议题回顾

演讲嘉宾：高树鹏

百度安全实验室安全专家，安全研究方向负责人。在IoT安全、车安全、AI安全、黑产打击、Web攻防等领域有深入研究。连续多年在BlackHat、DefCon、HITB、BlueHat等国际安全会议上分享相关研究成果。

演讲嘉宾：曾颖涛

百度安全研究员。专注无线与硬件安全领域，曾发现华为、小米、OPPO、理想、小鹏、比亚迪等厂商多枚高危漏洞并入围特斯拉安全名人堂。参加过多届GeekPwn、HackPwn、天府杯、补天杯等赛事并取得名次。

*以下为整理后的速记

本次议题由百度安全实验室的高树鹏与曾颖涛联袂呈现。团队在信息安全领域底蕴深厚，尤其在智能设备安全、二进制分析与漏洞挖掘方面拥有丰富的实战经验。团队连续多年在BlackHat、DefCon、HITB、BlueHat等国际安全会议上分享相关研究成果，在多届GeekPwn、补天杯、天府杯安全赛事获奖并取得名次，安全研究过程中曾发现Apple、微软、Google、Adobe公司等近200个漏洞，帮助诸多企业修复漏洞并获得官方公开致谢，在iOS越狱、漏洞挖掘等领域均有建树。近年来，团队将研究重心延伸至智能汽车领域，致力于从硬件、软件到AI模型的全链路安全研究。

1.系统复杂，攻击面剧增：现代智能车已演变为一个复杂的计算中心，呈现出“中央域控制器”的形态。其中可能集成高达8个不同的操作系统（如Android、QNX、嵌入式Linux等）。操作系统的多样性意味着漏洞可能性的指数级增长，即便单一系统安全，整个系统的安全性也取决于最薄弱的一环。

2.供应链冗长，安全难以把控：汽车的供应链极其复杂，从T-Box到各种控制器，不同模块可能来自不同的供应商（如高通等芯片厂商）。这些模块在引入功能的同时，也可能将其自身的漏洞带入整车系统，研究员曾在一个模块上发现过来自不同来源的三四个漏洞。

3.研究门槛高，大量漏洞潜伏：相较于手机、路由器等消费电子设备，汽车价格昂贵，研究门槛高，导致接触和深入研究的安全人员相对较少。这使得许多潜在漏洞如同“暗冰”，尚未被发现和修复，安全风险长期潜伏。

4.全新的研究宝库：对于安全研究者而言，智能汽车提供了一个全新的、充满挑战的研究方向。它包含了真实的车载AI模型、海量的二进制固件程序、新兴的车载以太网架构以及作为神经中枢的网关设备，为二进制安全、AI安全和网络安全的融合研究提供了绝佳的战场。

“巧妇难为无米之炊”，研究智能车硬件，首先得解决设备和资料的来源问题。

◆多元化的设备获取渠道：

常规采购与二手市场

：通过闲鱼等平台购买特定部件。

合作伙伴网络

：与二手车商、车辆拆解企业等建立合作是更重要的途径。例如，对于泡水车等事故车辆，其完好的电子配件会被拆解流通，这成为了重要的硬件来源。团队甚至直接在合作伙伴的场地进行实车测试。

成果展示

：通过持续积累，团队已收集并分析了大量的T-Box、4G模块，并在近两年内研究了超过30款自动驾驶控制器，体现了“量变引起质变”的研究思路。

◆关键资料挖掘与甄别：

合法资料

：充分利用公开的电路图、拆装手册，这些资料能详细指导研究者如何为设备上电、连接线束，并理解设备间的拓扑关系。

内部资料与风险

：某些核心资料（如完整的、带跳转功能的电路图）可能来自内部渠道，同时在市场上也充斥着虚假资料，团队曾在此方面“被骗好几次”，提醒研究者需具备甄别能力。

理解整车结构是发起精准攻击的前提。以汽车厂商的架构图为例：

◆CDCU（中央控制单元）：呈现“二合一”甚至“三合一”的集成趋势，将网关、车机乃至自动驾驶控制器功能融合。图中红色的车载以太网线路连接各关键部件，是车内的高速数据骨干网。

◆自动驾驶控制器（ACU/XPU）：连接大量摄像头、雷达等传感器，处理核心感知算法。更重要的是，它通常拥有直接控制车辆执行机构（如转向、制动）的权限，是攻击者最终夺取车辆控制的“皇冠”。

◆网关（Gateway）的演变：已从简单的MCU桥接模块，演进为配备CPU和嵌入式Linux系统的复杂计算单元，负责整车的OTA升级、网络诊断和路由。这一变化使其分析难度降低（无需分析MCU固件），但攻击价值飙升，且因其通常是标准品，攻破一个往往意味着能影响全系车型。

团队勾勒出一条清晰的攻击链，并辅以简单却危害巨大的实例：

1.攻击路径：

◆入口：通过4G网络或T-Box中的漏洞（如远程代码执行RCE）切入车载以太网内网。

◆横向移动：在内网中，利用网关设备的漏洞获取更高权限。

◆最终目标：进一步攻击安全措施相对薄弱、但权限极高的自动驾驶控制器，最终实现对车辆的完全控制。

2.权限提升与信息获取：在获取文件系统后，可能发现大量敏感信息，如云服务的访问密钥（AK/SK）、解析CAN报文的DBC文件、甚至开发调试密钥，危害远超想象。

3.实战案例：现场展示了多个厂商T-Box中存在的简单漏洞。例如，某个合资品牌全系车型的T-Box中存在命令注入漏洞，攻击者仅需在输入中增加一个分号，就能实现远程代码执行，进而影响全系车辆。由于当前很多车辆内部缺乏有效的网络隔离，一旦进入以太网，攻击者便可“长驱直入”。

