車(chē)聯(lián)網(wǎng)技術(shù)本身是指:車(chē)輛上的車(chē)載設(shè)備通過(guò)無(wú)線通信技術(shù),對(duì)信息網(wǎng)絡(luò)平臺(tái)中的所有車(chē)輛動(dòng)態(tài)信息進(jìn)行有效利用��,在車(chē)輛運(yùn)行中提供不同的功能服務(wù)�。車(chē)聯(lián)網(wǎng)表現(xiàn)出以下幾點(diǎn)特征為:能夠?yàn)檐?chē)與車(chē)之間的行駛提供保障����,降低車(chē)輛發(fā)生碰撞事故的幾率;可以幫助車(chē)主實(shí)時(shí)導(dǎo)航�,并通過(guò)與其它車(chē)輛和網(wǎng)絡(luò)系統(tǒng)的通信,提高交通運(yùn)行的效率����;幫助監(jiān)管/監(jiān)控方掌控車(chē)輛的實(shí)時(shí)、歷史信息��,提升車(chē)輛管控效率����。
一旦車(chē)載終端通訊設(shè)備或車(chē)聯(lián)網(wǎng)終端管理平臺(tái)被黑客入侵,黑客可能間接或直接監(jiān)控汽車(chē)的實(shí)時(shí)運(yùn)行狀態(tài)和車(chē)輛行駛軌跡���,甚至可能對(duì)運(yùn)行參數(shù)進(jìn)行修改�,這都將對(duì)正在運(yùn)行的汽車(chē)造成不堪設(shè)想的后果。
目前車(chē)聯(lián)網(wǎng)安全行業(yè)研究人員相對(duì)較少�,遠(yuǎn)遠(yuǎn)不如傳統(tǒng)安全行業(yè)人員眾多。在開(kāi)展安全研究時(shí)又因?yàn)橥度氤杀靖?���,有極高入門(mén)門(mén)檻,同時(shí)車(chē)聯(lián)網(wǎng)行業(yè)的錯(cuò)綜復(fù)雜�����,應(yīng)用的各種通訊協(xié)議規(guī)范��、平臺(tái)應(yīng)用眾多��,導(dǎo)致對(duì)于獨(dú)立安全研究人員來(lái)說(shuō)對(duì)車(chē)聯(lián)網(wǎng)安全研究入手相對(duì)來(lái)說(shuō)比較難��。
終端與服務(wù)端的通訊協(xié)議是車(chē)聯(lián)網(wǎng)平臺(tái)中最基礎(chǔ)最重要的部分�����,起到連接和溝通兩端的作用�,交通部委和各省交通廳都對(duì)此制定了相關(guān)標(biāo)準(zhǔn)。而在諸多通訊協(xié)議標(biāo)準(zhǔn)中�����, JT/T808協(xié)議標(biāo)準(zhǔn)作為交通部牽頭定制的用于規(guī)定國(guó)內(nèi)道路運(yùn)輸車(chē)輛衛(wèi)星定位系統(tǒng)車(chē)載終端與平臺(tái)之間的通訊協(xié)議標(biāo)準(zhǔn)���,對(duì)各地方性協(xié)議的制定具有指導(dǎo)作用�,并且被車(chē)聯(lián)網(wǎng)平臺(tái)所廣泛應(yīng)用�,具有一定的權(quán)威性和通用性。我們將從對(duì)JT/T808協(xié)議標(biāo)準(zhǔn)的分析入手�,然后進(jìn)一步分析車(chē)聯(lián)網(wǎng)平臺(tái)端存在的安全風(fēng)險(xiǎn),希望能夠給大家在相關(guān)車(chē)聯(lián)網(wǎng)安全研究上提供一定的幫助��。
3.1 JT/T808協(xié)議
JT/T808全稱(chēng)為《道路運(yùn)輸車(chē)輛衛(wèi)星定位系統(tǒng)終端通訊協(xié)議及數(shù)據(jù)格式》�,其中按照年份現(xiàn)階段共發(fā)布了三個(gè)相關(guān)版本分別為:JT/T808-2011����、JT/T808-2013、JT/T808-2019�����。協(xié)議規(guī)定了道路運(yùn)輸車(chē)輛衛(wèi)星定位系統(tǒng)車(chē)載終端與車(chē)聯(lián)網(wǎng)監(jiān)管/監(jiān)控平臺(tái)之間的通信協(xié)議與數(shù)據(jù)格式, 包括協(xié)議基礎(chǔ)、通信連接��、消息處理�、協(xié)議分類(lèi)與要求及數(shù)據(jù)格式。
