智能汽车安全：从漏洞挖掘到控车攻击实战指南<\/h1>

前言与背景<\/h2>

智能网联汽车安全现状：<\/p>

我国L3-L4级自动驾驶试点城市已拓展至数十个<\/li>
面临车载系统漏洞、远程攻击、数据泄露等安全风险<\/li>
汽车安全研究已有十多年历史，攻击难度和成本逐年提升<\/li>

汽车作为复杂系统，存在"水桶效应"：攻击者只需攻破一个ECU即可横向控制整车<\/li> <\/ul>

法规要求：<\/p>

中国2024年公布汽车信息安全强标<\/li>

国际法规R155、R156对汽车网络安全提出要求<\/li> <\/ul>

研究准备工作<\/h2>

硬件准备<\/h3>

获取研究目标：<\/p>

购买整车或搭建台架（推荐从闲鱼或汽修厂购买二手零部件）<\/li>
重点关注VCU、仪表盘、BCM等模块<\/li>
购买时确认是否有售后服务及引脚定义等技术支持<\/li> <\/ul> <\/li>

硬件安全研究方向：<\/p>

调试口测试<\/li>
侧信道攻击<\/li>

故障注入<\/li> <\/ul> <\/li> <\/ol>

固件获取方法<\/h3>

硬件提取方法<\/h4>

寻找调试口：<\/p>

检查芯片Datasheet确定调试接口<\/li>
对于BGA封装芯片需吹焊后使用编程器读取<\/li>
可使用飞线连接调试工具<\/li> <\/ul> <\/li>

固件分析：<\/p>

分析文件系统和文件格式<\/li>

使用binwalk等工具进行解包分析<\/li> <\/ul> <\/li> <\/ol>

互联网获取方法<\/h4>

资源渠道：

修车论坛、发烧友论坛<\/li>
网盘资源<\/li>
QQ\/WX\/TG群聊<\/li>

闲鱼等平台直接购买<\/li> <\/ul> <\/li> <\/ol>

固件分析与逆向<\/h2>

安卓车机分析实例<\/h3>

挂载固件：<\/li> <\/ol>

#!\/bin\/sh
<\/span><\/span><\/span><\/span>sudo mount -t ext4 -o loop system.img xxxivi
<\/span><\/span>echo "Mount Over!!!"<\/span>
<\/span><\/span><\/code><\/pre>

定位工程模式：<\/p>

使用字符串搜索定位工程模式APK<\/li>
重点关注getCertPwd()<\/code>等认证函数<\/li>
<\/ul>
<\/li>

密码生成脚本：<\/p>

根据逆向结果编写工程模式密码生成工具<\/li>
用于开启调试接口<\/li>
<\/ul>
<\/li>
<\/ol>
工程模式案例<\/h3>

多数汽车留有工程(后门)模式用于售后<\/li>
不同车型工程模式开启方法各异<\/li>
示例：某新能源车ADB开启方法较为复杂<\/li>
<\/ul>
网络探测与攻击面发现<\/h2>
端口扫描方法<\/h3>


接入车内网络：<\/p>

首选车机热点功能<\/li>
次选让车机连接研究者创建的热点<\/li>
<\/ul>
<\/li>

扫描工具：<\/p>

使用Nmap等工具扫描车内网络<\/li>
常见开放端口：ivi、qnx和tbox的5555、21端口等<\/li>
<\/ul>
<\/li>
<\/ol>
Tbox快速定位技巧<\/h3>


网关定位法：<\/p>

连接车机热点后查看WIFI网卡网关<\/li>
通常网关地址即为Tbox地址<\/li>
<\/ul>
<\/li>

路由追踪法：<\/p>

使用traceroute<\/code>追踪到公网的路由<\/li>
公网IP前一个地址通常为Tbox IP<\/li>
<\/ul>
<\/li>
<\/ol>
突破网络隔离方法<\/h3>


