源｜智车科技

文｜卡车技术前线

因为电脑容易受到网络攻击，所以自动驾驶车辆（AVs）也容易受到网络攻击也就不足为奇了。本文讨论了黑客可以用来攻克自动驾驶车辆的方法。当人们把一个相互通信的AV车队想象成一个运行中的计算机网络时，汽车被黑客攻击所带来的危险就更加复杂了。这使得AVs可能更容易受到攻击，而攻击的规模和可能造成的损害规模都有可能扩大。

攻击者将有机会最大限度地发挥其行动的影响。在最近的一次金融系统黑客攻击中，孟加拉国央行在美国纽约联邦储备银行的账户遭黑客攻击, 被窃 8100 万美元。当攻击者获得精确控制权，即使仅是一辆车，最终损害结果也可能是相当严重的。

规模扩大（Scaling out）指的是另一种现象。在攻击中被利用的AV系统中的缺陷有可能在软件和硬件中被广泛复制。因此，一旦被发现，它们可以显著放大后果。在某些情况下，受到黑客攻击的组件可能与自动驾驶或网联没有直接关系——例如，黑客攻击无线钥匙来开锁。在其他情况下，可以利用互联功能，例如通过智能手机监控或召唤汽车的能力。最令人担忧的是硬件中固有的缺陷，这些缺陷可能会被广泛复制，难以修补，从而对整个系统带来影响。

01

为什么车辆可能受到攻击？

原因在于目前车辆各部件之间通信的设计和实现方式采用CAN协议，而CAN协议的设计和实施决策过程中存在一些缺点，亦可称其为“CAN协议的弱点”。

第一个缺点是，使用CAN协议发送的消息会广播到连接到CAN总线的所有设备。因此，任何连接到CAN的设备都可以接收使用该协议发送的每条消息。这可以使恶意设备或受损设备捕获发送到其他设备的消息，对其进行重新设计，并将恶意消息发送到另一个设备，指示其采取不必要的操作。

第二个弱点是CAN协议易受DoS攻击。在这种情况下，实体可以通过CAN不间断地发送消息，从而拒绝连接到网络的其他设备使用CAN。

第三个缺点是由于没有指定的验证字段，因此无法对通过CAN发送的消息进行身份验证。这意味着任何可以访问CAN的恶意设备都可以假装是其他设备并通过CAN发送消息。对于通过CAN接收到的此类未经授权的消息，应由连接的组件进行防护。

第四个弱点是通过CAN支持诊断和测试，恶意攻击者可以利用这些功能对连接到CAN的一个或多个组件发起攻击。

02

攻击者如何访问车内网络？

讨论攻击车辆这一问题必须首先假设攻击者已经确保了对车内网络的访问，并且能够发起攻击。通过回顾一些已经进行的实验研究，来确认攻击者是否可以访问车内网络。

有关未经授权进入CAN总线网络的文献很少，一些研究在深入分析各种车辆ECU的内部组织（和互连）的基础上提出了合理的推测。米勒和瓦拉塞克在2014年拉斯维加斯举行的黑帽会议上提交了一份研究报告，从报告中的分析来看，显然连接到CAN的ECU没有很多被黑客攻击的记录，并且在许多情况下，有被黑客攻击历史的ECU并没有连接到CAN。这可以解释为什么黑客入侵车辆以访问其车内网络并不是一种常见现象。然而他们的分析确实发现了一些易受攻击的ECU与CAN总线网络相连的车辆。从理论上讲，通过对其中一个ECU进行黑客攻击，攻击者可以获得对CAN总线的未经授权的访问，然后可以通过CAN执行攻击。

蓝牙ECU、蜂窝网络远程通信ECU和信息娱乐系统ECU存在黑客入侵的可能。在2016年以色列网络安全公司Checkpoint提出了高通公司生产的某些芯片的四个缺陷，可以利用这些缺陷完全访问安装芯片的设备。许多先进的信息娱乐系统安装了许多不同的应用程序，如互联网浏览器和媒体播放器，这类软件以易受攻击而闻名。这表明攻击者可以侵入其中一个ECU以获得对车内网络的未经授权访问，这至少在理论上是可能的。

03

黑客攻击自动驾驶车辆的主要途径

我们发现了黑客可以用来控制AVs的三个主要途径。

1) 利用软件漏洞攻击自动驾驶汽车

恶意行为人可以通过侵入车辆的许多电子部件中的一个来获得对AV的未经授权的访问。已知在过去被黑客入侵的电子元件包括信息娱乐系统、蓝牙和蜂窝网络连接。

2) 通过插入恶意设备对自动驾驶车辆进行物理黑客攻击

Koscher等人（2010）已经证明，通过将笔记本电脑接入车载诊断–II（OBD-II）端口，可以访问车辆内部网络的核心部分（[CAN]，控制器局域网）。一旦攻击者获得对CAN网联的未经授权的访问，黑客就可以发起许多不同的攻击。

