破解特斯拉的第一人解密 如何利用CAN 總線(xiàn)來(lái)黑掉你的汽車(chē)

　　對于汽車(chē)，有很多種攻擊途徑：OBD 盒子、WI-FI、藍牙、車(chē)機 APP、車(chē)聯(lián)網(wǎng)平臺……它們都要經(jīng)由 CAN 總線(xiàn)進(jìn)行控制。如果 CAN 總線(xiàn)不安全，這樣的汽車(chē)就可以受到“狗帶”般的攻擊——你拿著(zhù)車(chē)鑰匙也沒(méi)用，這車(chē)現在屬于控制了 CAN 總線(xiàn)的黑客。

　　破解特斯拉的第一人，360車(chē)聯(lián)網(wǎng)安全中心工程師劉健皓又造出“萬(wàn)能車(chē)破解器”：正兒八經(jīng)買(mǎi)的一輛新車(chē)，可以輕而易舉地被他開(kāi)走?!其實(shí)，在11月，劉健皓就展示了這一酷炫的技術(shù)。360 公司大樓下列陣了二十幾臺豪車(chē)，利用神秘的技術(shù)，劉健皓和團隊輕松逐一破解了這些車(chē)。

　　這次，他就是來(lái)詳細解密——他是如何做到的。

　　CAN 總線(xiàn)留下的 BUG

　　一切危險的源頭是因為汽車(chē)的CAN總線(xiàn)設計。

　　CAN 是控制器局域網(wǎng)絡(luò ) ( Controller Area Network ) 的簡(jiǎn)稱(chēng)，是在1986 年，由以研發(fā)和生產(chǎn)汽車(chē)電子產(chǎn)品著(zhù)稱(chēng)的德國 BOSCH 公司開(kāi)發(fā)的，并最終成為國際標準(ISO 11898)，是國際上應用最廣泛的現場(chǎng)總線(xiàn)之一。

　　對于汽車(chē)，有很多種攻擊途徑：OBD 盒子、WI-FI、藍牙、車(chē)機 APP、車(chē)聯(lián)網(wǎng)平臺……它們都要經(jīng)由 CAN 總線(xiàn)進(jìn)行控制。如果 CAN 總線(xiàn)安全，那么即使黑客利用上述途徑，對車(chē)?；ㄕ?，汽車(chē)整體安全還是可以被保證，這些花招都僅僅是“娛樂(lè )”而已。但是，如果 CAN 總線(xiàn)不安全，這樣的汽車(chē)就可以受到“狗帶”般的攻擊——你拿著(zhù)車(chē)鑰匙也沒(méi)用，這車(chē)現在屬于控制了 CAN 總線(xiàn)的黑客。

　　如何守衛 CAN 總線(xiàn)的安全，要從 CAN 總線(xiàn)的結構說(shuō)起。

　　故事是這樣開(kāi)始的，很久很久以前……

　　傳統的汽車(chē)線(xiàn)束結構是這樣：很多控制器鏈接在一個(gè)東西上，控制器之間可能還會(huì )互相干擾……

　　直到有一天，人們忍不了了，設計出一個(gè)總線(xiàn)架構，就像交換機一樣，所有 ECU (電子控制單元)都要經(jīng)過(guò)這個(gè)“交換機”：交換信息，協(xié)調指令。

　　但是，現在看來(lái)，CAN 總線(xiàn)還有幾個(gè)致命的攻擊點(diǎn)：

　　1.它遵從 CSMA/CD 的交流方式，在任何一個(gè)節點(diǎn)搭上總線(xiàn)，都可以看到總線(xiàn)的數據，所以黑客只要找到一個(gè)點(diǎn)攻破，就可以看到車(chē)內所有數據;

　　2.它支持多路訪(fǎng)問(wèn)，網(wǎng)絡(luò )上所有節點(diǎn)接收數據都經(jīng)過(guò)一條總線(xiàn)，所有數據都在一條線(xiàn)上，發(fā)的數據是廣播的，所以可以看到很多控制器發(fā)的控制指令，如果控制指令是明文，那么就可以通過(guò)重放的方式控制汽車(chē)的一些設備;

　　3.它有一個(gè)沖突檢測機制，所有節點(diǎn)在發(fā)送數據的過(guò)程中，會(huì )不斷檢測所發(fā)送的數據，預防與其它節點(diǎn)產(chǎn)生沖突，由于這樣的機制，只要一直在傳統線(xiàn)中發(fā)送數據，就可以導致 CAN 總線(xiàn)拒絕服務(wù)，車(chē)上任何控制器都沒(méi)有反應。

　　劉健皓介紹，只要知道 CAN 總線(xiàn)的數據、ID、發(fā)送周期，那么黑客就可以通過(guò)重放來(lái)判斷某個(gè)控制功能。

　　所以，對 CAN 總線(xiàn)的攻擊其實(shí)十分危險，可以竊聽(tīng)總線(xiàn)數據、偽造協(xié)議，實(shí)施重放攻擊和拒絕服務(wù)攻擊。這意味著(zhù)，如果做了這些動(dòng)作，車(chē)處于極度危險中。 萬(wàn)能車(chē)破解器真的能破解一切車(chē)?