云服务漏洞事件:比亚迪,其实你不冤
(本文作者:VisualThreat 车联网安全公司 CEO 严威)最近的比亚迪云服务漏洞事件,实际上映射出一种不对称的比赛: 缺少安全防护近似裸奔的车厂和全副武装的安全公司的对峙。车厂在小心翼翼推出其车联网云服务的时候,不时会受到安全公司的阻击,曝光其安全漏洞。由于采用简单粗暴的直接媒体点名曝光的方式,汽车厂商会觉得沮丧和懊恼。当然,这不能怪车厂,连美国三大汽车厂商都没有一支人数众多专业的安全团队,连特斯拉和宝马车载云服务都之前都被 KO,我们对国内厂商又能有多高的期望呢? 问题在于:面对这场必输的被点名参战的比赛,车厂能否输的体面些或者尽力避免这样的比赛?对于比亚迪破解事件而言,之前的两件事可能会引出这一事件的另外一种结局。 时间回到 2015 年 4 月,VisualThreat 车联网安全公司在汽车科技媒体 geekcar 上发布了业界第一份车联网应用安全现状报告。基于对近 15 大类 300 个汽车应用的安全分析,报告研究表明,汽车应用安全漏洞隐患 2015 年比 2014 年更严重,市场需要专门针对汽车应用的安全审计机制。 2015 年 6 月 8 日 VisualThreat 的车联网应用漏洞自动监控平台捕获到比亚迪云服务应用 V2.5 版本有多个高危漏洞(本文后面会详细说明)。两个星期之后,360 团队爆出比亚迪云服务漏洞。VisualThreat 还专门和 360 该团队沟通了他们发现的安全漏洞, 确认双方发现的高危漏洞一致,如果这些漏洞事先得到修补,会使得攻击技术门槛提高很多。 假设一下,如果是比亚迪自己先于媒体渠道知晓其应用中存在的漏洞并且进行了修复和版本更新,或者能避免被曝光。退一步讲,至少在攻防赛中也能和 360 的团队鏖战几十回合虽败犹荣。 言归正传,下面把比亚迪云服务应用的安全性和业界平均水平进行比较来说明:为什么比亚迪输的一点都不冤。 FACT1:通信没有加密《2015 汽车移动应用安全现状报告》中的一项指标是通信加密。77%的汽车应用通信没有加密,比亚迪的这次被破解恰恰被利用到了这一点漏洞,也就是说,比亚迪的应用很不幸属于这 77%之中。 FACT2:平均每个汽车应用有 5-7 个中高危安全漏洞 比亚迪的这款应用属于「 车厂定制」 的分类。4 月份出炉的《2015 汽车移动应用安全现状报告》有一段原话:另外一个有趣的发现是,虽然车厂对汽车的协议、用户数据有得天独厚的占有优势,但是整车厂针对自己品牌汽车定制的移动应用在安全方面却让人大跌眼镜,平均 7.5 个安全漏洞也是「 高居榜首」。这句话不幸被言中了,比亚迪中枪了。比亚迪云服务应用除了低危漏洞,还包括 9 个中高危漏洞,比平均水平还要高许多。换句话说:不欺负你还欺负谁啊! FACT3:常见安全漏洞 汽车应用中最常见安全漏洞排名前三的是通信不安全,代码无混淆,和中间人攻击。如下图所示。比亚迪的应用至少有两项都占了。 如果我们要细分,下表是按照应用的不同分类总结出来的安全数据,最后一行是车厂定制类。 表 2. 汽车行业应用细分安全漏洞分布图 Vulnerability URI Exposure URL Exposure Component Exposure Exposed Access Privilege Repackage Code Confusion Unsecured Communication Man-in-the-Middle Attack Number Of Vulnerabilities 160 217 168 124 124 215 226 176 OBD 36.9% 75.4% 40.0% 36.9% 58.5% 67.7% 95.4% 41.5% 导航地图 60.6% 63.6% 66.7% 51.5% 30.3% 69.7% 66.7% 66.7% 租车 74.2% 90.3% 58.1% 38.7% 22.6% 80.6% 96.8% 87.1% 保养 67.9% 60.7% 67.9% 53.6% 42.9% 67.9% 67.9% 46.4% 汽车诊断 56.0% 60.0% … 继续阅读
男人四十和 OBD 有什么关系?
