汽车OTA的网络安全风险

现代汽车越来越像轮子上的超级计算机，随着安装和更新越来越复杂的软件，许多电子控制单元(ecu)联网在一起。与智能手机类似，汽车原始设备制造商将远程联系车主，了解添加新功能和/或修复的操作系统更新，以及软件漏洞和漏洞。

但所有这些都必须安全地完成，而在涉及安全关键应用时，空中技术仍然是一项相对不成熟的技术。软件控制现代汽车中的许多部件，包括先进驾驶辅助系统(ADAS)，以及电子仪表盘、动力总成和信息娱乐系统。通过OTA更新，汽车可以更高效地运行，更长时间地保持最新技术，并从改进的电动汽车电池性能中受益。这些更新可以直接从原始设备制造商或通过汽车经销商发送。

这已经发生了。2020年，本田在美国召回了60.8万辆汽车，以修复导致仪表显示不正确速度信息的软件漏洞，以及与后视摄像头视频有关的其他错误。软件更新是通过OTA进行的，这使得本田可以通过同时向许多车辆广播更新来实现成本节约，而不是将它们带到经销商那里进行维修。

其他更新可以提高车辆性能和安全性，其中一些更新可以在没有经销商参与的情况下完成，从而节省车主的时间。

一般来说，更新可以分为两类——关键和非关键。关键更新直接影响发动机和动力系统的性能和安全性。例如，非关键更新为信息娱乐系统提供了新功能。

“在未来5到10年内，许多车辆将由软件定义，”福特汽车合作总监罗伯特•戴(Robert Day)表示手臂的汽车行业。“通过OTA可以轻松完成ecu的软件和固件更新。就像更新手机的操作系统一样，车辆可以在商店或停在可以连接Wi-Fi的地方进行更新。最重要的是，这可以在司机方便的时候完成。”

根据市场研究未来在美国，从2022年到2030年，汽车OTA更新市场将增长约18%。到2030年，行业收入预计将达到144.7亿美元，高于2021年的28.9亿美元。一些供应商包括大陆公司、佳明有限公司、德尔福汽车、英伟达、罗伯特·博世有限公司和恩智浦。

但是在线旅行社也有它的缺点。据NHTSA称，由于软件更新问题，特斯拉在2022年10月召回了4万多辆2017年至2021年间生产的S型和X型汽车。为了更新电子助力转向系统的校准值，OTA固件发布导致了另一个问题。一些车主在撞到坑洞或凹凸路面后会失去动力转向功能，这需要OTA更新才能修复。

另一个挑战是，在任何市场实现安全都很困难，特别是在汽车等复杂系统中，第三方IP的使用正在增长。该IP可以是软件或硬件的形式，如果它设计或集成很差，或者太复杂以至于永远无法完全验证和调试，那么它就可能为网络攻击打开大门。

“这方面的透明度在于写下需求，而不是让它们分散在500页的文档中，并将它们组合在一起，以便用户非常清楚安全功能，”他说尼科尔·弗恩，高级安全分析师Riscure．“好的供应商会有这种能力。但是优秀的供应商也会告诉您局限性在哪里，因为每个声称提供某种安全保证的解决方案都有弱点。到了一定程度，它就不能保护你了，因为每个解决方案最终都可能被破坏。当设计团队着眼于所有可能整合到产品中的不同IP的广阔前景，以及他们应该如何做出整合哪一个的决定时，重要的是寻找那些对优势透明的供应商，以及IP在什么情况下不能再提供这些保证。”

OTA的趋势
汽车行业正在慢慢追赶OTA，但并不是所有的原始设备制造商都同样精通技术。这涉及到一些实际的挑战，就像在笔记本电脑上安装一款软件一样，它并不总是一帆风顺。如果通过OTA安装的某个软件不能正常工作，该怎么办?一些专家建议先进行部分安装。还有人建议有一个备用的解决方案。不同车主的专业技术水平各不相同，增加了OTA更新的复杂性。无线软件(SOTA)稍微简单一些。对于一些原始设备制造商来说，添加固件更新变得更具挑战性。

