车载网络架构与攻击面

大家好,我是老张。在车载安全这行摸爬滚打了十几年,今天咱们聊聊车载网络架构和攻击面。说实话,很多刚入行的朋友一上来就盯着应用层安全,却忽略了最底层的网络架构——这其实是个大坑。我见过太多案例,攻击者就是从看似不起眼的网络节点切入的。

车载网络拓扑:CAN、LIN、以太网

先说说车载网络。现在的车,说白了就是一个移动的局域网。里面跑着三种主流总线:CAN、LIN和车载以太网。它们各有各的脾气。

CAN总线

CAN总线是车载网络的元老。从90年代用到现在,可靠性没得说。但它的安全问题也很突出——设计之初压根没考虑过加密和认证。

我在项目中遇到过一件事:某款车型的CAN总线报文,用USBCAN设备就能直接抓包分析。你想想看,连个基本的访问控制都没有。攻击者只要物理接触到OBD接口,就能往总线上发伪造报文。

核心问题:CAN总线是广播式通信,所有节点都能看到所有报文。没有源地址认证,没有加密,没有完整性校验。

CAN总线的速率一般在125kbps到1Mbps之间。对于动力系统、底盘控制这些实时性要求高的场景,它够用了。但传输大数据量时,比如OTA升级,它就力不从心了。

LIN总线

LIN总线是CAN的小弟。成本低,速率只有20kbps左右。主要用于车窗、座椅、车灯这些非关键控制。

嗯,这里要注意:LIN总线的安全防护几乎为零。它采用主从架构,一个主节点带多个从节点。攻击者只要伪装成主节点,就能控制所有从节点。我曾经在测试中发现,通过OBD接口注入LIN报文,能直接控制车窗升降——这要是被恶意利用,后果你懂的。

车载以太网

车载以太网是近几年的新宠。速率从100Mbps到10Gbps不等,主要用于ADAS、信息娱乐系统这些高带宽场景。

以太网的好处是协议栈成熟,TCP/IP那一套都能用。但坏处也在这里——攻击面更大了。传统的网络攻击手段,比如ARP欺骗、DNS劫持,在车载以太网上同样适用。

总线类型 速率 主要用途 安全风险
CAN 125kbps-1Mbps 动力、底盘、车身 无认证、无加密
LIN 20kbps 车窗、座椅、车灯 主从架构易被伪造
以太网 100Mbps-10Gbps ADAS、信息娱乐 协议栈攻击面大

T-Box与车机端攻击面分析

T-Box和车机,是车载网络的两个关键入口。T-Box负责对外通信,车机负责交互。这两个设备一旦被攻破,整个车辆网络就暴露了。

T-Box攻击面

T-Box的攻击面主要集中在无线通信接口上。4G/5G模组、Wi-Fi、蓝牙,每个接口都是潜在的突破口。

我个人习惯把T-Box的攻击面分成三类:

  • 蜂窝网络攻击:伪基站、IMSI捕获、信令劫持。攻击者可以通过伪基站诱导T-Box连接到恶意网络。
  • 远程服务攻击:云平台API漏洞、OTA升级包篡改。我记得有一次,某厂商的OTA包没有做签名校验,攻击者直接替换了升级包。
  • 物理接口攻击:调试串口、JTAG接口。很多T-Box在量产时没有禁用调试接口,插上USB就能拿到shell。

避坑指南:我曾经见过一款T-Box,它的调试串口直接暴露在PCB边缘,没有任何防护。用一根杜邦线就能连上,然后通过串口读取整个文件系统。这种低级错误,在量产前就应该通过安全评审发现。

车机端攻击面

车机端的攻击面更复杂。因为它既要处理用户交互,又要连接车内网络。

车机常见的攻击路径包括:

  • 应用层攻击:恶意APP、WebView漏洞、JavaScript注入。车机上的应用商店如果审核不严,恶意APP就能趁机而入。
  • 系统层攻击:内核漏洞、提权攻击、文件系统越权访问。很多车机基于Android系统,Android的漏洞在车机上同样存在。
  • 通信层攻击:CAN报文注入、以太网ARP欺骗。车机作为网关,一旦被控,就能向CAN总线发送任意报文。

常见攻击路径:OBD、Wi-Fi、蓝牙

攻击路径,说白了就是攻击者怎么进到车里来。最常见的三个入口:OBD接口、Wi-Fi、蓝牙。

OBD接口攻击

OBD接口是车载网络的物理后门。它直接连接到CAN总线,有些车型还连接了LIN总线。

攻击者通过OBD接口能做什么?

  1. 读取所有CAN报文,分析车辆状态
  2. 发送伪造报文,控制车辆功能
  3. 刷写ECU固件,植入后门

我建议:OBD接口应该只用于诊断模式,并且在车辆行驶时禁用诊断功能。但很多车型没有做这个限制。

Wi-Fi攻击

车载Wi-Fi的攻击手段和普通Wi-Fi差不多。但车载Wi-Fi有个特点——它通常同时连接车内设备和外部网络。

常见的Wi-Fi攻击包括:

  • 邪恶双子攻击:攻击者伪造一个同名Wi-Fi热点,诱导车机连接。
  • 中间人攻击:在车机和云平台之间拦截通信数据。
  • WPA2漏洞利用:KRACK攻击等协议层漏洞。

个人经验:我在测试某款车型时发现,它的Wi-Fi默认密码是"12345678"。更离谱的是,这个密码写死在固件里,用户还改不了。这种问题,说白了就是开发人员图省事,没把安全当回事。

蓝牙攻击

蓝牙的攻击面相对小一些,但也不能忽视。特别是BLE(低功耗蓝牙)的普及,让攻击面扩大了不少。

蓝牙攻击的主要方式:

  • 蓝牙嗅探:抓取蓝牙通信数据,分析配对过程。
  • BlueBorne攻击:利用蓝牙协议栈漏洞,实现远程代码执行。
  • 配对劫持:在配对过程中插入恶意设备。

你想想看,蓝牙的通信距离只有10米左右,攻击者必须靠近车辆。但正因为这样,很多开发者觉得蓝牙攻击风险低,反而放松了防护。这是个典型的思维误区。

知识体系总览

下面这张图,是我梳理的车载网络攻击面知识体系。你可以把它当作一个检查清单,做安全评估时对照着看。

车载网络攻击面知识体系 车载网络架构 关键设备 攻击路径 CAN总线 LIN总线 以太网 T-Box 车机 OBD接口 Wi-Fi 蓝牙 广播式通信无认证 主从架构易伪造 协议栈攻击面大 无线接口/调试口 应用/系统/通信层 物理接入/报文注入 中间人/协议漏洞 核心原则:纵深防御,每个节点都可能是突破口 从网络架构 → 关键设备 → 攻击路径,逐层排查安全隐患

这张图把车载网络攻击面分成了三层。最上面是网络架构,中间是关键设备,下面是具体的攻击面。做安全评估时,我习惯从底层往上查——先看攻击路径,再看设备,最后看网络架构是否合理。

好了,这一章的内容就到这里。车载网络架构和攻击面是个大话题,咱们后面还会深入每个细节。记住一句话:攻击面是设计出来的,不是天生的。好的架构设计,能把攻击面降到最低。


公众号:蓝海资料掘金营,微信deep3321