聊聊汽车OTA升级的信息安全风险

OTA技术随着汽车新四化的推进，逐步成为了主机厂在市场售后交付汽车新功能特性的重要手段。

本质上，OTA升级是一种汽车软件的版本更新；与之前传统OEM提供的软件升级方式不同，当汽车拥有联网功能后，OEM可以直接通过在线推送的方式完成软件的远程升级，用户可以不用前往线下特定4S店通过OBD进行升级，极大地降低了OEM的维护成本，为终端用户提供了便利。

虽然OTA为汽车功能的迭代提供了极大便利，但这也为黑客们提供了新的汽车网络攻击方向；例如安装恶意软件、恶意中止软件更新导致功能缺失等。所以今天我们来聊聊OTA升级的信息安全风险。

1.OTA升级总体架构

OTA总体架构如下，软件供应商将待更新的软件上传至OTA服务器平台，OEM运营人员登录云服务器平台审核并选择待更新软件，推送至目标车辆，车辆联网后通过4G/WIFI等方式下载软件包，通过中控屏幕通知用户，由用户选择并授权进行软件的更新，OTA升级控制台通过UDS或者私有协议开始对车内目标ECU进行升级，并将升级结果反馈至OTA服务器平台。

上述描述我们可以看到，有三个大方向存在着信息安全风险，分别是云服务器(云端)、数据传输通道（管端）、车载终端（车端）。下面我们依次来看。

2. 云端信息安全风险

汽车OTA云端主要负责与车载终端进行数据同步、软件更新升级等功能。当需要进行软件远程推送时，云端首先会与车端进行数据同步，根据当前汽车的运行状态。很明显，在云端服务器上存放着目标汽车的车主各种私人信息，例如车主账号、车主自定义偏好设置、目标车型配置等等，所以云端的信息安全尤为重要。

与众多云服务器一样，汽车OTA云端同样会遭受到网络黑客的各种攻击，例如DDos( of )攻击、MITC(ManIn The Cloud)攻击、编排攻击、密码劫持等，导致OTA软件的篡改、车主信息的篡改，从而严重威胁到汽车以及人员财产人身安全。

3. 管端信息安全风险

管端很好理解，就是OTA云端与车载终端之间的桥梁，作用是将待更新的软件完整安全地护送给车载终端，同时运送升级结果给云端。

管端的通信载体一般为4G/5G/WIFI，运送的内容为升级包或者升级结果。大家可以回忆一下家里的自来水管，运送载体为钢管、运送内容为自来水。水管很容易遇到被污染、被堵塞或者被拦截的问题，那么这个OTA的管道自然也会遭遇到攻击。

例如最常见的窃听攻击、中间人攻击。如果升级包在推送过程中使用弱认证或者明文传输，则很容易被拦截、对软件包进行解析、篡改，导致软件的功能逻辑、关键数据信息泄露；此外，如果这个管道使用的通信协议没有足够的安全防御能力，也会受到攻击者的重放、Dos( of )攻击，从而导致升级失败等威胁场景。

4. 车端信息安全风险

车端，也是最重要的升级执行端，主要负责下载OTA云端推送的软件数据包，对数据包进行验签、解密、版本对比、差分升级、还原等工作；进一步的，在升级过程中，现阶段充当升级主控一般为IVI，IVI对智能ECU（智驾、IVI自身）使用以太网及私有升级协议进行软件升级，对于传统ECU，例如EPS、、ESP等等采用传统的UDS升级。因此对于上述升级流程来说，引导程序、软件版本号等可信机制如果不完善或者不安全，会存在漏洞导致升级失败或者升级为恶意程序。

例如，以IVI充当刷写上位机对传统ECU进行软件升级时，如果IVI被黑客发现后门漏洞或者被恶意伪装，则很有可能升级的软件包也会被篡改。

此外，当汽车电池电量不足、汽车车内网络通信被劫持时，也会导致汽车OTA升级失败。

5.小结

通过上面对OTA“云管端”的分析，我简单地总结了不同端的攻击方式和潜在风险；对于车端的OTA升级方案，现在已有很多供应商和OEM结合ISO\SAE-21434以及整车电子电气架构重新设计方案；当前比较欠缺的还是在云端和管端的解决方案，后面我也会逐步完善这方面的业务知识。