车身网络是车辆执行动作的“神经系统”。

◆网络域划分：主要分为底盘控制域（动力、制动、转向）、车身域（车门、车灯）、座舱域（大屏、T-Box）和自动驾驶域（摄像头、雷达）。

◆CAN报文分析：ECU间主要通过CAN总线通信。分析方法有二：

黑盒分析

：通过嗅探总线数据流，对比执行特定动作（如开门）时的比特位变化，通过重放报文来定位功能ID。

白盒分析

：通过获取域控制器上的DBC解析文件，直接读懂每个CAN ID的含义。

◆实战案例：通过BLE芯片控车：团队发现某车型的BLE模块固件签名密钥，竟与芯片厂商SDK的默认密钥一致。这意味着任何能获取该SDK的人都能伪造合法固件，进而接管BLE芯片。该芯片通过SPI总线连接CAN控制器，使得攻击者可以通过无线更新（OAD）BLE固件的方式，最终实现在车身网络中发送任意CAN报文，成功伪造了“泊车指令”，演示了远程控车的可行性。

自动驾驶的核心知识产权和决策逻辑都封装在AI模型中。

◆模型解密：厂商虽采用加密保护（如利用英伟达的安全存储），但团队发现其为实现向下兼容，在程序中保留了备份密钥机制。该密钥虽经混淆，仍可通过Hook等技术手段提取，从而完成对加密模型的解密，获得明文模型文件。

◆模型推理与环境重建：解密后的模型在开源平台运行仍困难重重，因其依赖特供版本的TensorRT框架。团队的解决方案是，将域控上整个编译好的系统环境（包括TensorRT及其插件）整体从Drive Orin迁移到Jetson Orin开发板上，从而成功实现模型推理。

◆模型深度解析：

架构分析

：利用Netron等工具可视化模型结构，或通过芯片厂商的SDK环境获取模型的输入输出层信息。



端到端模型的“认知”能力

：研究发现，先进的端到端模型不再仅是输出检测框，它内建了一个“词表”，能够以接近人类的方式理解场景。通过逆向工程，发现模型会回答预设问题，如“车辆是否在地下停车场？”、“是否在隧道中？”，并展现出OCR能力，用于识别交通路牌信息。

◆成果展示：团队成功将一套解密后的、本需数十万数据训练的自动驾驶模型，部署到一台仅几百元的玩具车上，使其具备了高级别的自动驾驶能力，生动证明了模型软件层保护的脆弱性。

模型的最终信任根在于芯片的TEE（可信执行环境）。

◆机制与绕过：TEE中运行的可信应用（TA）与外部世界（CA）通过特定API通信。团队发现，某厂商在OpenTEE框架二次开发时，其会话验证依赖一个存储在用户空间内存中的4字节随机值。通过遍历内存找到该值，即可伪造合法会话，与TA建立通信。

◆TA自身漏洞百出：进入TA后，发现其代码质量堪忧，存在内存破坏、越界访问等低级漏洞，甚至暴露了任意地址读取的危险接口。这意味着TEE这一最后的堡垒也已不再绝对安全。

◆核心误区：厂商的安全设计存在矛盾。一方面设计复杂密钥体系，另一方面却为兼容性保留硬编码密钥；以为使用了TEE、加密芯片就高枕无忧。真正的安全不在于安全元件的堆砌，而在于从设计到实现的整个流程的合理性与严谨性。

V2X是实现车路协同的关键，也带来了新的攻击面。

◆协议与风险：

SPaT消息

：交通信号灯广播其状态和倒计时。

BSM消息

：车辆广播自身的位置、速度、车牌等实时信息。

◆测试与发现：

隐私泄露

：通过V2X开发板，团队在北京的自动驾驶测试区轻松接收到大量车辆的BSM消息。这意味着攻击者若部署伪基站，可绘制出城市所有V2X车辆的实时轨迹图，造成严重的隐私泄露。

信号伪造与安全缺失

：更严重的是，部分自动驾驶车辆并未对接收到的V2X消息进行数字签名验证。这使得攻击者可以轻易伪造信号，例如将红灯信号篡改为绿灯，诱导车辆发生碰撞，风险极高。

智能驾驶的安全挑战是系统性的，贯穿于硬件、软件、网络、AI模型和芯片的每一个层面。本次演讲通过大量一手实战案例，揭示了当前智能汽车在安全性上的脆弱性。

◆给研究者的建议：拓宽研究视野，不要局限于车机应用。应重点关注车载以太网、网关、自动驾驶控制器和T-Box这些高价值目标。通过积累大量硬件样本，发现通用性问题和方法论。

◆给行业的启示：

强化供应链安全

：严禁使用默认密钥，加强固件签名管理。

深化防御体系

：在网络层面进行严格的区域隔离，在协议层面全面落实V2X消息的签名验证。

重新审视TEE安全

：不能将其视为“银弹”，必须严格审计TA代码的安全性和会话机制的有效性。

智能汽车的安全之路任重道远，需要行业、厂商和安全研究社区共同努力，才能构建一个真正安全、可靠的智能出行未来。