JT/T808通信協(xié)議采用TCP或UDP進(jìn)行封裝傳輸����,車(chē)聯(lián)網(wǎng)監(jiān)管/監(jiān)控平臺(tái)(以下簡(jiǎn)稱(chēng)“平臺(tái)”)作為服務(wù)器端,道路運(yùn)輸車(chē)輛衛(wèi)星定位系統(tǒng)車(chē)載終端(以下簡(jiǎn)稱(chēng)“終端”)作為客戶端����。當(dāng)數(shù)據(jù)通信鏈路異常時(shí),終端可采用SMS消息方式通信�,通信整體流程如下:
3.2 協(xié)議傳輸規(guī)則
協(xié)議應(yīng)采用大端模式的網(wǎng)絡(luò)字節(jié)序來(lái)傳遞字和雙字。傳輸規(guī)則約定如下:
BYTE的傳輸��,按照字節(jié)流的方式傳輸����;
WORD的傳輸,先傳遞高八位��,再傳遞低八位�����;
DWORD的傳輸�����,先傳遞高二十四位���,然后傳遞高十六位����,再傳遞高八位���,最后傳遞低八位�。
3.3 通訊協(xié)議解析
每條消息由標(biāo)識(shí)位�����、消息頭���、消息體和校驗(yàn)碼組成�,詳細(xì)數(shù)據(jù)結(jié)構(gòu)如下:
標(biāo)識(shí)位
| 消息頭
| 消息體
| 校驗(yàn)碼
| 標(biāo)志位
|
JT/T808協(xié)議采取0x7e作為數(shù)據(jù)標(biāo)識(shí)位���,標(biāo)識(shí)位位于每條消息的首尾兩端����;對(duì)于除標(biāo)識(shí)位之外的0x7e和0x7d則要進(jìn)行轉(zhuǎn)義:
先7d→7d 01
再7e→7d 01
消息頭中主要包括:消息ID、消息體屬性���、協(xié)議版本號(hào)�����、終端手機(jī)號(hào)�����、消息流水號(hào)�����、消息包封裝���。
消息體的數(shù)據(jù)格式和內(nèi)容根據(jù)對(duì)應(yīng)命令進(jìn)行確定,消息體的相關(guān)屬性由消息頭中的消息體屬性來(lái)確定�����,具體包括:保留字段��、版本標(biāo)識(shí)��、分包����、數(shù)據(jù)加密方式、消息體長(zhǎng)度�。
校驗(yàn)碼通過(guò)異或方式計(jì)算得到。
3.4 通訊消息例示
服務(wù)端發(fā)送信息例示——車(chē)門(mén)加鎖命令:
7E 85 00 00 01 01 23 45 67 89 98 00 06 01 14 7E
消息分析:
終端發(fā)送信息例示——終端位置信息上報(bào):
7E 02 00 00 26 01 23 45 67 89 98 00 7D 02 00 00 00 01 00 00 00 02 00 BA 7F 0E 07 E4 F1 1C 00 28 00 3C 00 00 18 10 15 10 10 10 01 04 00 00 00 64 02 02 00 7D 01 13 7E
消息分析:
4��、車(chē)聯(lián)網(wǎng)平臺(tái)端可能存在的安全風(fēng)險(xiǎn)分析
4.1 車(chē)聯(lián)網(wǎng)平臺(tái)服務(wù)端與終端交互的安全風(fēng)險(xiǎn)
車(chē)聯(lián)網(wǎng)平臺(tái)與終端在JT/T808協(xié)議時(shí)�����,一般的鑒權(quán)機(jī)制為:終端在未注冊(cè)狀態(tài)下�����,首先進(jìn)行注冊(cè)���,注冊(cè)成功后終端將獲得鑒權(quán)碼并保存��,鑒權(quán)碼在終端登錄時(shí)使用����,車(chē)輛需要拆除或更換終端前,終端應(yīng)該執(zhí)行注銷(xiāo)操作����,取消終端和車(chē)輛的對(duì)應(yīng)關(guān)系。
