Clever Geek Handbook

接続された車がどのようにハッキングされ、それに対して何をすべきか

インターネットに接続された自動運転車、実際には、車輪付きの半自律型ガジェットは、今日、運転をより安全にし、ドライバーが正しい決定を下し、危機的な状況にある人よりも速く反応するのを助けるために、機械的な対応物、クラウドサービス、道路インフラストラクチャと対話することを学びます。同時に、現代の自動車の電子充填とソフトウェアには非常に多くの脆弱性があるため、それらを破壊することは、障害物を持って走るのではなく、高速道路を運転することに似ています。この投稿では、Trend Microによる「接続された車へのセキュリティの駆動:脅威モデルと推奨事項」という調査で収集された、最新の車の安全性に関する調査結果を共有します



画像



特定のケースの説明に進む前に、問題について簡単に紹介しましょう。最新世代の典型的な乗用車には、エンジンだけでなく、1億行を超えるコードが内部に含まれています。比較的単純なモデルでさえ、独自のプロセッサとファームウェアを備えた約30の電子制御ユニット(ECU)を備えています。高級車にはそのようなブロックが100以上ある可能性があります。これらのECUは、相互に通信するために、迷路のようなデジタルバスを介して接続されています。こことCAN(コントロールエリアネットワーク)、イーサネット、FlexRay、LIN、MOST。それらはすべて異なる速度で動作し、異なるタイプのデータを転送し、車両の異なる部分間の接続を提供します。



エンジン、通信、燃料供給、ブレーキシステム、安全性など、車の重要な機能を制御するのはECUです。これらのコンポーネントの制御の一部は、ヘッドユニットを介して利用できます。



現代の自動車にはジオロケーションモジュールが装備されており、モバイルインターネットに接続でき、パブリックWi-Fiネットワークを使用することもできます。このような「スマートフォンオンホイール」は、よりコンパクトなポケットに対応するものと同様に、ワイヤレスインターフェイスを備えており、乗客にインターネットを配信できます。



さまざまなメーカーの自動車ネットワークの設計を調査したところ、ベンダーごとに実装方法は異なりますが、すべてのアーキテクチャに共通のコンポーネント(ゲートウェイ、ECU、CANバス、USB、ワイヤレスインターフェイス)があることがわかりました。すべての違いにもかかわらず、それらは同様の機能を実行し、同じ方法で相互作用します。このデータに基づいて、自動車ネットワークの一般化されたアーキテクチャを作成しました。



画像

接続された車の典型的なネットワークのブロック図。出典:Trend Micro



この図は、接続された車両に、リモートからの攻撃を可能にするネットワークインターフェイスがあることを示しています。このような攻撃の結果、1つまたは複数のECUが危険にさらされ、車両制御が完全に傍受される可能性があります。ハッカーによって悪用されたそのような攻撃と脆弱性のいくつかのケースを考えてみましょう。



ケース1:2015年にリモートハッキングされたジープチェロキー



2015年、CharlieMillerとChrisValasekは、Wiredマガジンと協力して、接続されたJeepCherokeeをリモートでハッキングしました



記者は高速道路に車を走らせた後、研究者たちは彼の車のシステムの制御を引き継ぎました-彼らはフルパワーで音楽とエアコンをオンにし、ワイパーブレードを強制的に作動させ、そして車の速度を時速10マイルに下げたので、他のドライバーが実験の参加者を追い越しました。最悪の事態は、彼が完全にコントロールを失ったことでした。ハッカーがマルチメディアシステム、エアコン、さらにはアクセルペダルさえもコントロールしました。



研究者たちは、メーカーのクライスラーが接続された車両に電力を供給するために使用したクラスAIPネットワークを発見しました。開いているポートをスキャンしたところ、各車でポート6667が開いていて、D-Busメッセージングデーモンが認証なしでTelnet経由でコマンドを受け入れていることがわかりました。 D-Busデーモンにコマンドを送信すると、MillerとValasekが車両の制御を完全に引き継ぎました。



画像

ジープチェロキー攻撃チェーン。出典:Trend Micro



一般に、ジープチェロキーの内部構造を研究する過程で、ハッカーは次のような興味深いものをたくさん見つけました。



  • , CAN-IHS (CAN Interior High Speed), CAN-C (CAN Critical), Jeep ;
  • Jeep , ;
  • IP- Jeep -, — , Chrysler D-Bus, 6667;
  • Renesas V850 OMAP (Open Multimedia Applications Platform) Chrysler — ( , SPI CAN CAN );
  • CAN-, .
  • — , , CAN- , V850, - ;
  • CAN, ;
  • 実際のECUからCANメッセージをスプーフィングする方法、またはこれらのECUを非アクティブ化して、コマンドの代わりに悪意のあるCANメッセージが実行されるようにする方法。