一些原始设备制造商正处于领先地位，而另一些则采取观望态度。根据Electrek的说法，OEM OTA功能“遍布地图”。

例如，通用汽车早在2009年就凭借OnStar信息娱乐平台在OTA领域占据领先地位。到2019年，通用汽车的智能平台可以向电控单元和大多数车型的信息娱乐系统发送OTA更新。梅赛德斯-奔驰OTA主要专注于信息娱乐和导航。宝马于2018年推出OTA。专家表示，它为大多数车型提供了OTA更新，但与其他汽车制造商相比，它仍然落后。奥迪只提供导航更新的OTA。

一些原始设备制造商正试图通过建立合作伙伴关系来加速他们的在线旅行社专业知识。例如，比亚迪是2018年第一家提供OTA解决方案的中国汽车制造商，于2021年与极光移动有限公司建立了合作关系，以提供额外的OTA功能。现代汽车试图通过与英伟达(NVIDIA)合作来迎头赶上。到目前为止，现代汽车的OTA更新能力仅限于信息娱乐和地图。

对于车主来说，对发动机性能的OTA支持是免费的，但OTA信息娱乐更新的收费也在讨论中，因为这些更新增加了新的功能和便利性。如果这种模式成功，将为原始设备制造商带来额外收入。

OTA如何运作
汽车OTA是指原始设备制造商可以通过Wi-Fi或蜂窝网络(4G/5G/LTE)向目标车辆广播软件的过程。其目的是更新车辆软件和固件，以及安装有用的配置信息。通常有五种类型:无线软件(SOTA)、无线固件(FOTA)、无线配置(OTAP)、无线服务配置(OTASP)和无线参数管理(OTAPA)。

SOTA是目前最常见的OTA服务。FOTA更具挑战性，因为它要求更高的计算性能和连接速度。特斯拉是提供FOTA的汽车制造商之一。其他类型的OTA主要用于软件和系统配置。

通常，远程服务器将OTA内容发送到车辆的远程控制单元(TCU)。然后，信息被传递到各个处理器，最终导致更新的信息存储在SIM卡等存储设备中。

图1:OTA可以同时向多辆车广播更新的软件。来源:Rambus

OTA安全吗?
任何无线网络都可能成为网络攻击的目标，设计漏洞可以为黑客提供访问网络的途径。在自动驾驶汽车内部，有多个复杂的迷你网络连接多个电子控制单元，包括远程控制单元(TCU)，这是通往外部世界的门户。

TCU支持4G/5G、LTE、Wi-Fi等短距离无线连接。各种TCU组件包括网络和GPS芯片、e-SIM、MCU、存储器(用于存储驾驶和车辆数据)以及CAN、以太网和USB等接口。这些组件中的任何一个都可以成为目标。一旦TCU被破坏，其余的网络和系统就会暴露。

由于车辆既有非关键系统(如信息娱乐系统)，也有关键系统(如控制ecu的系统)，对信息娱乐系统的攻击可能会造成不便，而对ecu的成功攻击可能是致命的。

自动驾驶汽车依赖于许多传感器，包括雷达、激光雷达和摄像头来导航。当传感器受到攻击时，可能会产生严重的后果。例如，一个场景演示了攻击可以扭曲相机传感器的视图。自动驾驶汽车收到停车指令。然而，自动驾驶汽车在另一辆车后面排队并关闭了引擎，没有意识到另一辆“停”着的车正等着进入停车场。在其他情况下，后果可能更严重。

“在线旅行社是非常软件密集型的”，该公司混合和虚拟系统副总裁David Fritz说西门子数字工业软件．“如果黑客成功地感染了软件，他们就可以进行系统重置并控制车辆。实现硬件安全要安全得多，比如使用安全芯片，或者在设计中加入安全IP。以远程信息控制单元为例，它包括软件和硬件。如果TCU网关被感染，整个系统将受到威胁。这两条安全战线需要部署。OTA的内容在播出前需要由整车厂进行安全保护，在接收端，车辆也需要安全保护。”

来自应用程序的用户需求贯穿设计链，需要在芯片级仔细考虑。

该公司解决方案和业务发展副总裁Frank Schirrmeister指出:“安全和安全方面是紧密联系的，在OTA更新期间保持系统配置的一致性至关重要，以确保没有子系统处于潜在的不协调、潜在的不安全和不安全状态。Arteris IP．处理数据的安全性和安全性方面需要从系统级软件到PCB、3D-IC互连以及芯片级的芯片上网络(noc)一直进行考虑。在所有这些层面上监测和评估数据的完整性是至关重要的，看看OTA更新的监管环境(如UN R155和UN R156)是否以及如何影响芯片和系统层面的方向和要求将是很有趣的。”

