聚焦IoT安全：对多厂商智能汽车产品的安全性探究

概述

长期以来，卡巴斯基实验室持续关注与物联网（IoT）技术相关的安全问题。在今年上半年，我们的专家在生物假肢装置的安全性方面取得了一些进展。而最近，我们对智能汽车的安全性进行了研究，调查结果表明其安全性也存在许多问题。

今年，我们决定继续开展小规模实验来验证设备的安全性，但将研究的重点转向了汽车相关的主题。近年来，由于车辆开始变得越来越智能，人与车、车与车之间的连接变得更多，因此汽车安全性的话题始终保持着较高的热度，研究人员也陆续发现了其中存在的一些问题。除了汽车本身之外，还有一些用于改善驾驶体验的外部设备，从车辆检测工具到各种调试设备。我们并没有在这个角度做独立研究，因此我们随机选择了几种不同的车辆连接设备，并对其配置进行安全检查。尽管这一过程无法被称为系统化的“调查”，但也能让我们直观地了解到要面对的安全问题。

我们对一些设备进行了安全研究，其中包括一些自动检测工具、仪表盘摄像头、GPS追踪器、智能报警系统、压力监控系统和温度监控系统。

检测工具OBD Dongle：安全性大曝光

在车辆诊断领域中，不可或缺的就是各种各样连接到OBD2诊断连接器的设备，这些设备大小不一，采取有线或无线的连接方式。从原理上来看，这些设备基本上都会插入到车辆的接口中，从而获取并提供关键的驾驶动态数据。其中一些设备可以独立运行，也有一些设备要依赖于计算机或手机。借助这些设备，可以为用户提供大量参数用于分析，其中的数据包括发动机转速、温度、涡轮增压、油压等。

还有一些应用程序，不仅仅能够读取上述数据，甚至还可以对车辆的“大脑”进行编程。举例来说，一些应用程序可以重置“检查引擎”的指示灯。用户如果使用这些应用，并通过它改变车辆运行的状态，那么可能会产生严重的风险。除了因操作人员失误导致车辆损坏的风险之外，还存在入侵者通过中间人攻击而控制设备的风险。当然，如果设备是通过有线方式连接的，那么这种风险就会变得非常小。但是，如果是通过无线方式，例如通过蓝牙或WiFi传输来自诊断端口的数据，这样一来被攻击者拦截的风险就会大幅增加。因此，我们非常关注此类设备的厂商是如何保证其安全性的。PHP大马

我们此次研究的设备由德国的厂商开发，并由一个知名汽车制造商品牌进行销售。出于安全考虑，我们在这里不会透露其名称。

该设备被称为赛车记录器，可以记录在赛道上的比赛视频，并记录从车辆获得的各类遥测数据，包括速度、发动机输出、增压等。

该设备与通过蓝牙连接的智能手机（iOS或Android）配合使用，全部数据都将显示在智能手机的屏幕上。由于我们希望研究这一设备的使用是否会对用户产生实际风险，因此我们首先对蓝牙连接进行分析。

我们的初步分析表明，该设备完全不支持iPhone，iPhone手机无法找到设备。我们推测，问题可能出现在设备固件上面。因此，接下来的所有实验都是在Android设备上进行的。

在开始使用设备之前，需要进行蓝牙配对。而蓝牙配对的过程不需要密码，任何人都可以随时进行配对，这是非常不安全的。

一旦设备配对之后，潜在攻击者首先需要一个序列号，才能连接到Dongle。这个序列号印在设备上面，因此潜在攻击者需要以物理的方式接触设备。这样一来，我们认为还是相对安全的。

但事实并非如此。序列号的格式类似于“000780d9b826”，我们也可以将其写为“00:07:80:d9:b8:26”这样的格式，实际上，这就是Dongle所使用的蓝牙适配器的MAC地址。基本上，如果潜在攻击者在设备的周围进行蓝牙扫描，通常就可以找到这个序列号。然而，设备竟然就使用了这个序列号（MAC地址）作为Dongle的密码。

使用过程中，Dongle会向周围空间进行广播，并且根据蓝牙的标准，它会公开其MAC地址以及访问密钥。这也就意味着，几乎任何人都可以在手机上安装简单的蓝牙探测工具，并在连接范围内找到名称为“OBD STICK”的设备来访问Dongle。

但对于攻击者来说，有一个坏消息，应用程序本身不允许攻击者控制汽车，只能对数据进行分析。那么，我们尝试一下，如果通过另一个应用程序来连接到Dongle会怎么样？我们尝试使用Google Play中的其他几个应用程序。

根据应用程序开发人员的说法，有相当多的功能列表可能会扰乱汽车驱动动态数据。我们无法对这一点进行测试，尽管应用程序可以连接到Dongle，但它无法从CAN总线读取数据。应用程序会通过特定协议与OBD Dongle进行交互，但我们此次研究的设备具有其独特的协议。

这种类型的Dongle通常采用ELM327芯片构建，ELM327芯片是市场上最为流行的微控制器，其主要作用是处理来自CAN总线的信号，并通过RS-232接口（蓝牙适配器或USB适配器）向用户提供信息。接口将通过无线电信号将数据传递到智能手机上，手机会将其传递给应用程序。至于如何处理信号、从CAN总线接收信号还是向其传送信号、将信号传输给用户的方式这些，都是完全由固件来驱动，存储在微控制器的ROM中。我们所研究的设备，使用了独特的AT90CAN128-16MU微控制器，以及与常用型号截然不同的固件。

由此，我们引申出一个问题，是否可以修改控制器的固件，以添加新的功能。我们发现，可以选择更新应用程序中的Dongle固件。经过对应用程序代码的研究，我们发现，该应用程序可以通过不安全的HTTP连接方式从开发人员的网站上下载固件，并且固件随应用程序本身一起提供。天天好彩

总而言之，我们可以获取到固件，并进行进一步分析和修改。那么，我们就可以实现攻击了吗？遗憾的是，固件是加密的，这一点其实并不意外，而且是厂商的明智之举，因为这可以保护设备操作过程中最为精细的部分——车辆与Dongle之间的数据交换协议。由此，我们获得固件的方法只有两种，从厂商