3) 入侵自主车辆生态系统的组成部分

▲自动驾驶车辆生态系统

在AV生态系统中，V2I和V2V通信可被利用来发起网络攻击。V2I和V2V通信可能使用专用短程通信（DSRC）协议进行，该协议允许中短程无线通信，但众所周知一些DSRC协议易受各种类型网络攻击的攻击，包括拒绝服务（DoS）攻击、全球定位系统（GPS）欺骗、重新定义和位置跟踪导致的隐私损失。5G作为支持V2X通信的一种手段，也可能同样脆弱，因为它依赖于一些类似的运行概念。基于云的处理和数据存储提供了另一组可能漏洞。与车辆通信的每种方式的特定漏洞都会有所不同，但每个通信方式都有可能产生漏洞。

黑客攻击AV生态系统的例子可能包括针对电动汽车充电站的网络攻击，寻求未经授权访问正在充电的AV。同样，诊断和维护站也可能遭到破坏并被用作攻击的手段。

现有的研究还讨论了危害AV制造商使用的OTA更新机制的攻击。如果这个机制被破坏，那么所有接收到这些更新的AV都将容易受到攻击。这一广泛的漏洞扩展了易受攻击车辆及所带来的危害程度。

攻击者可能会破坏AVs及其部件的供应链，或者利用zero-day漏洞，这是一种存在于软件中的缺陷，当发现漏洞时没有时间进行攻击预防。因为这些部件将是AV的重要组成部分，所以每台自动驾驶车辆都是易受攻击的，这是一个规模扩大（Scaling out）的有力例子。

04

黑客攻击可能的具体位置

基于文献中讨论的不同攻击模式，识别出了针对自动驾驶车辆的四种可能的黑客攻击方式。考虑到这些系统的进化特性以及黑客对这些变化的适应性，很难明确所有可能的攻击。

▲自动驾驶车辆组件

1) 禁用攻击

各种文献中讨论了多种攻击方式，如关闭发动机、重新配置发动机气缸的点火正时以干扰其工作、不断启动点火锁等。所有这些攻击都会禁用一个或多个AV系统。攻击造成的实际损害取决于其发生的时点。如果在一辆车停在车位的时候关闭了点火开关，除了司机感到不方便之外，对任何人来说都不是问题。如果汽车在攻击发生时正在市内导航行驶，那么潜在的危害性就会增加。这种可变性说明了在评估被黑客攻击的AV的影响时需要探索场景范围。

2) 过度提供服务攻击

过度提供服务攻击采取与禁用攻击相反的方法，它使AV提供服务或在没有要求服务或任何行动需要时采取行动。此类攻击的例子包括超速、制动或不制动、转向或不转向。类似与这种攻击的一个例子是对网站的拒绝服务攻击。在这种攻击中，数以百万计的服务请求被发送到服务器，目的是使该服务器超负荷，使其无法响应任何请求。这些攻击造成的损害也取决于时间和地点。

3) 数据操纵攻击

数据操纵攻击是将受损的数据提供给AV组件的攻击。这可能导致组件、AV在实际需要操作时不采取任何操作，或在不需要操作时采取操作。例如攻击者可以破坏AV的激光雷达单元，并有选择地擦除数据，从而使AV被欺骗，认为其行进路径中没有障碍物，这可能会导致车辆无法刹车或转向以避免撞上障碍物。对数据的操作可以采取选择性地删除、破坏或错误地增加数据的形式。同样地，数据中毒（data poisoning）能够以微妙的方式篡改训练数据甚至物理信号，可能会更隐蔽地带来风险。

4) 盗窃数据

窃取有关用户旅行模式的数据、使用座舱麦克风窃听用户的对话以及类似的攻击都可以归为这类攻击。然而，自动驾驶车辆本身并不是黑客唯一的攻击对象，AV制造商、组件制造商、保险公司或交通管理部门的数据中心都可能会遭到破坏，有关AVs运行的所有信息都可能被盗。在大多数情况下，这类攻击会导致隐私丢失。例如，当Target和Equifax遭到黑客攻击时，所有信用卡信息都被泄露，其结果就是客户隐私的巨大损失。攻击者可能会以AVs连接的服务器为目标。

