腾讯科恩安全实验室发现丰田雷克萨斯存在安全漏洞
字数 1684 2025-08-18 11:39:30

丰田/雷克萨斯车载系统安全漏洞分析与防护指南

漏洞概述

腾讯科恩安全实验室在2017款雷克萨斯NX300车型的AVN(音频、视频和导航)系统中发现了严重安全漏洞,这些漏洞也影响其他丰田/雷克萨斯车型(如LS和ES系列)。攻击者可利用这些漏洞实现对车辆的远程无接触攻击,向车内CAN网络发送恶意指令。

受影响系统组件

AVN系统架构

  • DCU(显示控制单元)
    • 主电路板模块暴露的攻击面:Wi-Fi、蓝牙和USB接口
    • 通过CAN消息与车内ECU间接通信
  • MEU(地图多媒体扩展单元)

漏洞详情

1. 蓝牙服务漏洞 (CVE-2020-5551等)

  • 类型:堆内存缓冲区错误漏洞(两个独立漏洞)
  • 位置:蓝牙连接建立过程中(配对前阶段)
  • 影响
    • 允许远程代码执行(RCE)
    • 以root权限在DCU的Linux系统中执行代码
    • 完全无需用户交互(无接触攻击)

2. 系统完整性漏洞

  • 安全启动缺失:DCU系统不支持安全启动
    • 后果:允许系统篡改(如替换启动动画等)

3. CAN消息过滤绕过

  • 现状:DCU uCOM模块实现了CAN消息过滤机制
  • 绕过方法
    • 通过逆向uCOM固件及其更新逻辑
    • 刷写恶意固件到uCOM电路板模块
    • 实现向娱乐CAN总线发送任意CAN消息

攻击链分析

完整攻击流程

  1. 初始入侵

    • 通过蓝牙漏洞获取DCU的root权限
    • 部署持久化恶意代码

  2. 命令与控制

    • 被入侵的DCU自动连接到攻击者Wi-Fi热点
    • 反弹远程可交互的rootshell

  3. CAN网络渗透

    • 通过SYSuCOM和CANuCOM发送任意CAN消息
    • 利用CAN诊断消息欺骗ECU执行非预期操作

  4. 物理影响

    • 触发车辆非预期的物理动作
    • (注:不影响转向、刹车或节气阀控制)

攻击前提条件

  1. 蓝牙MAC地址获取

    • 若DCU曾与手机配对过,可使用Ubertooth One设备嗅探MAC地址

  2. 攻击范围

    • 需在车辆近距离范围内(蓝牙有效距离)

厂商回应与修复

丰田公司确认:

  • 漏洞影响使用"特定多媒体单元"的丰田/雷克萨斯车型
  • 现实世界利用复杂度高,发生可能性有限
  • 已采取的修复措施:
    • 生产线直接修复
    • 为已售车辆提供软件更新

防护建议

1. 车主防护措施

  • 立即更新:安装丰田/雷克萨斯提供的软件更新
  • 蓝牙管理
    • 不使用时关闭车载蓝牙
    • 定期清除已配对设备列表
  • 物理防护
    • 在非信任环境中考虑使用RFID屏蔽袋保护钥匙

2. 企业防护建议

  • 安全启动实施:为所有车载ECU部署安全启动机制
  • 固件签名验证
    • 强化固件更新过程的签名验证
    • 防止未授权固件刷写
  • 网络隔离
    • 加强娱乐系统CAN与关键控制CAN之间的隔离
    • 实施严格的CAN消息过滤规则
  • 蓝牙服务加固
    • 降低蓝牙服务运行权限
    • 增加配对前阶段的输入验证

技术影响评估

  1. 攻击可行性

    • 需要专业的多媒体系统知识
    • 依赖特殊工具(如Ubertooth One)
    • 受限于蓝牙物理距离

  2. 潜在影响范围

    • 仅限于娱乐系统和部分非关键ECU
    • 无法控制关键安全系统(转向/制动等)

  3. 攻击检测难度

    • 常规使用中难以察觉异常
    • 需专业车载IDS系统进行监测

延伸思考

  1. 汽车安全研究趋势

    • 从关键ECU向信息娱乐系统转移
    • 无接触攻击成为研究重点

  2. 防御体系构建

    • 需建立分层的车载网络安全防护
    • 重视看似非关键组件的安全影响

  3. 行业协作

    • 白帽研究对提升整车安全的重要性
    • 漏洞披露流程的规范化需求

参考资源

  1. 腾讯科恩实验室完整报告:
    https://keenlab.tencent.com/zh/2020/03/30/Tencent-Keen-Security-Lab-Experimental-Security-Assessment-on-Lexus-Cars/