重要的是要了解OTA面临着越来越多的攻击，包括欺骗、未经授权的访问、篡改、拒绝接受、中间人、特权升级和分布式拒绝服务(DDOS)。另一个令人担忧的问题是，信息泄露会使恶意软件和病毒得以注入。由于在线旅行社相对较新，网络攻击还没有全面展开，汽车行业处于脆弱的境地。

强大的防御
OTA的防御系统应该覆盖源、目的地以及两者之间的所有内容，不给黑客留下攻击的空间。由于OTA设计涉及软件、固件、硬件和系统，因此开发人员需要精通每一个组件，并独立地保护每一个组件。

“保护在线旅行社的安全至关重要，”美国在线旅行社的安全产品营销高级总监巴特·史蒂文斯(Bart Stevens)说Rambus．“开发人员应该注意的一些实践包括加密软件更新，使用包含请求更新的实体的公钥的签名证书，加密后对更新进行数字签名，使用TLS公钥认证(由受信任的证书颁发机构签署)保护所有网络交易，以及(客户端)执行主机名验证，以确保他们连接到经过验证的服务器。”

此外，它有助于向授权设备交付更新，对所有重要事件进行防篡改日志记录，并使用安全引导机制初始化SOTA/FOTA更新。软件更新系统还需要设计为在拒绝服务(DoS)攻击的情况下“优雅地失败”，利用白名单和内存保护等反恶意软件保护，并确保合规的SOTA/FOTA软件更新系统清除在软件更新期间临时存储的敏感数据和密钥的所有共享资源。

这还只是开始。该公司首席技术官Jason Oberg表示:“终端的OTA管理将继续更多地参与硬件管理，硬件信任根的采用也在不断增加。Cycuity．“信任的硬件根通常负责解密和验证更新，以确保它不会被窃取或修改，并且它来自可信的来源。一个系统的过程可以帮助防止硬件信任根源的设计弱点，这将有助于提高终端OTA的安全性。我们发现，系统地部署MITRE共同弱点枚举(CWE)等分析的技术在构建这样一个过程中特别有效。”

为了提高汽车安全，包括OTA的网络安全法规，世界车辆法规协调论坛于2020年发布了首个国际标准UNECE WP.29汽车网络安全法规。UNECE是联合国欧洲经济委员会的缩写。WP.29为技术制造商提供了实现汽车网络安全的流程。WP.29要求原始设备制造商能够检测威胁、漏洞并防止网络攻击。

此外,eSync联盟该公司正在推动多家公司合作，为OTA管道(包括安全)制定标准规范。创始成员包括阿尔卑斯阿尔卑斯、Excelfore、海拉、Molex和采埃孚，其他15个成员由一级供应商、汽车制造商、网络安全公司和半导体公司组成。该组织已经创建了一个eSync软件平台，为车内设备提供安全的数据管道。除了2.0版规范，其中包括网络安全(章节9)和WP.29合规性(章节9.1)的信息，还提供了一个认证程序

Rambus的Stevens还建议遵循美国国家公路交通安全管理局(National Highway Traffic Safety Administration)的最新建议，维护OTA更新、服务器更新、传输机制和更新过程的完整性。“了解内部威胁、中间人攻击和协议漏洞的安全风险将大有帮助。”

结论
在线旅行社仍处于起步阶段。它有很多好处，包括为原始设备制造商节省成本。Arm’s Day指出，在未来5到10年内，许多汽车将由软件定义。OTA将成为软件和固件更新的重要工具。包括通用汽车、梅赛德斯-奔驰、宝马等在内的大多数主要原始设备制造商都在开发OTA功能。

“与其他无线技术一样，在线旅行社也面临着同样的网络风险，”该公司高级汽车IP部门经理Ron DiGiuseppe表示Synopsys对此．“通过解决网络漏洞，在线旅行社的收益超过了风险。通过减少拜访经销商的频率，原始设备制造商和车主将节省大量成本。此外，OTA可以通过提供额外的功能(比如信息娱乐系统)，为原始设备制造商创造一种新的商业模式。此外，OTA可以更快地更新软件漏洞。”

虽然OTA面临着许多挑战，包括不完整的测试、潜在的网络攻击、为产品添加完整的功能等等，但它仍然是一项未来的技术，有更多的原始设备制造商希望参与进来。