本文作者:严威,安全公司 VisualThreat 创始人。 有车生活真的那么美好吗? 作为一个有十几年驾龄的人,我开过旧车也开过新车。无论是什么车,我本能的都不希望汽车出毛病,每当看到仪表盘有什么指示灯亮起来,第一个进入脑子的想法就是:修车真烦。 于是乎,我渐渐地习惯于仪表盘上的 「engine」 灯长亮着,我知道是某个氧气传感器坏了,但这并不妨碍我继续开车,直到要年检的时候再花点儿银子把它修好,或者索性找个工具把故障灯消掉,跑几圈然后去车检。唯一要做的保养就是每隔几个月换换机油而已 ,就这样,买车后一直开了十年没有什么大问题。 我的另一个朋友也是这样,一开始买了豹子头(捷豹),后来觉得维修保养太贵,索性换成了国产福特。他懒得修车,目标就是要一直开着它,直到开坏为止。 像我和我朋友这样的人,绝对不在少数。 很多车主对维护汽车这件事都本能的排斥,所以,即使 OBD 可以精确的诊断出汽车存在的问题,这也不能成为他们的痛点。换句话说,他们唯恐避之不及的事情,怎么会变为他们每天生活里必查的几件事情之一呢?或者,OBD 检测出来了问题,对于他们来说这反而会成为「 心病」。 那有车生活到底是什么样的?说说我的种种「 不幸」 吧:每天上下班都看到小区里密密麻麻的汽车,窄窄的小区通道容不下汽车双行,不时要躲让对面的车,首先这种事情就让我头疼。 另外的问题和家人有关。有一次我老婆的车被追尾了,造成她轻微脑震荡。她每天上下班一个小时,现在我每天就特别担心这短时间,总是希望知道她是否安全,以及晚上六点钟到了哪里。为什么是六点钟?因为这是接小孩的时间,我想知道她能不能赶得及接孩子,要不然可以由我去接。另外,丈母娘每次都会打好几个电话问老婆什么时候回家,因为要根据她的位置决定何时做饭。丈母娘要最优化地做到她一进门,饭菜就刚刚做好,而不管饥肠辘辘的我……这就是悲催的人生…… 至于车在一个月内被刮两次,窗户被砸,GPS 被偷……这些事相比之下根本不值一提了。 真正的痛点是什么? 其实上面说的这些,就包括了好几个和我们日常生活有关的痛点。要解决这些问题,问问汽车就好了,车子里每天产生几百兆的数据,里面能找到各种各样的答案。 但是问题是,我们精心聆听了吗? 市面上的 OBD 产品每隔几分钟甚至几秒钟就会主动的向汽车询问转速、油耗(进气量)、刹车等数据,这些冰冷的数字有多少融入了普通人柴米油盐的生活中,又有多少能或多或少减轻中年男人鸭梨山大的工作和家庭生活压力? 如果有这么一种产品,能把我们日常生活中和汽车有关的、而且需要经常查看或者是担心的需求输入到这个产品中去,然后像闹钟一样把我们需要的信息在恰当的时候通过手机通知到我们,或许能让我们省些时间去思考「 如何让乏味的生活多彩起来」 的问题。 安全产品天生就是这种性质的,当它运行的时候,用户是察觉不到的,当有问题的时候才发现它的存在,比如杀毒软件和网络防火墙。 通过 OBD 听听汽车在说些什么 这些产品监听你的计算机或者网络端口,从不主动干扰用户的使用和网络流量,只有在发现危险的时候才做一些防御动作。目前针对汽车的攻击场景越来越多,汽车安全防护就特别适合在默默保护汽车的同时,满足你对汽车泛安全和智能交互的需求。而至于汽车的监听端口,不用说当然是 OBD —— 这个由法律和后装市场的利益驱动,未来几年都不会消亡的端口。 好了,以上的吐槽和思考该到此为止了。正是因为有了上面这些「 心路历程」,才有接下来的东西,也就是我如何做「 汽车安全」。 我们的公司叫 VisualThreat ,奇虎 360 在今年 8 月份发布了一份「 智能汽车安全风险和对策研究报告」,我们是其调研出的唯一一家汽车安全防火墙公司。 7 月份,我们推出了第一款 OBD 防汽车攻击硬件防火墙,以此来防范目前所有的 OBD 攻击模式。 上个月在中国互联网安全大会上,黑客团队很轻易的打开了奔驰等高档车的车门,而这几天,VisualThreat 刚刚完成针对这种行为的防护方案:无论你用什么方法进行攻击,最后破坏的手段无非就是打开车门、后备箱等地方。 我们的解决方案就像把耳朵放在地上一样,用防火墙聆听汽车内部的数据流,一旦发现诸如有车门打开,发动机启动这种事件,它可以结合车主当前的状态,来决定是否是偷窃等攻击行为,给车主第一时间报警,按照定制好的安全方案进行行动。 这只是十几种汽车保护情景模式之一。基于此,在防火墙这种冰冷的底层保护基础上,我们增加了定制的泛安全汽车智能交互功能。 与市场上类似的 OBD 防盗设备不同,VisualThreat 是从移动安全云解决方案切入到车联网安全的。之前,我们已经打造了业内领先的移动数据威胁自动化分析处理平台,把安全功能通过 API 调研接口的方式给用户使用。对于车联网安全,我们的智能 OBD 硬件防火墙可以把车内过滤的和智能安全有关的汽车数据和收集的车主状态数据发送到云端,融合到现有的大数据关联中,在几秒之内判断出人和车的状态,决定是否进行报警。如果第三方需要这类安全智能服务,公司会提供 API 方便使用。 用 VisualThreat 的话说,汽车每天已经说了很多话了,用户只需要个过滤器,选出他们所关心的,每天开车出行需要的功能,帮助实现,这就是用户的粘度!