OTA作為汽車軟件升級(jí)的新型方式，升級(jí)流程大致分為：
1.企業(yè)推送OTA升級(jí)包，車端與OTA云服務(wù)器建立安全連接，一般將待更新的固件傳輸?shù)杰囕v的 T-box（或者其他聯(lián)網(wǎng)部件），再傳輸給 OTA Manager。
2.OTA Manager管理所有 ECU 的升級(jí)過(guò)程，它負(fù)責(zé)將固件分發(fā)到 ECU，并告知 ECU 何時(shí)執(zhí)行更新。
3.ECU更新完成后，OTA Manager通過(guò) T-box（或者其他聯(lián)網(wǎng)部件）向云服務(wù)器發(fā)送確認(rèn)。

OTA系統(tǒng)參考架構(gòu)

一、OTA常見(jiàn)風(fēng)險(xiǎn)
圖片
OTA安全風(fēng)險(xiǎn)存在于升級(jí)的各個(gè)流程，常見(jiàn)的安全風(fēng)險(xiǎn)有云服務(wù)器安全風(fēng)險(xiǎn)、傳輸安全風(fēng)險(xiǎn)、通訊協(xié)議安全風(fēng)險(xiǎn)、車端安全風(fēng)險(xiǎn)、升級(jí)包篡改風(fēng)險(xiǎn)等。

云服務(wù)器安全風(fēng)險(xiǎn)
OTA云服務(wù)器主要進(jìn)行升級(jí)包制作、軟件管理、策略及任務(wù)管理等。OTA云服務(wù)器與其它云平臺(tái)一樣，容易遭受DDoS攻擊、MITC攻擊、跨云攻擊、編排攻擊、加密劫持等，可能導(dǎo)致用戶敏感信息泄露、推送的升級(jí)包被篡改、升級(jí)策略更改等風(fēng)險(xiǎn)。

傳輸安全風(fēng)險(xiǎn)
OTA云服務(wù)推送軟件升級(jí)包到車端的過(guò)程，若采用弱認(rèn)證方式或明文傳輸，容易遭受中間人攻擊、竊聽(tīng)攻擊等，黑客可進(jìn)一步獲取升級(jí)包進(jìn)行解析、篡改升級(jí)包信息等，可能導(dǎo)致關(guān)鍵信息泄露、代碼業(yè)務(wù)邏輯泄露等風(fēng)險(xiǎn)。

通訊協(xié)議安全風(fēng)險(xiǎn)
云端與車端的通信過(guò)程若采用不安全的通信協(xié)議或通信過(guò)程不采用認(rèn)證機(jī)制、明文通信等，容易遭受中間人攻擊、竊聽(tīng)攻擊、重放攻擊、DoS攻擊等，可能導(dǎo)致車端升級(jí)信息錯(cuò)誤、敏感信息泄露、拒絕服務(wù)等風(fēng)險(xiǎn)。

車端安全風(fēng)險(xiǎn)
車端獲取到升級(jí)包后會(huì)進(jìn)入升級(jí)流程。若引導(dǎo)程序、系統(tǒng)程序、OTA版本號(hào)等固定參數(shù)可信驗(yàn)證策略不安全或缺失，可能導(dǎo)致車端運(yùn)行惡意系統(tǒng)，造成隱私泄露、財(cái)產(chǎn)損失等風(fēng)險(xiǎn)。此外，車端系統(tǒng)出現(xiàn)公開(kāi)漏洞，若不及時(shí)進(jìn)行修復(fù)，可能導(dǎo)致黑客利用漏洞進(jìn)行攻擊，造成車輛、財(cái)產(chǎn)乃至人身安全風(fēng)險(xiǎn)。

升級(jí)包篡改風(fēng)險(xiǎn)
篡改或偽造升級(jí)包后發(fā)送到車端，若車端升級(jí)流程缺少必要的驗(yàn)證機(jī)制或驗(yàn)證機(jī)制存在漏洞，篡改或偽造的升級(jí)包可順利完成升級(jí)流程，可達(dá)到篡改系統(tǒng)、植入后門(mén)等惡意目的。

二、OTA安全測(cè)試案例
圖片
本文對(duì)OTA升級(jí)過(guò)程中可能存在的安全風(fēng)險(xiǎn)進(jìn)行檢測(cè)。
（1）通過(guò)調(diào)試工具進(jìn)入到車機(jī)系統(tǒng)后，發(fā)現(xiàn)數(shù)據(jù)庫(kù)文件存在TSP平臺(tái)信息泄露。可以看到OTA升級(jí)地址。

云平臺(tái)信息泄露

（2）對(duì)該云平臺(tái)嘗試進(jìn)行滲透。發(fā)現(xiàn)開(kāi)放某端口，且需要證書(shū)進(jìn)行連接。

云平臺(tái)滲透

（3）發(fā)現(xiàn)采用了明文MQTT協(xié)議進(jìn)行傳輸。嘗試接入，發(fā)現(xiàn)可連接并可訂閱相關(guān)消息。

通訊協(xié)議抓取

（4）使用漏洞掃描工具對(duì)IVI進(jìn)行漏洞掃描。發(fā)現(xiàn)DHCP服務(wù)器存在檢測(cè)漏洞，低危。

系統(tǒng)漏洞掃描

（5）篡改升級(jí)包，嘗試盡進(jìn)行本地升級(jí)。修改相關(guān)文件關(guān)鍵信息，升級(jí)包無(wú)法正常啟動(dòng)。

升級(jí)包篡改
檢測(cè)認(rèn)證事業(yè)部軟件測(cè)評(píng)中心長(zhǎng)期致力于汽車信息安全測(cè)試技術(shù)研究，擁有專業(yè)的信息安全測(cè)試團(tuán)隊(duì)，具備完善的汽車信息安全測(cè)評(píng)體系，能夠幫助企業(yè)及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)，為企業(yè)提供問(wèn)題解決方案，助力汽車行業(yè)安全水平高質(zhì)量發(fā)展。