在许多情况下，汽车制造商将使用第三方云提供商来托管相关软件和数据。这些第三方将成为利益相关者和潜在被告。

05

针对自动驾驶车辆的网络攻击

一些研究探索了对此类系统的潜在网络攻击，并提供了成功攻击AVs组件的概念性证明，为深入了解AVs可能遭受的网络攻击提供了一个框架。

这个讨论区分了被动攻击和主动攻击。被动攻击是指车辆被骗做出错误决定的行为。主动攻击是指车辆被明确指示或被迫做出错误决定的攻击。

1. 主动攻击

Koscher等人（2010年）对当代汽车的网络安全进行了实验分析。尽管他们的研究并不是针对AVs的安全性，但他们的实验结果仍然与AVs高度相关，因为分析的许多部件在大多数当代车辆上都是通用的，包括自动驾驶车辆。通过实验室实验和道路测试，作者证明了黑客有能力渗透到车辆的任何ECU（电子控制单元）中，可以绕过关键安全系统来控制车辆的许多功能。所有进行的实验都假定攻击者已经利用漏洞进入车辆部件。

Koscher等成功证明了针对几个重要ECU的攻击类型，包括对车身控制模块（BCM）、发动机控制模块、负责控制车辆防抱死制动系统（ABS）电子制动控制模块（EBCM）的攻击等。

一般来说，还可利用逆向工程技术对其他模块进行了攻击。研究人员指出，对这些模块进行逆向工程以找出要发送的指令和要处理的数据，从而实现成功的攻击，是非常容易的，尽管这些攻击需要比讨论的其他攻击更复杂的技术。

示例：对车身控制模块的攻击

车身控制模块（BCM）属于ECU，负责控制构成车身的各种自动部件的功能。电动车窗、电动门锁、挡风玻璃雨刮器、后备箱、制动灯等部件的功能都由车身控制模块控制。表A.1显示了车身控制模块上演示的不同类型的攻击。

2. 被动攻击

Petit和Shladover（2015）提供了一份关于AVs的合理网络攻击的清单。使用类似于工程设计中的失效模式分析方法，检核了AV的重要组成部分（以及它们在生态系统中相互作用的其他组成部分），以评估一些看似有可能的网络漏洞。下表描述了分析中发现的攻击类型、可能的后果、后果的严重程度等。

这些攻击本质上大多是被动的（让车辆做出错误的决定或诱使车辆做出错误的决定），而不是Koscher等人描述的主动攻击（指挥或强迫车辆做出错误的决定）。交通基础设施可能被利用，基础设施提供给车辆的数据可能被操纵，以使AVs采取通常不会采取的行动。尽管这些攻击对象不是车辆本身，但这是一类重要的攻击，如果攻击成功，可能会使法律责任分析复杂化。电子元件上的致盲和欺骗攻击很常见，当这些攻击在AVs上进行时，可能会导致撞车，而不仅仅是违反交通法规。对全球定位系统的攻击也是如此。另一类重要的攻击是数据盗窃，这可能导致拥有或使用AV的个人失去隐私，这种攻击可以通过窃取车载设备捕获的数据来实现。

▲对自动驾驶车辆组件及其他交通基础设施的攻击

06

各种黑客攻击行为的影响

自动驾驶车辆黑客行为及后果列表补充了前面的讨论，说明了对AV各种组件的攻击会如何影响汽车性能或功能。包括对发动机、传动系、制动系、转向系、动力、安全、稳定性、车身等车辆组件的控制，以及对导航、激光雷达、摄像头、V2V/V2I通讯、OTA升级、OBD等的操作及数据窃取等。

我们已经确定了黑客控制自动驾驶车辆的可能性，并初步讨论了由此造成的物理和经济损失的可能性。这种危害会对AVs制造商、所有者和运营商的责任造成影响。

▲自动驾驶车辆黑客行为及后果列表

07

小结

本文对自动驾驶车辆的网络安全问题的可能性、攻击车辆的主要途径和具体方式、攻击后果的影响等进行了初步的概念性讨论，希望能够引起自动驾驶技术公司及车辆OEM厂商的重视，从而推动自动驾驶车辆技术及产品的开发和应用。

参考文献：

When Autonomous Vehicles Are Hacked, Who Is Liable?, RAND Corporation.

---

网易智能开通视频号啦~Tech逆向思维是网易智能旗下专注专注于科技、AI领域大公司大事件、新观点新应用和当下科技热点的科普号。

来！带你换个角度看世界~

最新视频→【为啥所有手机APP都想访问你的通讯录和位置？】

欢迎大家留言互动，关注我们~

RECOMMEND

“

网易智能有12个不同垂直领域社群等你来

添加智能菌微信：kaiwu_club

”

扫码了解更多