越智能越危险，智能网联汽车的安全隐患

2019年有两类新型车联网攻击方式爆出，新出现的攻击方式往往会打破这种平衡，原有的防护方案没有考虑到此类攻击手段，需要主机厂的重点关注。

这种攻击方式可以通过 TCU 的调试接口或者存储模块获取到 APN 的联网信息和 TSP 日志信息，通过连接 ESIM 模块与车厂的 TSP 服务器进行通信。APN 是运营商给厂商建立的一条专有网络，因为私网 APN 是专网，安全级别很高，直接接入到车厂的核心交换机上，绕过了网络侧的防火墙和入侵检测系统的防护。 一旦黑客通过私有 APN 网络渗透到车厂的内部网络，则可实施进一步的渗透攻击，实现远程批量控制汽车。

国内大部分自主品牌汽车，均使用私有 APN 连 接车控相关的 TSP 后端服务器。通过 ISP 拉专线可以在一定程度上保护后端服务器的安全，但与此同时也 给后端服务器带来了更多的安全风险，由于私有 APN 的存在， TSP 不会暴露于公网，导致 TSP 的安全人员 忽视了私有网络和 TSP 本身的安全问题，同时私有网络内没有设置严格的安全访问控制，过度信任 T-Box， 使得 T-Box 可以任意访问私有网络内部资产，同时很多不必要的基础设施服务也暴露于 APN 私网内，将引发更多安全风险。 

因此一旦黑客获取到智能汽车的 T-Box 通讯模块，即可通过通讯模块接入车厂私有网络，进而攻击车厂内网，导致 TSP 沦陷。 

例如，2019 年 11 月，360 SKY-GO 安全研究团队和梅赛德斯奔驰共同发现并修复了 19 个存在的漏洞，涉 及 到 的 CVE 漏 洞 有 CVE-2019-19556，CVE-2019-19557，CVE-2019-19560，CVE-2019-19561， CVE-2019-19562，CVE-2019-19563 等。这些漏洞可以实现批量远程开启车门、启动引擎等控车操作，影响梅赛德斯奔驰在路车辆 200 余万辆，是迄今为止造成影响最广，涉及车辆最多的一次车联网漏洞挖掘事件。

经过研究发现，现阶段大部分智能汽车的 TCU 都可以找到调试接口，并可以通过调试接口输出的日志，获取到很多敏感信息，包括系统启动日志、TSP 后端地址、APN 配置信息等，攻击者可通过获取到的 APN 配置信息，结合上 TCU 板载的 eSIM 进行上网，甚至可以访问到车厂的核心网络。也可以通过提取 TCU 上通讯模组的存储芯片，逆向分析固件，从而拿到 APN 配置、TSP 后端配置等重要信息。

对于双向认证的服务器，通过进一步提取出出 TLS 客户端证书，通过对 TCU上的 TSP 客户端进行逆向分析，获取到和后端服务器的通讯方式，就可以对 TSP 服务端进行访问。

2019 年 5 月，科恩实验室爆出特斯拉 Model S 的自动雨刮器，车道识别系统存在漏洞，研究人员静态逆向和动态调试分析了 APE（Autopilot ECU）的视觉识别系统，并尝试实施攻击。 首先，研究人员提取，并分析了固件（软件版本 2018.6.1）里面有关自动雨刮的操作代码。

通过逆向分析发现，fisheye 摄像头将开启自动雨刷图像识别的执行过程，此后会搭建一个判断天气情况 的神经网络文件，名称是“fisheye.prototxt”。神经网络的输出结果代表了系统对当前下雨概率做出的预测， 当结果超过阈值时，自动雨刮器就会启动。

研究人员通过使用一种名为 Worley 噪音（在计算机图形学中，它被广泛使用，以任意精度自动生成纹理。 Worley 噪声能够模拟石头，水或其他噪音的纹理）的噪音生成函数，通过加补丁的方式生成所需的对抗样本图片。最终通过在电视上放映生成的对抗样本图片，成功启动了特斯拉的自动雨刮器。

基于同样的原理，研究人员经过实验发现，只需在道路上贴上对抗样本贴纸，就能成功误导自动驾驶系统，使车辆行驶到对面的车道，造成逆行。  

通过压缩图片消除对抗扰动或打破扰动结构 通过对车道识别功能分析发现，首先摄像头对图像开始处理，然后将图像送入神经网络， detect_and_track 函数负责不断更新内部的高精地图，并根据周边的实时路况，不断向相关控制器发送对应的控制指令。 根据研究人员分析，特斯拉仅使用计算视觉识别系统来识别车道，在良好的外部环境下，该功能拥有不错的鲁棒性，但在真实道路上行驶时，只依靠视觉识别系统将会导致车辆遭受地面的对抗样本干扰项影响，从而驶离正常车道。