同じメーカーと特定の世代の車について話しているが、この状況は業界ではまったく珍しいことではないことに注意してください。これはクライスラーの問題ではなく、システム上の問題です。



ケース2:2016年にテスラをハッキング



2016年、TencentKeenセキュリティラボのスペシャリストがTeslaModel Sをハッキングしました。攻撃するために、彼らは脆弱性の複雑なチェーンを悪用して、車両ネットワークコンポーネントを侵害し、悪意のあるCANメッセージを挿入しました。



画像

2016年のテスラモデルSの攻撃チェーン。出典:Trend Micro



  1. 研究者は、すべてのテスラがメーカーの基準に従って自動的に接続される偽のテスラゲストホットスポットを設置しました。
  2. Tesla, -, Linux CVS-2013-6282. AppArmor.
  3. , root- «», — , Parrot, Bluetooth Wi-Fi, CAN.
  4. CAN-.
  5. Tesla Model S CAN-, . , .
  6. , / .
  7. , , CAN-.
  8. ESP, ABS, .


3: Tesla 2017



テスラでの脆弱性のデモンストレーションから1年後、Tencent Keenの専門家は、ElonMuskの会社がエラーにどれだけうまく対処したかを確認しました。その結果、電気自動車の別の妥協が行われました。



画像

2017年のテスラモデルSへの攻撃の連鎖。出典:Trend Micro



攻撃は、車が信頼できる接続を行った同じ偽のTeslaGuestホットスポットから始まりました。次に、研究者たちは再びWebkitエンジンに基づくブラウザの脆弱性を悪用しました。脆弱性は異なりますが、結果は同じでした。 Linuxカーネルのベンダー更新でさえ、役に立ちませんでした。ハッカーは再びAppArmorを無効にし、CIDへのルートアクセスを取得しました。



その後、研究者はテスラのEDS検証を無視するようにファームウェアを変更し、元の車のファームウェアに組み込まれているいくつかのイースターエッグをハッキングしました。イースターエッグの面白い性質にもかかわらず、彼らは研究者が使用したさまざまなECUにアクセスできました。



ケース4:2018年にBMWをハッキングする



テスラだけがセキュリティの問題を抱えているわけではないことを示すために、テンセントキーンはBMW車両用に3つの攻撃オプションを開発しました。USB/ OBD-IIを介したローカル攻撃と2つのリモート攻撃です。



画像

2018年のBMWへの攻撃の計画。出典:Trend Micro



最初の攻撃では、HTTPトラフィックを傍受することにより、BMW ConnectedDrive(2008年に導入された一連の電子車両オプション)でリモートコード実行を使用しました。



  • BMW ConnectedDrive HU-Intel BMW 2G 3G (TCB) HTTP, GSM GPRS- ;
  • , , , URL; GSM, WebKit;
  • -, root- HU-Jacinto, CAN;
  • その結果、CanTransmit_15E2F0関数を使用して任意のCANメッセージを送信できるようになりました。


リモート攻撃の2番目のバリアントはより複雑で、保護されていないSMSを介してTCBの脆弱性を悪用します。



結論と推奨事項



接続された車は、スマートな輸送ネットワークの1つのコンポーネントであり、何百万もの接続、エンドポイント、およびユーザーからなる複雑なエコシステムです。このエコシステムには、4つの主要なコンポーネントがあります。



  • 実際に接続された車。
  • 接続された車両がバックエンドと通信できるようにするデータネットワーク。
  • バックエンド-スマートトランスポートインフラストラクチャ全体の相互作用を保証するサーバー、データベース、およびアプリケーション。
  • 車両セキュリティセンター(VSOC)。スマートトランスポートネットワークの残りの部分から通知を収集して分析します。


スマートトランスポートシステムの複雑さは、次の攻撃が境界のどの部分に向けられるかを予測するのが非常に難しいレベルに達しています。この点で、接続された車両の保護は、ソフトウェアや車両の電子機器に限定されません。また、バックエンドとデータネットワークのセキュリティを確保する必要があります。



画像

接続された車の複合アーキテクチャ。出典:Trend Micro



車の保護用:



  • カーネットワークでネットワークセグメンテーションを使用し、重要なノードを「エンターテインメントとユーザー」のノードから分離します。これにより、横移動のリスクが軽減され、全体的な安全性が向上します。
  • ISO SAE. — ISO/SAE 21434 , .
  • , , . ISO 31000.
  • ISO/IEC 27001.
  • ISO/AWI 24089 « — »


:



  • ;
  • ;
  • .




-:

  • , ;
  • (NGFWs)/ (UTM), , (IPS), (IDS), , -, , ;
  • ;
  • , -, — ;
  • (BDS);
  • IPS IDS — , .


More articles:


All Articles