Who Killed My Parked Car ?

针对汽车的电池消耗攻击和拒绝车身控制攻击

---

摘要

我们发现关于车辆网络攻击和防御的传统认知是不完全正确的，即只有当汽车点火打开时攻击可行，并因此需要防御。我们通过发现和应用两个新的可行且重要的攻击确认了这个事实：battery-drain（电池消耗攻击）和Denial-of-Body-control (拒绝车身控制攻击)。 当任一或两种攻击在有点火关闭情况下执行时，前者可以消耗电池电量而后者可以防止车主启动并进入他的汽车。我们首先分析在各种车载网络标准和实际实现中ECU的操作模式(例如：正常模式、睡眠模式、监听模式）是怎么定义的。 从这一分析，我们发现一个敌人可以利用车载网络的唤醒功能（这是最初设计为增强用户体验而设计的，例如远程诊断、远程控制温度）作为攻击向量。 具有讽刺意味的是，车载网络中的一个核心电池节能功能，使攻击者更容易唤醒ECU，因此电池消耗攻击和拒绝车身控制攻击能够执行并且成功。通过广泛地试验性评估各种真正的车型，我们证明，通过执行电池消耗攻击，敌人可以提高平均电池耗至少12.57倍，在几小时或几天内耗尽汽车电量，以此来使汽车瘫痪。 我们还证明了通过DoB攻击一辆真正的车，攻击者可以通过无限期地关闭一个ECU来切断车辆和车主钥匙之间的通讯，因而使车主无法启动和进入车内。

一、简介

现代车辆软件驱动的电子控制单元(ECU)和无线连接(Wi-Fi，蓝牙、蜂窝和V2X)是一把双刃剑。一方面，这增加了新的车辆应用程序和服务，例如远程诊断/预测和碰撞避免、增强了安全性、机动性和效率。 另一方面，也引入了多个远程面/点，因此敌人可以利用其脆弱性，最严重的，敌人可以远程控制车辆。
研究人员已经演示了如何利用远程端点中的漏洞来损害ECU并访问车载网络，比如通过PassThru诊断协议、蓝牙或者蜂窝网络。利用远程的脆弱的Ecu，研究人员已经证明能够通过数据包注入控制车辆机动甚至是关闭的车辆通[3,6-8]。事实上，由于汽车制造业的固有性质，这些可以被远程利用并控制ECU的漏洞被认为是不可避免的：车载零件和软件是由不同的组织的开发和编写的，因此漏洞自然出现在接口的边界[2]。汽车网络攻击的这种现实已经使车辆安全问题成为工业界、学术界和政府所要解决的最关键的问题之一。
虽然已经提出和证明了各种各样通过安全漏洞来攻击和控制车辆的方法，但是所有这些攻击手法只有当的车辆运行才是可行和有效的。也就是说，对于车辆网络攻击和防御的传统的认知的是：只有当点火打开时攻击是可行并因此需要防御。 因此，我们对汽车点火关闭时，敌人可以获得什么或者是否可以实施恶意攻击是缺乏了解的。
在本文中，我们证明那样的一个普遍的观念是站不住脚的，因为敌人可以攻击并控制一辆停着的车（点火关闭），并且使它永久性瘫痪。具体而言，我们提出了两种新型的攻击手法：battery-drain（电池消耗攻击）和Denial-of-Body-control （拒绝车身控制攻击DoB），这两者可以使车辆永久性瘫痪。
想要执行电池消耗攻击的话，攻击者首先需要获得车载网络的访问权，然后控制汽车的几个功能，最终把电池电量消耗到一个汽车无法启动的水平。本文中，我们称之为“固定”，是防止车主启动和开走汽车。因为点火是关闭的，有人可能会以为无论攻击者注入什么消息，车内的ECU没有一个会收到和回应注入的消息。然而，令人惊讶的是，我们对各种车载网络标准及其协议实现的分析揭示了即使在点火关闭时通过消息注入控制ECU功能也是可行的。具有讽刺意味的是，这种可行性的主要原因是“唤醒功能”-这一原本为了提高车主体验和便利的功能令攻击者能够唤醒停着的车的ECU并控制它们。也就是说，最初为一个好的原因而设计的唤醒功能成为了攻击向量。唤醒功能在车辆网络中得到标准化、实现和配备，使汽车制造商能够提供远程备用功能，如远程诊断、门/温度控制和防盗。如果没有唤醒功能，提供这些服务的ECU就不得不一直运行，这会消耗太多的电量。
因此，利用这样一个标准化的可用的唤醒功能，攻击者通过注入唤醒消息来唤醒ECU，通过发送特定的消息来控制ECU（例如：开灯，开/锁门改变动力模式，开后备箱等等），因此，他达到了目的：消耗汽车的电量。为了控制些功能，攻击者必须知道注入哪些消息（更确切地说，哪个消息ID），通常需要做一些艰苦的逆向工程。然而，针对电池耗尽攻击的目的，我们提出了一种基于驱动上下文的方案，该方案显著降低了攻击者逆向所需的控制消息的技术壁垒，即计算出要使用哪些消息ID，从而帮助攻击者在电池耗尽攻击中取得成功。
通过提出拒绝车身控制攻击（DOB），除了简单的唤醒ECU（也就是电池消耗攻击），攻击者可以强制所有觉醒的ECU进入“总线关闭”状态。攻击者这是否是事实，利用，这取决于他们的软件配置，一些ECU不从公共汽车下车恢复；一个政策在ISO 11898-1标准[ 9 ]指定。我们发现，通过实车上，DOB的攻击可以，评价事实上，导致案件重要的ECU，比如远程控制模块（RCM）-这是遥控钥匙和安全功能不从公共汽车下车，即恢复的一个组成部分，保持关闭。因此，关键的FOB和RCM（即车辆）之间的通信被切断，从而使驾驶员无法进入或启动他的车辆。这是说该电池消耗和DOB的攻击是有趣的，重要的，从已知攻击日期的原因有以下几点不同。
3 .威胁建模;
我们假设一个攻击者的目的是在汽车引擎关闭的时候使受害者的汽车瘫痪，并且尽可能隐蔽，影响其使用，组织车主启动和驾驶汽车为了保持隐蔽，攻击者最好在车主尝试启动器车前致使汽车瘫痪，虽然对手实际上可能会把车辆固定下来。当驾驶员试图启动车载网络时，只需在其内部洪水攻击。反过来，防止任何其他服务（例如，车身控制模块）接收/处理命令或干扰的关键FOB无线通道，我们不考虑这样一个对手。这种攻击方式会暴露攻击者以这种方式固定车辆很可能会暴露攻击者，因为当攻击被安装时，驾驶员/车主将在车附近。相反，在驾驶员试图进入/启动它之前，先将车辆固定起来，对手将不会留下任何痕迹，除了固定的车辆，即，非常隐身也就是说，对手可以妥协。