  2. JVN漏洞公告:
    https://jvn.jp/en/vu/JVNVU99396686/index.html

  3. 安全周报道:
    https://www.securityweek.com/vulnerabilities-expose-lexus-toyota-cars-hacker-attacks

丰田/雷克萨斯车载系统安全漏洞分析与防护指南 漏洞概述 腾讯科恩安全实验室在2017款雷克萨斯NX300车型的AVN(音频、视频和导航)系统中发现了严重安全漏洞,这些漏洞也影响其他丰田/雷克萨斯车型(如LS和ES系列)。攻击者可利用这些漏洞实现对车辆的远程无接触攻击,向车内CAN网络发送恶意指令。 受影响系统组件 AVN系统架构 DCU(显示控制单元) 主电路板模块暴露的攻击面:Wi-Fi、蓝牙和USB接口 通过CAN消息与车内ECU间接通信 MEU(地图多媒体扩展单元) 漏洞详情 1. 蓝牙服务漏洞 (CVE-2020-5551等) 类型 :堆内存缓冲区错误漏洞(两个独立漏洞) 位置 :蓝牙连接建立过程中(配对前阶段) 影响 : 允许远程代码执行(RCE) 以root权限在DCU的Linux系统中执行代码 完全无需用户交互(无接触攻击) 2. 系统完整性漏洞 安全启动缺失 :DCU系统不支持安全启动 后果:允许系统篡改(如替换启动动画等) 3. CAN消息过滤绕过 现状 :DCU uCOM模块实现了CAN消息过滤机制 绕过方法 : 通过逆向uCOM固件及其更新逻辑 刷写恶意固件到uCOM电路板模块 实现向娱乐CAN总线发送任意CAN消息 攻击链分析 完整攻击流程 初始入侵 : 通过蓝牙漏洞获取DCU的root权限 部署持久化恶意代码 命令与控制 : 被入侵的DCU自动连接到攻击者Wi-Fi热点 反弹远程可交互的rootshell CAN网络渗透 : 通过SYSuCOM和CANuCOM发送任意CAN消息 利用CAN诊断消息欺骗ECU执行非预期操作 物理影响 : 触发车辆非预期的物理动作 (注:不影响转向、刹车或节气阀控制) 攻击前提条件 蓝牙MAC地址获取 : 若DCU曾与手机配对过,可使用Ubertooth One设备嗅探MAC地址 攻击范围 : 需在车辆近距离范围内(蓝牙有效距离) 厂商回应与修复 丰田公司确认: 漏洞影响使用"特定多媒体单元"的丰田/雷克萨斯车型 现实世界利用复杂度高,发生可能性有限 已采取的修复措施: 生产线直接修复 为已售车辆提供软件更新 防护建议 1. 车主防护措施 立即更新 :安装丰田/雷克萨斯提供的软件更新 蓝牙管理 : 不使用时关闭车载蓝牙 定期清除已配对设备列表 物理防护 : 在非信任环境中考虑使用RFID屏蔽袋保护钥匙 2. 企业防护建议 安全启动实施 :为所有车载ECU部署安全启动机制 固件签名验证 : 强化固件更新过程的签名验证 防止未授权固件刷写 网络隔离 : 加强娱乐系统CAN与关键控制CAN之间的隔离 实施严格的CAN消息过滤规则 蓝牙服务加固 : 降低蓝牙服务运行权限 增加配对前阶段的输入验证 技术影响评估 攻击可行性 : 需要专业的多媒体系统知识 依赖特殊工具(如Ubertooth One) 受限于蓝牙物理距离 潜在影响范围 : 仅限于娱乐系统和部分非关键ECU 无法控制关键安全系统(转向/制动等) 攻击检测难度 : 常规使用中难以察觉异常 需专业车载IDS系统进行监测 延伸思考 汽车安全研究趋势 : 从关键ECU向信息娱乐系统转移 无接触攻击成为研究重点 防御体系构建 : 需建立分层的车载网络安全防护 重视看似非关键组件的安全影响 行业协作 : 白帽研究对提升整车安全的重要性 漏洞披露流程的规范化需求 参考资源 腾讯科恩实验室完整报告: https://keenlab.tencent.com/zh/2020/03/30/Tencent-Keen-Security-Lab-Experimental-Security-Assessment-on-Lexus-Cars/ JVN漏洞公告: https://jvn.jp/en/vu/JVNVU99396686/index.html 安全周报道: https://www.securityweek.com/vulnerabilities-expose-lexus-toyota-cars-hacker-attacks