鑒于車(chē)聯(lián)網(wǎng)平臺(tái)開(kāi)發(fā)廠家眾多�����,在平臺(tái)服務(wù)端協(xié)議棧的實(shí)現(xiàn)方面不同的廠家���,可能存在不同的實(shí)現(xiàn)思路�����,從技術(shù)層面分析車(chē)聯(lián)網(wǎng)平臺(tái)端可能存在如下風(fēng)險(xiǎn)��。
4.1.1 車(chē)載終端枚舉
直接通過(guò)發(fā)送符合JT/T808協(xié)議格式的數(shù)據(jù)包到達(dá)服務(wù)端后�����,平臺(tái)不進(jìn)行相關(guān)鑒權(quán)也會(huì)返回給客戶端符合JT/T808協(xié)議格式的數(shù)據(jù)包�����,因此可以發(fā)送攜帶不同的終端手機(jī)號(hào)的數(shù)據(jù)包�,根據(jù)服務(wù)端的響應(yīng)來(lái)對(duì)終端進(jìn)行枚舉,探測(cè)真實(shí)存在的終端手機(jī)號(hào)�。黑客可以通過(guò)此方式實(shí)現(xiàn)專(zhuān)項(xiàng)滲透測(cè)試攻擊,極易鎖定相關(guān)目標(biāo)����。
4.1.2 車(chē)載終端異常數(shù)據(jù)偽造
根據(jù)JTT808協(xié)議規(guī)定����,終端在正式進(jìn)行使用之前,設(shè)備首先會(huì)發(fā)送注冊(cè)數(shù)據(jù)通過(guò)服務(wù)端進(jìn)行注冊(cè)���,服務(wù)端注冊(cè)成功后終端將獲得鑒權(quán)碼�,并把相關(guān)注冊(cè)信息在平臺(tái)保存��。這一過(guò)程中看似沒(méi)有相關(guān)安全風(fēng)險(xiǎn)���,但是如果攻擊者通過(guò)偽造注冊(cè)請(qǐng)求或者其他符合協(xié)議的異常數(shù)據(jù)內(nèi)容�,服務(wù)端將會(huì)出現(xiàn)大量異常設(shè)備驗(yàn)證或鑒權(quán)操作錯(cuò)誤日志與記錄���,干擾管理人員審計(jì)�����;并以此消耗服務(wù)器運(yùn)算資源���,從而可能導(dǎo)致服務(wù)端拒絕服務(wù)��。
4.1.3 車(chē)載終端通信偽造
在協(xié)議通訊過(guò)程中�,JT/T808服務(wù)端的開(kāi)發(fā)者可能并不會(huì)對(duì)數(shù)據(jù)上報(bào)來(lái)源進(jìn)行限制���,因此再得知設(shè)備的終端手機(jī)號(hào)車(chē)牌號(hào)等信息的情況下����,可以通過(guò)模擬設(shè)備與數(shù)據(jù)平臺(tái)進(jìn)行通訊�,發(fā)送異常報(bào)警與位置數(shù)據(jù)。
4.2 車(chē)聯(lián)網(wǎng)平臺(tái)服務(wù)端安全風(fēng)險(xiǎn)
4.2.1 服務(wù)端管理WEB安全風(fēng)險(xiǎn)
車(chē)聯(lián)網(wǎng)平臺(tái)為了便于使用者的訪問(wèn)和操作�,通常使用Web服務(wù)來(lái)實(shí)現(xiàn)管理平臺(tái)端。因此同樣易受到各類(lèi)Web安全風(fēng)險(xiǎn)影響�����,如弱口令����、敏感信息泄露、未授權(quán)訪問(wèn)、中間件RCE等安全風(fēng)險(xiǎn)影響���。
我們?cè)谘芯恐邪l(fā)現(xiàn)“登錄弱口令(初始口令)”�、“數(shù)據(jù)庫(kù)暴露公網(wǎng)�����,數(shù)據(jù)庫(kù)弱口令(初始密碼)”以及敏感信息泄露(日志文件泄露數(shù)據(jù)庫(kù)連接密碼����、泄露車(chē)輛sim號(hào))等風(fēng)險(xiǎn)較為常見(jiàn)���,并以較低的利用成本威脅車(chē)聯(lián)網(wǎng)系統(tǒng)信息安全�����。
4.2.2 API接口安全風(fēng)險(xiǎn)