IP地址修改：<\/p>

修改IP到非限制网段(如从0-120改为150)<\/li>
<\/ul>
<\/li>

路由表添加：<\/p>

获取ivi或ECU shell后添加路由表<\/li>
<\/ul>
<\/li>
<\/ol>
实战漏洞案例<\/h2>
弱口令\/硬编码漏洞<\/h3>


攻击链：<\/p>

接入车辆WIFI → 利用硬编码进入ivi shell → 连接tbox SSH → 通过Dbus控车<\/li>
<\/ul>
<\/li>

发现方法：<\/p>

逆向发现账户信息泄露<\/li>
APP逆向发现AK\/SK泄露导致主机接管<\/li>
<\/ul>
<\/li>

防护建议：<\/p>

避免使用弱口令和硬编码凭证<\/li>
加强敏感信息保护<\/li>
<\/ul>
<\/li>
<\/ol>
堆栈溢出\/拒绝服务漏洞<\/h3>


发现流程：<\/p>

端口扫描发现开放服务<\/li>
逆向定位漏洞：

strstr<\/code>操作后无判空<\/li>
strncpy<\/code>不检查长度导致栈溢出<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

EXP编写：<\/p>

回溯漏洞触发路径<\/li>
构造恶意输入触发漏洞<\/li>
<\/ul>
<\/li>

影响：<\/p>

导致车机不断重启<\/li>
难以进一步利用(缺少root权限)<\/li>
<\/ul>
<\/li>
<\/ol>
命令注入漏洞<\/h3>


攻击过程：<\/p>

发现root权限服务端口<\/li>
逆向定位命令注入点<\/li>
获取rootshell后观察IPC通信<\/li>
逆向通信协议伪造控车指令<\/li>
<\/ul>
<\/li>

实际效果：<\/p>

完成汽车解锁等控制<\/li>
<\/ul>
<\/li>
<\/ol>
蓝牙漏洞<\/h3>


攻击特点：<\/p>

无需配对的无感攻击<\/li>
模拟HID设备键盘输入<\/li>
<\/ul>
<\/li>

攻击效果：<\/p>

一键下电<\/li>
开启车门\/车窗<\/li>
通过更改payload实现不同功能<\/li>
<\/ul>
<\/li>
<\/ol>
远程控制漏洞<\/h3>


攻击链：<\/p>

逆向车主APP发现接口泄露MQTT凭证<\/li>
获取证书文件(ZIP包)<\/li>
登录MQTT订阅主题获取信息<\/li>
获取车主Token并伪造控车指令<\/li>
<\/ul>
<\/li>

获取信息：<\/p>

车辆位置<\/li>
车主电话<\/li>
控车权限<\/li>
<\/ul>
<\/li>
<\/ol>
安全建议<\/h2>
对厂商的建议<\/h3>


安全体系建设：<\/p>

遵循国家强标和国际法规<\/li>
拆分安全建设阶段<\/li>
<\/ul>
<\/li>

具体措施：<\/p>

建立渗透测试环节<\/li>
引入安全测试流程<\/li>
创建SRC平台<\/li>
定期OTA更新<\/li>
<\/ul>
<\/li>
<\/ol>
对消费者的建议<\/h3>


购车选择：<\/p>

优先大厂品牌<\/li>
选择有专业安全团队的厂商<\/li>
选择频繁OTA更新的车型<\/li>
<\/ul>
<\/li>

日常防护：<\/p>

关注汽车安全新闻<\/li>
及时更新车载系统<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
汽车安全研究要点：<\/p>

攻击成本与防御投入的平衡<\/li>
绝对安全不存在，目标是提高攻击成本<\/li>
需要持续学习新技术应对新威胁<\/li>
<\/ol>
研究伦理：<\/p>

作为安全研究人员需认识漏洞的严重性<\/li>
负责任地披露漏洞<\/li>
为车联网安全保驾护航<\/li>
<\/ul>