一些車(chē)聯(lián)網(wǎng)平臺(tái)的移動(dòng)端程序與服務(wù)端進(jìn)行數(shù)據(jù)交互一般通過(guò)API接口來(lái)實(shí)現(xiàn)����,同時(shí)API接口也被用于第三方平臺(tái)請(qǐng)求車(chē)聯(lián)網(wǎng)平臺(tái)的數(shù)據(jù)�。這些API接口可能存在著安全隱患,例如:越權(quán)�����,輸入控制(xss、注入)��,接口濫用(爆破)��,信息泄露等���。
4.2.3 平臺(tái)運(yùn)維管理風(fēng)險(xiǎn)
車(chē)聯(lián)網(wǎng)平臺(tái)功能眾多�,操作起來(lái)相對(duì)復(fù)雜��,并且平臺(tái)部署涉及諸多軟件和服務(wù)�����,對(duì)于非相關(guān)專(zhuān)業(yè)的管理人員和運(yùn)維人員來(lái)說(shuō)操作有一定難度��,若沒(méi)有專(zhuān)業(yè)的技術(shù)培訓(xùn)和安全培訓(xùn)則可能對(duì)平臺(tái)帶來(lái)一定風(fēng)險(xiǎn)��。
例如運(yùn)維配置不當(dāng)導(dǎo)致車(chē)輛信息報(bào)送漏發(fā)�����、錯(cuò)發(fā)數(shù)據(jù)造成的風(fēng)險(xiǎn)等���。平臺(tái)管理安全意識(shí)不足或?qū)ζ脚_(tái)使用不理解則可能導(dǎo)致管理賬號(hào)弱口令����,下級(jí)賬號(hào)權(quán)限分配不當(dāng)以致信息泄露或越權(quán)操作等安全風(fēng)險(xiǎn)。
目前���,使用JT/T808的車(chē)載終端主要通過(guò)物聯(lián)網(wǎng)SIM卡��,經(jīng)由3G、4G網(wǎng)絡(luò)����,與位于互聯(lián)網(wǎng)的車(chē)聯(lián)網(wǎng)平臺(tái)服務(wù)端進(jìn)行通訊,JT/T808協(xié)議的標(biāo)準(zhǔn)規(guī)范方面目前沒(méi)有具體約定TCP/UDP傳輸?shù)姆绞胶蜆?biāo)準(zhǔn)的通信端口�����,一般用戶會(huì)自行選擇使用TCP或者UDP指定特定端口進(jìn)行數(shù)據(jù)通信����。
根據(jù)Zhifeng綜合分析數(shù)據(jù)顯示國(guó)內(nèi)車(chē)聯(lián)網(wǎng)平臺(tái)分布情況如下:
6���、解決方案與對(duì)應(yīng)策略
根據(jù)知風(fēng)安全分析團(tuán)隊(duì)研究發(fā)現(xiàn),當(dāng)前JT/T808車(chē)聯(lián)網(wǎng)通訊協(xié)議中存在的風(fēng)險(xiǎn)主要來(lái)自三個(gè)方面�,分別是:服務(wù)端廠商搭建的車(chē)聯(lián)網(wǎng)平臺(tái)WEB系統(tǒng)安全風(fēng)險(xiǎn)隱患與廠商根據(jù)通訊協(xié)議開(kāi)發(fā)的通訊程序存在的隱患以及通訊協(xié)議中設(shè)計(jì)邏輯存在的缺陷可能導(dǎo)致的安全風(fēng)險(xiǎn)。
我們建議在針對(duì)通訊協(xié)議層通訊數(shù)據(jù)實(shí)施安全優(yōu)化�����,針對(duì)互聯(lián)網(wǎng)在線的車(chē)聯(lián)網(wǎng)平臺(tái)的協(xié)議服務(wù)端針對(duì)異常邏輯的數(shù)據(jù)包不響應(yīng)�����,有條件情況下可以嘗試升級(jí)成必要的加密通訊�����,按照加密規(guī)范來(lái)約束各個(gè)廠商之間的實(shí)現(xiàn)邏輯���;廠商開(kāi)發(fā)的通訊程序時(shí)應(yīng)嚴(yán)格按照協(xié)議標(biāo)準(zhǔn)規(guī)定進(jìn)行開(kāi)發(fā)����,并應(yīng)在上線前對(duì)程序進(jìn)行安全測(cè)試�����;車(chē)聯(lián)網(wǎng)平臺(tái)WEB系統(tǒng)方面應(yīng)該避免出現(xiàn)常見(jiàn)的弱口令、信息泄露���、目錄遍歷����、RCE等漏洞����。
